启用 OCSP 装订
使用 OCSP 装订验证由第三方 CA 维护的证书,并验证客户端和服务器之间的连接尝试。
| Redis 企业软件 |
|---|
OCSP(在线证书状态协议)允许客户端或服务器验证状态 (GOOD,REVOKED或UNKNOWN) 的证书。
要检查证书是仍然有效还是已被吊销,客户端或服务器可以向 CA 的 OCSP 服务器(也称为 OCSP 响应程序)发送请求。OCSP 响应程序在 CA 的证书吊销列表中检查证书的状态,并将状态作为已签名和加盖时间戳的响应发送回去。
OCSP 装订概述
启用 OCSP 后,Redis Enterprise 服务器会定期轮询 CA 的 OCSP 响应程序以获取证书的状态。收到响应后,服务器会缓存此状态,直到下次尝试轮询。
当客户端尝试连接到 Redis Enterprise 服务器时,它们会执行 TLS 握手以对服务器进行身份验证并创建安全的加密连接。在 TLS 握手期间,OCSP 装订允许 Redis Enterprise 服务器将缓存的证书状态发送(或“装订”)到客户端。
如果装订的 OCSP 响应确认证书仍然有效,则 TLS 握手成功,客户端将连接到服务器。
如果装订的 OCSP 响应指示以下任一情况,则 TLS 握手失败,并且客户端会阻止与服务器的连接:
-
证书已被吊销。
-
证书的状态为 unknown。如果 OCSP 响应程序无法发送响应,则可能会发生这种情况。
设置 OCSP 装订
您可以使用集群管理器 UI、REST API 或rladmin.
启用 OCSP 后,当客户端尝试连接时,服务器始终装订缓存的 OCSP 状态。客户端负责使用装订的 OCSP 状态。某些 Redis 客户端(如 Jedis 和 redis-py)已经支持 OCSP 装订,但其他客户端可能需要其他配置。
Cluster Manager UI 方法
要使用 Redis Enterprise Cluster Manager UI 设置 OCSP 装订:
-
转到 OCSP > 群集 > 安全。
-
在 Responder URI (响应方 URI) 部分中,选择 Replace Certificate (替换证书) 以更新代理证书。
-
提供由第三方 CA 签名的密钥和证书,然后选择 Save (保存)。
-
如果您不想使用查询设置的默认值,请配置查询设置:
名字 默认值 描述 查询频率 1 小时 OCSP 查询到响应方 URI 之间的时间间隔。 响应超时 1 秒 超时前等待响应的时间间隔(以秒为单位)。 恢复频率 1 分钟 查询失败后重试之间的时间间隔。 恢复最大尝试次数 5 验证查询失败并使证书失效之前的重试次数。 -
选择 Enable (启用) 以打开 OCSP 装订。
REST API 方法
要使用 REST API 设置 OCSP 装订:
-
使用 REST API 将代理证书替换为由第三方 CA 签名的证书。
-
要配置和启用 OCSP,请发送
PUT请求发送到/v1/ocspendpoint 并在请求正文中包含 OCSP JSON 对象:{ "ocsp_functionality": true, "query_frequency": 3600, "response_timeout": 1, "recovery_frequency": 60, "recovery_max_tries": 5 }
rladmin method
To set up OCSP stapling with the rladmin command-line utility:
-
Use rladmin to replace the proxy certificate with a certificate signed by your third-party CA.
-
Update the cluster's OCSP settings with the rladmin cluster ocsp config command if you don't want to use their default values.
For example:
rladmin cluster ocsp config recovery_frequency set 30
-
Enable OCSP:
rladmin cluster ocsp config ocsp_functionality set enabled
On this page