Мы реализуем консул с включенной поддержкой TLS, но он не похож на то, что агент консула выполняет любой поиск отзыва по входящим (или локальным) сертификатам. Это ожидаемое поведение? Мы хотели бы иметь возможность заблокировать агентов-изгоев/истекших.Консул TLS Проверка CRL
ответ
Что-нибудь надежно реализует проверку CRL/OCSP? Насколько я знаю, ответа в принципе нет.
Из того, что я понимаю, нынешняя лучшая практика заключается в том, чтобы иметь очень кратковременные сертификаты и постоянно менять их. letencrypt хорош для внешних сервисов, но для внутренних служб (для которых вы, вероятно, используете consul), Vault (сделанный теми же парнями, что и консул) имеет бэкэнд PKI, который делает именно это. Он публикует CRL, если у вас есть какие-либо инструменты, которые беспокоят, но, насколько я могу судить, в основном ничего не происходит, потому что это своего рода нарушение (отказ в обслуживании, огромные списки списков списков списков CRL, медленнее и т. Д.). Более подробная информация о Vault: https://www.vaultproject.io/docs/secrets/pki/index.html
Кроме того, существуют другие внутренние инструменты CA, а для более крупной инфраструктуры вы можете даже использовать код letencrypt (он с открытым исходным кодом).
По умолчанию Consul не проверяет входящие сертификаты. Вы можете включить это поведение, установив verify_incoming
в конфигурации:
{
"verify_incoming": true,
"verify_incoming_rpc": true,
"verify_incoming_https": true,
}
Вы также можете сказать консулу для проверки исходящих соединений с помощью TLS:
{
"verify_outgoing": true,
}
В таких ситуациях может потребоваться установить ca_file
и ca_path
.
Достаточно уверен, что Консул не проверяет список аннулирования даже при включенной опции проверки. Не стесняйтесь исправить меня, если я ошибаюсь (или поведение могло измениться в более новых версиях, мы, насколько я помню, на 0.7.4) – Trondh
Извините за задержку - я проверял внутренне. Вы совершенно правы, но это то, что планируется установить до 1.0. – sethvargo
хорошо знать. Спасибо! – Trondh
- 1. Проверка CRL на Java
- 2. Проверка сертификата SSL \ TLS в Unity
- 3. консул Dnsmasq и
- 4. Проверка подлинности сертификата клиента uWSGI CRL
- 5. API OpenSSL: проверка CRL не работает me
- 6. TLS MAC проверка сообщения
- 7. Консул Замок Держит таймаут
- 8. Проверка сертификата TLS/SSL-сервер
- 9. проверка TLS соединения с Docksal
- 10. Проверка приема электронной почты TLS
- 11. Проверка подлинности сертификата в Java, включая проверку CRL
- 12. Docker сочинить сворачивают и Консул
- 13. Консул: сколько агентов для обслуживания
- 14. CRL не работает над http proxy
- 15. Swarm установки кластера Консул
- 16. Консул-агент не отвечает
- 17. Консул постоянно удаляет сервис
- 18. Последовательность формирования номера CRL
- 19. Invalidate CRL cache
- 20. Файл модели CRL Mallet
- 21. Как часто проверяются CRL?
- 22. Проверить CRL OpenSSL C
- 23. Весенняя интеграция Проверка аутентификации TCP TLS
- 24. Проверка подлинности клиента SSL/TLS с OpenSSL
- 25. Mojo :: UserAgent Проверка подлинности TLS/SSL
- 26. Отключить SSL/TLS проверка сертификата в Network.HTTP.Conduit
- 27. Проверяет ли сертификат WCF CRL/OCSP?
- 28. Консул не признает исчезнувший ресурс для здоровья
- 29. Azure сертификаты и списки отозванных сертификатов (CRL)
- 30. Как проверить список отзыва только из CRL?
Благодарим за информацию. Мы закончили тем, что написали собственный сервис отдыха на вершине opensl, чтобы иметь возможность быстро (повторно) генерировать сертификаты для консула. Хорошая информация о Сейфе, не знала, что у него есть pki backend. Это то, что мы рассмотрим. спасибо! – Trondh