启用OCSP装订

使用OCSP装订来验证由第三方CA维护的证书,并验证客户端和服务器之间的连接尝试。

OCSP (Online Certificate Status Protocol) 允许客户端或服务器验证由第三方证书颁发机构 (CA)维护的证书的状态(GOODREVOKEDUNKNOWN)。

要检查证书是否仍然有效或已被撤销,客户端或服务器可以向CA的OCSP服务器(也称为OCSP响应者)发送请求。OCSP响应者检查CA的证书撤销列表中的证书状态,并将状态作为签名和时间戳的响应发送回来。

OCSP 装订概述

启用OCSP后,Redis Enterprise服务器会定期向CA的OCSP响应器查询证书的状态。收到响应后,服务器会缓存此状态,直到下一次轮询尝试。

当客户端尝试连接到Redis Enterprise服务器时,他们会执行TLS握手以验证服务器并创建安全的加密连接。在TLS握手期间,OCSP装订允许Redis Enterprise服务器将缓存的证书状态发送(或“装订”)给客户端。

如果装订的OCSP响应确认证书仍然有效,TLS握手成功,客户端连接到服务器。

TLS握手失败,如果钉住的OCSP响应指示以下任一情况,客户端将阻止与服务器的连接:

  • 证书已被撤销。

  • 证书的状态未知。如果OCSP响应者未能发送响应,可能会发生这种情况。

设置OCSP装订

您可以通过集群管理器用户界面REST APIrladmin为您的Redis企业集群配置并启用OCSP装订。

当启用OCSP时,服务器在客户端尝试连接时总是会附加缓存的OCSP状态。客户端有责任使用附加的OCSP状态。一些Redis客户端,如Jedisredis-py,已经支持OCSP附加,但其他客户端可能需要额外的配置。

集群管理器UI方法

要通过Redis企业集群管理器UI设置OCSP装订:

  1. 转到集群 > 安全 > OCSP

  2. 响应者URI部分,选择替换证书以更新代理证书。

  3. 提供由您的第三方CA签名的密钥和证书,然后选择保存

  4. 如果您不想使用默认值,请配置查询设置:

    名称 默认值 描述
    查询频率 1小时 向响应者URI发送OCSP查询的时间间隔。
    响应超时 1 秒 在超时之前等待响应的秒数时间间隔。
    恢复频率 1 分钟 查询失败后重试的时间间隔。
    恢复最大尝试次数 5 验证查询失败并使证书失效前的重试次数。

  5. 选择启用以开启OCSP装订。

REST API 方法

要使用REST API设置OCSP装订:

  1. 使用REST API替换代理证书为您的第三方CA签名的证书。

  2. 要配置和启用OCSP,请发送一个PUT请求到/v1/ocsp端点,并在请求体中包含一个OCSP JSON对象

    {
    "ocsp_functionality": true,
    "query_frequency": 3600,
    "response_timeout": 1,
    "recovery_frequency": 60,
    "recovery_max_tries": 5
}

rladmin 方法

要使用rladmin命令行工具设置OCSP装订:

  1. 使用rladmin替换代理证书为由您的第三方CA签名的证书。

  2. 如果您不想使用默认值,请使用rladmin cluster ocsp config命令更新集群的OCSP设置。

    例如:

    rladmin cluster ocsp config recovery_frequency set 30

  3. 启用OCSP:

    rladmin cluster ocsp config ocsp_functionality set enabled
RATE THIS PAGE
Back to top ↑