Chciałbym włączyć zszywanie OCSP na moim serwerze Apache. Używam:
- Serwer: Apache / 2.4.7 na Ubuntu
- Certyfikat: Let's Encrypt
Do pliku:
/etc/apache2/sites-available/default-ssl.conf
Dodałem:
SSLUseStapling on
Następnie zredagowałem:
/etc/apache2/mods-available/ssl.conf
dodając ten wiersz:
SSLStaplingCache shmcb:/tmp/stapling_cache(128000)
Przeczytałem, że to wystarczy, aby umożliwić zszywanie OCSP .
Sprawdziłem składnię za pomocą:
sudo apachectl -t
i było OK.
Jednak po ponownym załadowaniu Apache nie może się uruchomić.
EDYCJA 1:
Postępując zgodnie z tym przewodnikiem .
Wewnątrz mojego wirtualnego hosta SSL:
/etc/apache2/sites-available/default-ssl.conf
Dodałem te linie poniżej moich zestawów SSLCertificateFile
, SSLCertificateKeyFile
:
SSLUseStapling on SSLStaplingReturnResponderErrors off SSLStaplingResponderTimeout 5
Następnie edytowałem ten plik:
/etc/apache2/mods-available/ssl.conf
dodając ten wiersz:
SSLStaplingCache shmcb:${APACHE_RUN_DIR}/ssl_stapling_cache(128000)
Teraz mogę ponownie uruchomić Apache bez problemów, jednak wydaje się, że OCSP nie działa, w oparciu o:
openssl s_client -connect www.example.com:443 -servername www.example.com -status < /dev/null
OCSP response: no response sent
Co robię źle, czy jest to coś związanego z moim certyfikatem Let's Encrypt?
ssl
apache-virtualhost
letsencrypt
NineCattoRules
źródło
źródło
LogLevel
aby sprawdzić, czy możesz znaleźć przyczynę niepowodzenia Apache. Jedyny oczywisty, jaki mogę wymyślić, to posiadanie zapory ogniowej ograniczającej ruch wychodzący - musi przepuścić żądanie OCSP.info
pierwszy.Odpowiedzi:
Wpadłem na to jakiś czas temu, ale wydaje mi się, że to naprawiłem.
SSLLabs zgadza się: 97,5% (muszę włączyć szyfr dla mojego telefonu LG)edycja : SSLLabs zgadza się: 100% Naprawiono 100%. Głupie wsparcie dla telefonu i krzywej.
W mojej sytuacji korzystałem ze wspólnej linii:
Zmieniłem na plik fullchain.pem i wszystko jest w porządku.
Alternatywnie możesz dodać linię do pliku VirtualHost
To jest mój pełny
/etc/apache2/conf-enabled/ssl.conf
plik. Jedynymi elementami SSL w pliku VirtualHost sąSSLEngine
,SSLCertificateFile
iSSLCertificateKeyFile
.Nadal pracuję nad OCSP Must StapleEdit1: Got OCSP Must Zszywanie roboczego. Jest to opcja w kliencie certbot:
źródło
Aby odpowiedzieć na twoje pytanie, kopiuję i wklejam niektóre
apache2.conf
ustawienia mojego serwera Apache, który zapewnia szyfrowanie klasy A na mojej stronie za pomocą certyfikatów Let's Encrypt SSL:Dodatkowo możesz zobaczyć tę odpowiedź na wzmocnienie
SSLCipherSuite
.źródło