ためhaproxyサポートOCSPを行います。これはうまくいく。しかし、特にクライアント証明書検証のためのOCSPサポートに関する多くの情報を見つけることはできませんでした。証明書失効リストとOCSPステープルについての情報があります(これはサーバー証明書用のものです)。 だから私の質問は 1.んHAProxyは、クライアント証明書の検証中にOCSPをサポートしていますか? と 2.それがサポートされている場合、これは手動でOCSP URLを必要とせずに構成することができますが、クライアント証明書自体に含ままたはおそらく、サーバー上のURLをオーバーライド?は、我々はクライアント証明書の検証を必要と強制的にHAProxyを設定しているクライアント証明書の検証
私たちは、クライアント証明書の検証を必要と強制的にHAProxyを設定しています。
クライアント証明書の検証があなたに何を意味するのかを正確に定義してください。それがうまくいくと思うので、クライアント証明書を生成していて、haproxyが前にあるリソースにアクセスするために有効なクライアント証明書を要求するようにhaproxyを設定しています。
ただし、クライアント証明書の検証のためのOCSPサポートに関する詳細はほとんど見つかりませんでした。 ... 1. HAProxyはクライアント証明書の検証中にOCSPをサポートしますか?
いいえ、これは、haproxyのようなサーバーの場合、「範囲外」です。 HAproxyはOCSPステープル処理のみを行い、OCSP応答を証明書ディレクトリの.ocspファイルの形式で提供する場合のみです。 HASROxyがTLS接続をブロックするのは珍しいことですが、OCSPステープルが存在するすべての理由から各TLS証明書からHTTP応答を取得しようとします。同じ行に沿って、OCSP(またはCRL)を介して証明書を検証しようとしている間に、クライアントからのハプロキシブロックTLS接続を持つことはお勧めできません。
更新:this thread on in the haproxy forumsを参照してください。