강제로 클라이언트 인증서 유효성 검사를 수행하도록 HAProxy를 구성하고 있습니다. 이것은 잘 작동합니다. 그러나 클라이언트 인증서 유효성 검사를위한 OCSP 지원에 대한 많은 정보를 찾을 수 없었습니다. 인증서 해지 목록 및 OCSP 스테이플 링에 대한 정보가 있습니다 (서버 인증서에 대한 것임). 내 질문은 입니다. 1. HAProxy는 클라이언트 인증서 유효성 검사 중에 OCSP를 지원합니까? 및 2. 지원되는 경우 OCSP URL을 클라이언트 인증서 자체에 포함시키지 않거나 서버의 URL을 무시하지 않고 수동으로 구성 할 수 있습니까?클라이언트 인증서 유효성 검사를 위해 haproxy가 OCSP를 지원합니까?
강제로 클라이언트 인증서 유효성 검사를 수행하도록 HAProxy를 구성하고 있습니다.
클라이언트 인증서 유효성 검사의 의미를 정확히 정의하십시오. 제대로 작동한다고 가정 할 때 가장 좋은 추측은 클라이언트 인증서를 생성하고 유효한 클라이언트 인증서가 필요하도록 haproxy를 구성하여 haproxy가 앞에있는 리소스에 액세스하는 것입니다.
그러나 클라이언트 인증서 유효성 검사를위한 OCSP 지원에 대한 많은 정보를 찾을 수 없습니다. ... 1. HAProxy는 클라이언트 인증서 유효성 검사 중에 OCSP를 지원합니까?
아니요. haproxy와 같은 서버의 경우 범위를 벗어납니다. HAproxy는 OCSP 스테이플 링 만 수행하며 인증서 디렉토리에 .ocsp 파일 형태로 OCSP 응답을 제공하는 경우에만 해당됩니다. HASROxy가 TLS 연결을 차단하도록하는 것은 드문 일이지만 OCSP 스테이플 링이 존재하는 모든 이유 때문에 각 TLS 인증서에서 HTTP 응답을 얻으려고합니다. 같은 라인을 따라 OCSP (또는 CRL)를 통해 인증서를 검증하려고 시도하는 동안 클라이언트로부터 haproxy 블록 TLS 연결을 갖는 것은 좋은 생각이 아닙니다.
업데이트 : this thread on in the haproxy forums을 참조하십시오.