Ich möchte das OCSP-Heften auf meinem Apache-Server aktivieren . Ich benutze:
- Server: Apache / 2.4.7 unter Ubuntu
- Zertifikat: Verschlüsseln
Zur Datei:
/etc/apache2/sites-available/default-ssl.conf
Ich fügte hinzu:
SSLUseStapling on
Dann habe ich bearbeitet:
/etc/apache2/mods-available/ssl.conf
Hinzufügen dieser Zeile:
SSLStaplingCache shmcb:/tmp/stapling_cache(128000)
Ich habe gelesen, dass dies ausreichen würde, um das OCSP-Heften zu ermöglichen .
Ich habe die Syntax überprüft mit:
sudo apachectl -t
und es war in Ordnung.
Beim erneuten Laden kann Apache jedoch nicht gestartet werden.
EDIT1:
Befolgen Sie diese Anleitung .
In meiner virtuellen SSL-Hostdatei:
/etc/apache2/sites-available/default-ssl.conf
Ich habe diese Zeilen unter meinen Sätzen SSLCertificateFile
, SSLCertificateKeyFile
:
SSLUseStapling on SSLStaplingReturnResponderErrors off SSLStaplingResponderTimeout 5
Ich habe dann diese Datei bearbeitet:
/etc/apache2/mods-available/ssl.conf
Hinzufügen dieser Zeile:
SSLStaplingCache shmcb:${APACHE_RUN_DIR}/ssl_stapling_cache(128000)
Ich kann Apache jetzt ohne Probleme neu starten, OCSP scheint jedoch nicht zu funktionieren, basierend auf:
openssl s_client -connect www.example.com:443 -servername www.example.com -status < /dev/null
OCSP response: no response sent
Was mache ich falsch, hängt es mit meinem Let's Encrypt-Zertifikat zusammen?
quelle
LogLevel
zu sehen, ob Sie den Grund dafür finden können, dass Apache fehlgeschlagen ist. Das einzig offensichtliche, an das ich denken kann, ist, wenn Sie eine Firewall haben, die den ausgehenden Verkehr einschränkt - sie muss die OCSP-Anforderung durchlassen.info
zuerst versuchen .Antworten:
Ich bin vor einiger Zeit selbst darauf gestoßen, aber ich habe es anscheinend behoben.
SSLLabs stimmt zu: 97,5% (Ich muss eine Verschlüsselung für mein LG-Telefon aktivieren)Bearbeiten : SSLLabs stimmt zu: 100% 100% behoben. Dumme Telefon- und Kurvenunterstützung.
In meiner Situation benutzte ich die gemeinsame Linie:
Ich habe zur Datei fullchain.pem gewechselt und alles ist gut.
Alternativ können Sie Ihrer VirtualHost-Datei eine Zeile hinzufügen
Dies ist meine vollständige
/etc/apache2/conf-enabled/ssl.conf
Datei. Die einzigen SSL - Elemente in der Datei Virtualhost sindSSLEngine
,SSLCertificateFile
undSSLCertificateKeyFile
.Ich arbeite immer noch an OCSP Must StapleEDIT1: Got OCSP Must Staple Arbeiten. Dies ist eine Option im certbot-Client:
quelle
Zur Beantwortung Ihrer Frage kopiere und füge ich einige
apache2.conf
Einstellungen meines Apache-Servers ein, der auf meiner Seite eine Verschlüsselung der Klasse A mit Let's Encrypt SSL-Zertifikaten bietet:Zusätzlich können Sie diese Antwort zur Stärkung der sehen
SSLCipherSuite
.quelle