У меня есть установка хранилища, работающая в контейнере для PKI Secrets Engine, и я хотел бы добавить поддержку OCSP для приложения, чтобы проверить, не отозван ли сертификат. Я не нашел никаких объяснений, как настроить OCSP для хранилища, а также не нашел ясной информации ни в одном из блогов.
В моих настройках я настроил следующее для CRL
vault write pki/config/urls \
issuing_certificates="http://127.0.0.1:8200/v1/pki/ca" \
crl_distribution_points="http://127.0.0.1:8200/v1/pki/crl"
Но ничего, кроме этого, для OCSP
Нужно ли мне настраивать отдельную службу для OSCP, или Vault может справиться с этим сам?
Любая помощь по этому вопросу, чтобы понять OCSP для Vault были бы признательны?
Отвечающий OCSP не обрабатывается Сейфом. Лучшее, что вы можете сделать, это установить URL-адрес для какого-либо пользовательского ответчика OCSP, вызывающего Vault от имени клиента, с параметром ocsp_servers
в том же вызове API:
vault write pki/config/urls \
issuing_certificates="http://127.0.0.1:8200/v1/pki/ca" \
crl_distribution_points="http://127.0.0.1:8200/v1/pki/crl" \
ocsp_servers="http://127.0.0.1:8200/v1/pki/ocsp"
Эти URL-адреса — это URL-адреса, которые будут в сертификате. . Это должно быть понятным для клиента, а не для Убежища. Другими словами, использование 127.0.0.1 никогда не будет работать где-либо еще, кроме как на вашем ноутбуке.
Также имейте в виду, что CRL и OCSP должны быть доступны по протоколу http, а не https. В производственной конфигурации у вас будет/должен быть доступ к Vault только через HTTPS. Возможно, вам придется поместить обратный прокси-сервер перед Vault, чтобы предложить конечную точку CRL и OCSP.
vault write pki/config/urls \
issuing_certificates="http://vault.example.com/v1/pki/ca" \
crl_distribution_points="http://vault.example.com/v1/pki/crl" \
ocsp_servers="http://vault.example.com/my-custom/ocsp-responder"