跳到主要内容

配置OCSP证书吊销检查

要配置 Solace PubSub+ 事件代理以使用带有开放证书状态协议(OCSP)吊销检查的证书颁发机构(CA),请完成以下步骤:

第1步:查看先决条件

要成功使用带有证书吊销检查的 CA 证书,Solace PubSub+ 事件代理需要进行以下配置:

  • 必须配置并启用 TLS/SSL 服务。这需要配置服务器证书并启用 TLS 服务。参见 TLS/SSL 服务配置。
  • 必须为客户端将要连接的任何消息 VPN 配置并启用客户端证书身份验证。参见配置消息 VPN 的客户端证书参数。

第2步:配置证书颁发机构

要配置 CA,请参见配置客户端身份验证证书颁发机构列表。

第3步:配置OCSP参数

您可以选择配置以下 OCSP 参数:

  • 可以在证书颁发机构上配置一个覆盖 URL,以忽略客户端证书中提供的 URL。覆盖 URL 将用于查找 OCSP 响应器。

要配置覆盖 URL,请输入以下命令:

solace(configure/authentication/client-certificate-authority)# revocation-check ocsp
solace(configure/authentication/client-certificate-authority/revocation-check/ocsp)# override-url <url> <port>

其中:

url 是 OCSP 响应器的 URL。url 必须是完整的 URL,包括 http://。仅支持 HTTP URL。

<port> 是 OCSP 响应器监听的端口号。

  • 您可以将多个 OCSP 响应器置于负载均衡器之后。响应器需要使用特定通用名称颁发的证书来签署 OCSP 响应。您可以为每个 CA 配置多达 8 个唯一的通用名称作为有效的响应签署者。

要配置响应器通用名称,请输入以下命令:

solace(configure/authentication/client-certificate-authority)# revocation-check ocsp
solace(configure/authentication/client-certificate-authority/revocation-check/ocsp)# responder-common-name {empty | name <common-name>}

其中:

empty 从列表中移除所有通用名称。

name <common-name> 将通用名称添加到列表中。您可以为每个 CA 配置多达八个唯一的通用名称作为有效的响应器。

  • 您可以配置一个非响应器证书来签署 OCSP 响应。这通常用于 OCSP 覆盖的情况,其中使用单个证书来签署客户端证书和 OCSP 响应。

要配置非响应器证书,请输入以下命令:

solace(configure/authentication/client-certificate-authority)# revocation-check ocsp
solace(configure/authentication/client-certificate-authority/revocation-check/ocsp)# allow-non-responder-certificate
  • 如果事件代理在默认超时时间内没有从 OCSP 响应器收到响应,则 OCSP 请求被视为失败。可以配置超时时间,以等待 OCSP 响应器的响应。

要配置 OCSP 超时,请输入以下命令:

solace(configure/authentication/client-certificate-authority)# revocation-check ocsp
solace(configure/authentication/client-certificate-authority/revocation-check/ocsp)# timeout <seconds>

其中:

seconds 是用于与 OCSP 响应器进行初始连接尝试的 OCSP 超时时间(秒)。默认 timeout 值为 5 秒。

第4步:启用CA吊销检查

为了让事件代理成功使用 CA,请启用吊销检查:

solace(configure/authentication/client-certificate-authority/revocation-check/ocsp)# exit
solace(configure/authentication/client-certificate-authority/revocation-check)# no shutdown

第5步:配置消息VPN覆盖

您可以选择根据客户端证书的吊销状态,为特定的消息 VPN 配置吊销覆盖。

要配置吊销检查覆盖,请参见配置消息 VPN 覆盖。

第6步:启用OCSP证书吊销检查

完成 CA 和 CRL 配置后,可以为事件代理启用证书吊销检查。

  1. 为事件代理启用 OCSP 证书吊销检查:
solace(configure)# authentication
solace(configure/authentication)# client-certificate-revocation-checking ocsp
  1. 验证是否已启用 OCSP 证书吊销检查:
solace(configure/authentication)# show authentication

示例:

CLI 和 SEMP 用户类别:
       radius-domain:
       auth-type:内部数据库身份验证
       profile-name:替换重复客户端连接:是
客户端证书吊销检查:ocsp
Shell 用户
=====================================================  ==========================
support                                                                       是