我在 PKI Secrets Engine 的容器中运行了 Vault 设置,并希望为应用程序添加 OCSP 支持,以检查证书是否未被撤销。我没有找到有关如何为 Vault 设置 OCSP 的任何说明,而且在任何博客中也没有明确的信息。
在我的设置中我已经为 CRL 配置了以下内容
vault write pki/config/urls \
issuing_certificates="http://127.0.0.1:8200/v1/pki/ca" \
crl_distribution_points="http://127.0.0.1:8200/v1/pki/crl"
但对于 OCSP 来说,仅此而已
我是否需要为 OSCP 设置单独的服务或者 Vault 可以自行处理?
任何有关理解 Vault 的 OCSP 的帮助都将不胜感激?
答案1
OCSP 响应器不是由 Vault 处理。您能做的最好的事情是将 URL 设置为某个自定义 OCSP 响应器,该响应器代表客户端使用ocsp_servers同一 API 调用中的参数调用 Vault:
vault write pki/config/urls \
issuing_certificates="http://127.0.0.1:8200/v1/pki/ca" \
crl_distribution_points="http://127.0.0.1:8200/v1/pki/crl" \
ocsp_servers="http://127.0.0.1:8200/v1/pki/ocsp"
这些 URL 是证书中的 URL。必须对客户有意义,而不是 Vault。换句话说,使用 127.0.0.1 永远不会在笔记本电脑以外的其他地方起作用。
还请记住,CRL 和 OCSP 必须通过 http 而不是 https 访问。在生产配置中,您将/应该仅通过 HTTPS 访问 Vault。您可能必须在 Vault 前面放置一个反向代理来提供 CRL 和 OCSP 端点。
vault write pki/config/urls \
issuing_certificates="http://vault.example.com/v1/pki/ca" \
crl_distribution_points="http://vault.example.com/v1/pki/crl" \
ocsp_servers="http://vault.example.com/my-custom/ocsp-responder"