Проверка сертификата клиента OCSP
Для проекта домашней автоматизации я создал API (написанный на ASP.NET, размещенный в IIS) и написал собственное Android-приложение для взаимодействия с этим API. Чтобы предотвратить доступ людей к определенным конечным точкам в этом API, я хочу защитить конечные точки, которые не должны быть общедоступными. Некоторые из них останутся общедоступными для моей панели статистики.
У меня есть сертификат PKI клиента, который я приобрел у официальной и признанной правительством организации для приложения, и в него включен URL-адрес респондента OCSP. Когда приложение обращается к защищенным конечным точкам, этот сертификат включается. Теперь последним шагом для сервера будет проверка действительности этого сертификата при входящих запросах, и я придумал следующие возможные сценарии:
- Сертификат действителен
- Иерархия CA сертификата недействительна (я программист, поэтому мой извиняюсь, если я вырезал это предложение)
- Срок действия сертификата истек (я полагаю, что ответчик OCSP вернет его)
- Сертификат не включен
Может ли IIS решить эту проблему? Я действительно нашел только OCSP сшивание, которое не связано с сертификатом клиента. По сути, TLS-рукопожатие должно быть отменено, чтобы API не мог быть даже достигнут.
Я использую HAProxy для маршрутизации запросов на правильный сервер в моей сети. Итак, если IIS невозможен, сможет ли HAProxy это сделать?
Спасибо!
IIS может проверять сертификаты клиентов с помощью OCSP. Насколько я знаю, HAProxy не будет. Лучше всего передать сертификат клиента в серверную часть IIS.
Обратите внимание, что вы используете только OCSP или список отзыва сертификатов (CRL) для проверки статуса отзыва сертификата - ничего больше.
Поэтому проверка сертификата сертификат по-прежнему будет состоять из проверки цепочки от сертификата до якоря доверия, проверки того, что сертификат не истек, и проверки сертификата на предмет правильного использования ключа; независимо от того, используются ли OCSP (или CRL).