1.etcd如何使用crl,或者说是否有验证crl的功能?
2.使用openssl生成的证书中加入了crlDistributionPoints字段,那么从吊销列表分发点获取crl这件事情是否需要依赖于具体应用程序的实现?
3.如果使用OCSP,向负责验证证书的服务端发送的东西应该包含哪些内容?
emmm,,好多天都没人回答,,,自己这几天花费一番功夫搞明白了
1.etcd如何使用crl,或者说是否有验证crl的功能?
etcd3.3版本之前不支持任何对crl的验证,etcd3.3之后支持在服务端启动时使用选项--client-crl-file file嵌入本地crl文件来验证客户端证书,
同理使用--peer-crl-file验证同伴证书,
目前客户端不支持任何crl的验证
2.使用openssl生成的证书中加入了crlDistributionPoints字段,那么从吊销列表分发点获取crl这件事情是否需要依赖于具体应用程序的实现?
是的,例如目前很多浏览器已经弃用了crl的功能,采用ocsp的方式验证证书
目前etcd不支持ocsp!