配置 OCSP-CRL 证书吊销检查
要配置 Solace PubSub+ 事件代理以使用带有 OCSP-CRL 证书吊销检查的证书颁发机构(CA),请完成以下步骤:
第1步:查看先决条件
要成功使用带有证书吊销检查的 CA 证书,Solace PubSub+ 事件代理需要进行以下配置:
- 必须配置并启用 TLS/SSL 服务。这需要配置服务器证书并启用 TLS 服务。参见 TLS/SSL 服务配置。
- 必须为客户端将要连接的任何消息 VPN 配置并启用客户端证书身份验证。参见配置消息 VPN 的客户端证书参数。
第2步:配置证书颁发机构
要配置 CA,请参见配置客户端身份验证证书颁发机构列表。
第3步:配置OCSP和CRL参数
使用 OCSP-CRL 证书吊销检查时,您可以配置可选的 CRL 和 OCSP 参数。
- 要配置 OCSP 参数,请参见配置 OCSP 证书吊销检查。
- 要配置 CRL 参数,请参见第 3 步:配置 CRL 参数。
第4步:启用CA吊销检查
为了让事件代理成功使用 CA,请启用吊销检查:
solace(configure/authentication/client-certificate-authority/revocation-check)# no shutdown
第5步:配置消息VPN覆盖
您可以选择根据客户端证书的吊销状态,为特定的消息 VPN 配置吊销覆盖。
要配置吊销检查覆盖,请参见配置消息 VPN 覆盖。
第6步:启用OCSP-CRL证书吊销检查
完成 CA 和 CRL 配置后,可以为事件代理启用证书吊销检查。
- 为事件代理启用 OCSP-CRL 证书吊销检查:
solace(configure)# authentication
solace(configure/authentication)# client-certificate-revocation-checking ocsp-crl
- 验证是否已启用 OCSP-CRL 证书吊销检查:
solace(configure/authentication)# show authentication