配置CRL证书吊销检查
要配置 Solace PubSub+ 事件代理以使用带有证书吊销列表(CRL)吊销检查的证书颁发机构(CA),请完成以下步骤:
第1步:查看先决条件
要成功使用带有证书吊销检查的 CA 证书,Solace PubSub+ 事件代理需要进行以下配置:
- 必须配置并启用 TLS/SSL 服务。这需要配置服务器证书并启用 TLS 服务。参见 TLS/SSL 服务配置。
- 必须为客户端将要连接的任何消息 VPN 配置并启用客户端证书身份验证。参见配置消息 VPN 的客户端证书参数。
第2步:配置证书颁发机构
要配置 CA,请参见配置客户端身份验证证书颁发机构列表。
第3步:配置CRL参数
必须为事件代理配置 CRL 源的 URL,以便其下载 CRL。此外,您可以选择配置 CRL 的特定刷新计划,之后事件代理将尝试下载 CRL 的新副本。
- 要配置 URL,请输入以下命令:
solace(configure/authentication/client-certificate-authority)# revocation-check crl
solace(configure/authentication/client-certificate-authority/revocation-check/crl)# url <url>
其中:
url 表示 CRL 源的位置。<url> 可使用最多 2048 个字符。url 必须是完整的 URL,包括 http://。仅支持 HTTP URL。
在更改 CRL URL 之前,需要关闭吊销检查。
- 要配置 CRL 刷新计划,请输入以下命令:
solace(configure/authentication/client-certificate-authority)# revocation-check crl
solace(configure/authentication/client-certificate-authority/revocation-check/crl)# refresh-schedule [days <days-of-week>] times <times-of-day>
其中:
<days-of-week> 可以是条目 “daily”,或者是从周日到周六的命名日列表,用逗号分隔且不加空格,或者是从 0 到 6 的数字列表,代表命名日,用逗号分隔且不加空格,其中 0 代表周日,1 代表周一,依此类推,6 代表周六。默认值为 “daily”。
<times-of-day> 可以是条目 “hourly”,或者是一天中最多四个时间点的列表,格式为 hh:mm,用逗号分隔且不加空格,其中 hh 为 0 到 23,代表小时,mm 为 0 到 59,代表分钟。
要触发立即尝试下载 CRL,请输入以下管理员命令:
solace(admin)# client-certificate-authority <ca-name>
solace(admin/client-certificate-authority)# refresh-crl
第4��步:启用CA吊销检查
为了让事件代理成功使用 CA,请启用吊销检查:
solace(configure/authentication/client-certificate-authority/revocation-check/crl)# exit
solace(configure/authentication/client-certificate-authority/revocation-check)# no shutdown
第5步:配置消息VPN覆盖
您可以选择根据客户端证书的吊销状态,为特定的消息 VPN 配置吊销覆盖。
要配置吊销检查覆盖,请参见配置消息 VPN 覆盖。
第6步:启用CRL证书吊销检查
完成 CA 和 CRL 配置后,可以为事件代理启用证书吊销检查。
- 为事件代理启用 CRL 证书吊销检查:
solace(configure)# authentication
solace(configure/authentication)# client-certificate-revocation-checking crl
- 验证是否已启用 CRL 证书吊销检查:
solace(configure/authentication)# show authentication