我们在启用TLS安全性的情况下实施领事,但看起来看起来不像领事代理对传入(或本地)证书执行任何撤销查询。这是预期的行为吗?我们希望能够锁定流氓/过期代理。
答案 0 :(得分:1)
有什么可靠的方法可以实现CRL / OCSP检查吗?据我所知,答案基本上没有。
据我所知,目前的最佳做法是拥有非常短暂的证书,并且一直在改变它们。 letsencrypt适用于外部服务,但对于内部服务(您可能使用consul),Vault(由执行的同一个人完成)有一个PKI后端就是这样做的。如果你有任何麻烦的工具,它会发布CRL,但据我所知,基本上什么都没有,因为它有点破碎(拒绝服务,巨大的CRL列表,速度较慢等)更多有关Vault的信息:{{3 }}
此外,还有其他内部CA工具,对于更大的基础架构,您甚至可以使用letsencrypt代码(它是开源的)。
答案 1 :(得分:0)
默认情况下,Consul不会验证传入的证书。您可以通过在配置中设置verify_incoming来启用此行为:
{
"verify_incoming": true,
"verify_incoming_rpc": true,
"verify_incoming_https": true,
}
您还可以告诉Consul通过TLS验证传出连接:
{
"verify_outgoing": true,
}
在这些情况下,可能还需要设置ca_file和ca_path参数。