Traefik OCSP 装订文档
OCSP(在线证书状态协议)
检查证书状态并执行 OCSP 装订。
OCSP 装订
启用 OCSP 后,Traefik 检查存储中每个提供 OCSP 响应者 URL 的证书的状态(包括默认证书),并将 OCSP 响应装订到 TLS 握手。
OCSP 检查在加载证书时执行,然后每小时执行一次,直到在更新日期的中点前成功为止。
缓存
Traefik 缓存 OCSP 响应,只要相关证书由配置提供。 当证书不再提供时,OCSP 响应有 24 小时 TTL,等待再次提供或最终被移除。 OCSP 响应缓存在内存中,不在 Traefik 重启之间持久化。
配置
通用
启用 OCSP 是安装配置 的一部分。 可以使用文件(YAML 或 TOML)或 CLI 参数定义。
YAML 格式:
yaml
ocsp:
responderOverrides:
- google.com: "http://my-responder.example.com/ocsp"
- "*.example.com": "https://another-responder.example.com/ocsp"
preferredResponders:
- google.com
- "*.example.com"
respondersCacheDuration: "24h"
storeOptions:
default:
caCertificates:
- /path/to/ca.crt
policies:
- name: my-policy
match:
sni: example.com
sans:
- "*.example.com"替换 OCSP 响应者
通过 responderOverrides,可以为特定证书主题使用自定义的 OCSP 响应者。
示例:
yaml
ocsp:
responderOverrides:
- "google.com": "http://my-responder.example.com/ocsp"
- "*.example.com": "https://another-responder.example.com/ocsp"配置选项
| 字段 | 描述 | 默认值 |
|---|---|---|
ocsp.responderOverrides | 覆盖 OCSP 响应者 URL。 | - |
ocsp.preferredResponders | 首选的 OCSP 响应者列表。 | - |
ocsp.respondersCacheDuration | 响应者缓存持续时间。 | 24h |
ocsp.storeOptions | 存储选项(如需更改 CA 证书)。 | - |
适用场景
- 提高 TLS 性能:减少客户端的 OCSP 请求
- 满足合规性要求:实时检查证书状态
- 快速吊销响应:证书吊销后立即生效
- 减少外部依赖:本地检查证书状态
工作原理
- 客户端连接到 Traefik
- Traefik 在 TLS 握手中发送服务器证书
- Traefik 还会发送 OCSP 响应(装订)
- 客户端验证 OCSP 响应,判断证书是否被吊销
- 无需客户端单独请求 OCSP 响应者
在生产环境使用 Traefik OSS?
如果你在工作中使用 Traefik,可以考虑为其添加企业级 API 网关能力或获取 Traefik OSS 的商业支持。