我在 PKI Secrets Engine 的容器中运行了保管库设置,并希望为应用程序添加 OCSP 支持以检查证书是否未被吊销。我没有找到任何关于如何为保险库设置 OCSP 的解释,也没有在任何博客中明确信息。
在我的设置中,我为 CRL 配置了以下内容
vault write pki/config/urls \
issuing_certificates="http://127.0.0.1:8200/v1/pki/ca" \
crl_distribution_points="http://127.0.0.1:8200/v1/pki/crl"
但是对于 OCSP 来说,没有什么比这更重要的了
我是否需要为 OSCP 设置单独的服务或 Vault 可以自行处理?
任何帮助了解 OCSP for Vault 将不胜感激?
Vault不处理OCSP 响应程序。
ocsp_servers您可以做的最好的事情是使用相同 API 调用中的参数将 URL 设置为代表客户端调用 Vault 的一些自定义 OCSP 响应程序:这些 URL 是证书中的 URL。它必须对客户端有意义,而不是 Vault。换句话说,使用 127.0.0.1 将永远无法在您的笔记本电脑上使用。
另请记住,CRL 和 OCSP 必须可通过 http 而不是 https 访问。在生产配置中,您将/应该仅通过 HTTPS 访问 Vault。您可能必须在 Vault 前面放置一个反向代理来提供 CRL 和 OCSP 端点。