Apache 서버에서 OCSP 스테이플 링 을 활성화 하고 싶습니다. 나는 사용하고있다 :
- 서버 : Ubuntu의 Apache / 2.4.7
- 증명서 : 암호화하자
파일로 :
/etc/apache2/sites-available/default-ssl.conf
나는 덧붙였다 :
SSLUseStapling on
그런 다음 편집했습니다.
/etc/apache2/mods-available/ssl.conf
이 줄을 추가 :
SSLStaplingCache shmcb:/tmp/stapling_cache(128000)
나는 이것이 OCSP 스테이플 링을 가능하게하기에 충분하다는 것을 읽었다 .
구문을 확인했습니다.
sudo apachectl -t
그리고 괜찮 았습니다.
그러나 다시로드하면 Apache를 시작할 수 없습니다.
편집 1 :
내 SSL 가상 호스트 파일 내부 :
/etc/apache2/sites-available/default-ssl.conf
나는 내 세트 아래에 다음 라인을 추가 SSLCertificateFile, SSLCertificateKeyFile:
SSLUseStapling on SSLStaplingReturnResponderErrors off SSLStaplingResponderTimeout 5
그런 다음이 파일을 편집했습니다.
/etc/apache2/mods-available/ssl.conf
이 줄을 추가 :
SSLStaplingCache shmcb:${APACHE_RUN_DIR}/ssl_stapling_cache(128000)
이제 문제없이 Apache를 다시 시작할 수 있지만 OCSP는 다음을 기반으로 작동하지 않는 것 같습니다.
openssl s_client -connect www.example.com:443 -servername www.example.com -status < /dev/null
OCSP response: no response sent
내가 뭘 잘못하고 있는데, Let ‘s Encrypt 인증서와 관련이 있습니까?
답변
나는 얼마 전에 이것을 직접 만났지만 그것을 고친 것 같습니다.
$ openssl s_client -connect berb.ec:443 -servername berb.ec -status < /dev/null 2>&1 | grep "OCSP Response Status"
OCSP Response Status: successful (0x0)
SSLLabs는 다음과 같이 동의합니다. 97.5 % (LG 전화에 대한 암호를 활성화해야 함)
편집 : SSLLabs는 다음 과 같이 동의합니다. 100 % 고정 100 %. 어리석은 전화 및 곡선 지원.
내 상황에서 나는 일반적인 줄을 사용하고 있었다 :
SSLCertificateFile /etc/letsencrypt/live/berb.ec/cert.pem
fullchain.pem 파일로 변경했는데 모두 정상입니다.
SSLCertificateFile /etc/letsencrypt/live/berb.ec/fullchain.pem
또는 VirtualHost 파일에 줄을 추가 할 수 있습니다
SSLCACertificateFile /etc/letsencrypt/live/berb.ec/chain.pem
이것은 내 전체 /etc/apache2/conf-enabled/ssl.conf파일입니다. 가상 호스트 파일에있는 유일한 SSL 항목은이다 SSLEngine, SSLCertificateFile하고 SSLCertificateKeyFile.
SSLProtocol -all +TLSv1.2
SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384
SSLOpenSSLConfCmd DHParameters "/etc/apache2/dhparam4096.pem"
SSLOpenSSLConfCmd ECDHParameters secp384r1
SSLOpenSSLConfCmd Curves secp521r1:secp384r1
SSLUseStapling On
SSLStaplingCache "shmcb:/logs/ssl_stapling(32768)"
SSLCompression off
SSLHonorCipherOrder on
Header always set X-Frame-Options SAMEORIGIN
Header always edit Set-Cookie (.*) "$1;HttpOnly;Secure"
Header edit Set-Cookie ^(.*)$ $1;HttpOnly;Secure
Header always set X-Content-Type-Options nosniff
SSLOptions +StrictRequire
나는 아직도 OCSP Must Staple에서 일하고 있습니다.
EDIT1 : 있어 OCSP에서 꼭 스테이플 작업. certbot 클라이언트의 옵션입니다.
certbot --must-staple --rsa-key-size 4096
답변
귀하의 질문에 대답하기 위해 apache2.confSSL 인증서로 Let ‘s Encrypt SSL을 사용하여 내 페이지에 A 등급 암호화를 제공하는 Apache 서버의 일부 설정을 복사하여 붙여 넣습니다 .
#Required modules
LoadModule socache_shmcb_module /usr/lib/apache2/modules/mod_socache_shmcb.so
LoadModule ssl_module /usr/lib/apache2/modules/mod_ssl.so
#SSL settings
SSLCipherSuite ECDHE:AES256-SHA:AES128-SHA:DES-CBC3-SHA:!RC4
SSLHonorCipherOrder on
SSLRandomSeed connect file:/dev/urandom 32
SSLSessionCache shmcb:${APACHE_RUN_DIR}/ssl(512000)
SSLSessionCacheTimeout 86400
SSLStaplingCache shmcb:${APACHE_RUN_DIR}/ocsp(128000)
SSLUseStapling on
또한 을 강화하기 위해이 답변 을 볼 수 있습니다 SSLCipherSuite.