haproxy支持用于客户端证书验证的OCSP吗？

Question

我们正在配置HAProxy以强制要求客户端证书验证。这个效果很好。但是，我们找不到很多关于OCSP支持客户端证书验证的信息。有关于证书撤销列表和OCSP装订的信息(我认为这是针对服务器证书的)。所以我的问题是:在客户证书验证期间，HAProxy是否支持OCSP？如果支持它，是否可以手动配置它，而不需要客户机证书本身包含的OCSP URL，或者可能覆盖服务器上的url？

Answer 1

我们正在配置HAProxy以强制要求客户端证书验证。

请准确定义客户证书验证对您意味着什么。您说它运行得很好，所以我最好的猜测是，您正在生成客户端证书，并且您已经将have配置为需要有效的客户端证书，以便访问前面的have资源。

但是，我们找不到很多关于OCSP支持客户端证书验证的信息。. 1.在客户证书验证期间，HAProxy是否支持OCSP？

不是的。对于haproxy这样的服务器来说，这是“超出范围”的。HAproxy只进行OCSP装订，只有在证书目录中以.ocsp文件的形式提供OCSP响应时。不寻常的是，由于OCSP装订存在的所有原因，在尝试从每个TLS证书获取HTTP响应时，需要haproxy阻止TLS连接。同样，在您的客户端尝试通过OCSP (或者CRLs)验证他们的证书时，让that阻止您的客户端的TLS连接并不是一个好主意。

更新:见这条线在haproxy论坛上。