ホーム オートメーション プロジェクト用に、API (ASP.NET で記述されているため、IIS でホスト) を作成し、この API と通信する独自の Android アプリを作成しました。この API の特定のエンドポイントにユーザーがアクセスできないようにするために、公開されないはずのエンドポイントを保護します。統計ダッシュボードでは、一部は公開されたままになります。
私は、公式かつ政府公認の組織から購入したアプリ用のクライアント PKI 証明書を持っており、これには OCSP レスポンダー URL が含まれています。アプリが保護されたエンドポイントにアクセスすると、この証明書が含まれます。最後のステップは、サーバーが受信要求に対してこの証明書の有効性を検証することです。次のようなシナリオが考えられます。
- 証明書は有効です
- 証明書の CA 階層が無効です (私はプログラマーなので、文章がおかしかったらお詫びします)
- 証明書の有効期限が切れています(OCSP レスポンダーがそれを返すと思います)
- 証明書は付属しません
IIS はこの問題を解決できますか? 私が実際に見つけたのは、クライアント証明書に関連しない OCSP ステープルだけです。基本的に、TLS ハンドシェイクをキャンセルして、API にアクセスできないようにする必要があります。
HAProxy を使用して、ネットワーク内の適切なサーバーにリクエストをルーティングしています。IIS が不可能な場合、HAProxy でこれを行うことはできますか?
ありがとう!
答え1
IIS は OCSP を使用してクライアント証明書を検証できます。私の知る限り、HAProxy は検証できません。最善の方法は、クライアント証明書を IIS バックエンドにパススルーすることです。
証明書の失効ステータスを確認するには、OCSP または証明書失効リスト (CRL) のみを使用し、他のものは使用しないことに注意してください。
したがって、証明書の検証は、OCSP (または CRL) が使用されているかどうかに関係なく、証明書から信頼アンカーまでのチェーンのチェック、証明書の有効期限が切れていないこと、および証明書のキー使用が正しいことの確認で構成されます。