Verschlüsseln wir - Apache - OCSP-Heften

11

Ich möchte das OCSP-Heften auf meinem Apache-Server aktivieren . Ich benutze:

Zur Datei:

/etc/apache2/sites-available/default-ssl.conf

Ich fügte hinzu:

SSLUseStapling on

Dann habe ich bearbeitet:

/etc/apache2/mods-available/ssl.conf

Hinzufügen dieser Zeile:

SSLStaplingCache shmcb:/tmp/stapling_cache(128000)

Ich habe gelesen, dass dies ausreichen würde, um das OCSP-Heften zu ermöglichen .

Ich habe die Syntax überprüft mit:

sudo apachectl -t

und es war in Ordnung.

Beim erneuten Laden kann Apache jedoch nicht gestartet werden.

EDIT1:

Befolgen Sie diese Anleitung .

In meiner virtuellen SSL-Hostdatei:

/etc/apache2/sites-available/default-ssl.conf

Ich habe diese Zeilen unter meinen Sätzen SSLCertificateFile, SSLCertificateKeyFile:

SSLUseStapling on
SSLStaplingReturnResponderErrors off
SSLStaplingResponderTimeout 5

Ich habe dann diese Datei bearbeitet:

/etc/apache2/mods-available/ssl.conf

Hinzufügen dieser Zeile:

SSLStaplingCache shmcb:${APACHE_RUN_DIR}/ssl_stapling_cache(128000)

Ich kann Apache jetzt ohne Probleme neu starten, OCSP scheint jedoch nicht zu funktionieren, basierend auf:

openssl s_client -connect www.example.com:443 -servername www.example.com -status < /dev/null
OCSP response: no response sent

Was mache ich falsch, hängt es mit meinem Let's Encrypt-Zertifikat zusammen?

NineCattoRules
quelle
Ich gehe davon aus, dass in Ihrer Konfiguration eine anonyme Zuordnung verwendet wird, sodass der Dateiname eigentlich keine Rolle spielt. Der Fehler besagt, dass der Arbeitsspeicher knapp wird. Ist es möglich, dass Sie ein Ressourcenlimit festgelegt haben, das verhindert, dass der gemeinsam genutzte Speicher abgerufen wird?
Derobert
@derobert bitte überprüfen Sie mein Update
NineCattoRules
3
Das sieht so aus, als ob es funktionieren sollte - ich habe eine ähnliche Konfiguration und sie funktioniert (obwohl mein Staping-Setup serverweit ist und nicht nur ein vhost). Ich würde vorschlagen, zu ändern, um LogLevelzu sehen, ob Sie den Grund dafür finden können, dass Apache fehlgeschlagen ist. Das einzig offensichtliche, an das ich denken kann, ist, wenn Sie eine Firewall haben, die den ausgehenden Verkehr einschränkt - sie muss die OCSP-Anforderung durchlassen.
Derobert
1
Haben Sie versucht, die LogLevel zu ändern, um festzustellen, ob Apache eine Fehlermeldung enthält?
Derobert
1
Zwischen warn und debug gibt es einige Protokollebenen . Ich würde es infozuerst versuchen .
Derobert

Antworten:

0

Ich bin vor einiger Zeit selbst darauf gestoßen, aber ich habe es anscheinend behoben.

$ openssl s_client -connect berb.ec:443 -servername berb.ec -status < /dev/null 2>&1 | grep "OCSP Response Status"
OCSP Response Status: successful (0x0)

SSLLabs stimmt zu: 97,5% (Ich muss eine Verschlüsselung für mein LG-Telefon aktivieren)

Bearbeiten : SSLLabs stimmt zu: 100% 100% behoben. Dumme Telefon- und Kurvenunterstützung.

In meiner Situation benutzte ich die gemeinsame Linie:

SSLCertificateFile /etc/letsencrypt/live/berb.ec/cert.pem

Ich habe zur Datei fullchain.pem gewechselt und alles ist gut.

SSLCertificateFile /etc/letsencrypt/live/berb.ec/fullchain.pem

Alternativ können Sie Ihrer VirtualHost-Datei eine Zeile hinzufügen

SSLCACertificateFile /etc/letsencrypt/live/berb.ec/chain.pem

Dies ist meine vollständige /etc/apache2/conf-enabled/ssl.confDatei. Die einzigen SSL - Elemente in der Datei Virtualhost sind SSLEngine, SSLCertificateFileund SSLCertificateKeyFile.

SSLProtocol             -all +TLSv1.2
SSLCipherSuite          ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384
SSLOpenSSLConfCmd       DHParameters    "/etc/apache2/dhparam4096.pem"
SSLOpenSSLConfCmd       ECDHParameters secp384r1
SSLOpenSSLConfCmd       Curves          secp521r1:secp384r1
SSLUseStapling          On
SSLStaplingCache        "shmcb:/logs/ssl_stapling(32768)"
SSLCompression off
SSLHonorCipherOrder on
Header always set X-Frame-Options SAMEORIGIN
Header always edit Set-Cookie (.*) "$1;HttpOnly;Secure"
Header edit Set-Cookie ^(.*)$ $1;HttpOnly;Secure
Header always set X-Content-Type-Options nosniff
SSLOptions +StrictRequire

Ich arbeite immer noch an OCSP Must Staple

EDIT1: Got OCSP Must Staple Arbeiten. Dies ist eine Option im certbot-Client:

certbot --must-staple --rsa-key-size 4096
Peter Berbec
quelle
0

Zur Beantwortung Ihrer Frage kopiere und füge ich einige apache2.confEinstellungen meines Apache-Servers ein, der auf meiner Seite eine Verschlüsselung der Klasse A mit Let's Encrypt SSL-Zertifikaten bietet:

#Required modules
LoadModule socache_shmcb_module /usr/lib/apache2/modules/mod_socache_shmcb.so
LoadModule ssl_module           /usr/lib/apache2/modules/mod_ssl.so

#SSL settings
SSLCipherSuite ECDHE:AES256-SHA:AES128-SHA:DES-CBC3-SHA:!RC4
SSLHonorCipherOrder on
SSLRandomSeed connect file:/dev/urandom 32
SSLSessionCache shmcb:${APACHE_RUN_DIR}/ssl(512000)
SSLSessionCacheTimeout 86400
SSLStaplingCache shmcb:${APACHE_RUN_DIR}/ocsp(128000)
SSLUseStapling on

Zusätzlich können Sie diese Antwort zur Stärkung der sehen SSLCipherSuite.

ncomputer
quelle