hello,想咨询一下,开启TLS双向校验后,服务端和客户端都会自动获取证书中的CRL和OCSPServer信息来校验证书的有效性吗?还是只做简单的CN校验和证书链合法性?
默认不会自动把证书里的 CRL/OCSP 地址都拉一遍做在线吊销校验。
在 EMQX 的双向 TLS(mTLS)里,服务端对客户端证书默认主要做的是 TLS 基础校验:
- 证书链是否能被信任 CA 验证
- 证书是否过期/签名是否合法
-(按 TLS 配置)是否要求客户端必须带证书
CRL / OCSP 是额外机制,需要显式开启: - CRL:
ssl_options.enable_crl_check = true后,才会做 CRL 吊销检查。 - OCSP:EMQX 侧提供的是 OCSP Stapling 配置(监听器
ocsp.*),本质是 EMQX 为“自己的服务端证书”准备 stapled OCSP 响应给客户端,不是默认对客户端证书做在线 OCSP 查询。
所以你提到的两种理解里,更接近后者:默认是证书链/有效期这类基础校验;吊销状态校验(CRL/OCSP)要单独配置。
