활성화하고 싶습니다OCSP 바인딩내 Apache 서버에서. 나는 다음을 사용하고 있습니다 :
- 서버: Ubuntu의 Apache/2.4.7
- 자격증:암호화하자
파일로:
/etc/apache2/sites-available/default-ssl.conf
나는 다음을 추가했다:
SSLUseStapling on
그런 다음 편집합니다.
/etc/apache2/mods-available/ssl.conf
다음 줄을 추가하세요.
SSLStaplingCache shmcb:/tmp/stapling_cache(128000)
이 정도면 OCSP 스테이플링을 활성화하기에 충분하다는 것을 읽었습니다..
구문을 확인했습니다.
sudo apachectl -t
그것은 중요하지 않습니다.
그러나 다시 로드한 후 Apache가 시작되지 않습니다.
편집 1:
내 SSL 가상 호스트 파일에서:
/etc/apache2/sites-available/default-ssl.conf
내 ,group 아래에 다음 줄을 추가했습니다 SSLCertificateFile
.SSLCertificateKeyFile
SSLUseStapling on SSLStaplingReturnResponderErrors off SSLStaplingResponderTimeout 5
그런 다음 이 파일을 편집했습니다.
/etc/apache2/mods-available/ssl.conf
다음 줄을 추가하세요.
SSLStaplingCache shmcb:${APACHE_RUN_DIR}/ssl_stapling_cache(128000)
이제 문제 없이 Apache를 다시 시작할 수 있지만 다음 사항에 따라 OCSP가 작동하지 않는 것 같습니다.
openssl s_client -connect www.example.com:443 -servername www.example.com -status < /dev/null
OCSP response: no response sent
제가 뭔가 잘못하고 있는 건가요? 이것이 내 Let's Encrypt 인증서와 관련이 있나요?
답변1
얼마 전 이 문제에 직면했는데 해결한 것 같습니다.
$ openssl s_client -connect berb.ec:443 -servername berb.ec -status < /dev/null 2>&1 | grep "OCSP Response Status"
OCSP Response Status: successful (0x0)
SSLLabs 동의: 97.5%(LG 휴대폰에 비밀번호를 활성화해야 합니다)
편집하다:SSLLabs는 동의합니다: 100%100% 고정되었습니다. 어리석은 전화 및 곡선 지원.
내 경우에는 일반 줄을 사용하고 있습니다.
SSLCertificateFile /etc/letsencrypt/live/berb.ec/cert.pem
fullchain.pem 파일로 변경했는데 모든 것이 잘 작동합니다.
SSLCertificateFile /etc/letsencrypt/live/berb.ec/fullchain.pem
또는 VirtualHost 파일에 줄을 추가할 수 있습니다.
SSLCACertificateFile /etc/letsencrypt/live/berb.ec/chain.pem
여기 내 전체 /etc/apache2/conf-enabled/ssl.conf
파일이 있습니다. VirtualHost 파일의 유일한 SSL 항목은 SSLEngine
, SSLCertificateFile
및 입니다 SSLCertificateKeyFile
.
SSLProtocol -all +TLSv1.2
SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384
SSLOpenSSLConfCmd DHParameters "/etc/apache2/dhparam4096.pem"
SSLOpenSSLConfCmd ECDHParameters secp384r1
SSLOpenSSLConfCmd Curves secp521r1:secp384r1
SSLUseStapling On
SSLStaplingCache "shmcb:/logs/ssl_stapling(32768)"
SSLCompression off
SSLHonorCipherOrder on
Header always set X-Frame-Options SAMEORIGIN
Header always edit Set-Cookie (.*) "$1;HttpOnly;Secure"
Header edit Set-Cookie ^(.*)$ $1;HttpOnly;Secure
Header always set X-Content-Type-Options nosniff
SSLOptions +StrictRequire
저는 아직도 OCSP Must Staple을 작업 중입니다.
편집 1:얻다OCSP는 스테이플링되어야 합니다.피복재. 이것은 certbot 클라이언트의 옵션입니다:
certbot --must-staple --rsa-key-size 4096
답변2
apache2.conf
귀하의 질문에 답변하기 위해 Let's Encrypt SSL 인증서를 사용하여 내 페이지에 레벨 A 암호화를 제공하는 Apache 서버에 대한 일부 설정을 복사하여 붙여넣었습니다.
#Required modules
LoadModule socache_shmcb_module /usr/lib/apache2/modules/mod_socache_shmcb.so
LoadModule ssl_module /usr/lib/apache2/modules/mod_ssl.so
#SSL settings
SSLCipherSuite ECDHE:AES256-SHA:AES128-SHA:DES-CBC3-SHA:!RC4
SSLHonorCipherOrder on
SSLRandomSeed connect file:/dev/urandom 32
SSLSessionCache shmcb:${APACHE_RUN_DIR}/ssl(512000)
SSLSessionCacheTimeout 86400
SSLStaplingCache shmcb:${APACHE_RUN_DIR}/ocsp(128000)
SSLUseStapling on
또한 당신은 볼 수 있습니다이 답변강화하다 SSLCipherSuite
.