Centos 7 머신이 3대 있습니다.
첫 번째 컴퓨터에 FreeIPA 서버를 설치했습니다. 이는 내 네트워크에서 인증 기관 역할을 합니다. 이것이 내 CA입니다.
FreeIPA 클라이언트가 설치된 다른 컴퓨터가 있습니다. 이 시스템은 제3의 시스템에 웹 서비스를 제공할 수 있습니다. CA에서 생성한 인증서가 있습니다.
세 번째 시스템에는 freeipa가 설치되어 있지 않으며 두 번째 시스템에서 https 요청을 수행합니다.
OCSP 스테이플링을 사용하고 싶습니다.
/etc/httpd/conf.d/ssl.conf그래서 두 번째 컴퓨터에 다음 줄을 추가했습니다.
SSLUseStapling on
SSLStaplingCache shmcb:/run/httpd/sslcache(512000)
그리고 httpd를 다시 시작하세요.
컬을 사용하여 세 번째 컴퓨터에서 https 요청을 하면 다음과 같은 메시지가 나타납니다.OCSP 응답이 전송되지 않았습니다..
그래서 내 CA(첫 번째 컴퓨터의 Freeipa 서버)가 제대로 구성되지 않은 것 같습니다.
나는 변화를 시도한다nss 구성 파일/etc/pki/pki-tomcat/ca/CS.cfgCA에서는 ocsp 스테이플링을 활성화 하려고 했지만 성공하지 못했습니다. 나는 모른다.
IPA 서버를 체크인했다고 덧붙였습니다ca.ocsp=true존재하다 /var/lib/pki/pki-tomcat/ca/conf/CS.cfg.
도와주세요? 나는 매우 감사하게 될 것입니다.
매우 감사합니다.
편집하다:
https 서버의 인증서에는 ocsp 응답자 URL이 포함된 권한 정보 액세스 확장이 있고 해당 URL이 정확합니다.
방화벽이 비활성화되었습니다.
openssl ocsp -issuer ca.cert -cert server.cert -text -url http://ipa-ca.mydomain.com/ca/ocspocsp 응답을 제공하지만 명령은 openssl s_client -connect myserver.mydomain.com:443 -tls1 -tlsextdebug -status제공합니다ocsp 응답: 응답이 전송되지 않았습니다..
ocsp 응답자는 괜찮은 것으로 알고 있는데 스테이플링이 작동하지 않습니다...
답변1
openssl ocsp ...테스트를 했다고 해보자.~에서 myserver.mydomain.com, myserver.mydomain.com이 OCSP 응답자에 연결된 것처럼 보입니다.
그 다음으로 결정해야 할 것은Apache HTTPS 서버 프로세스이 연결을 사용할 수 있나요? CentOS 7에는 기본적으로 SELinux가 활성화되어 있으며 httpdOCSP 스테이플링을 사용하면 httpd프로세스에서 OCSP 응답자로 나가는 TCP 연결을 설정할 수 있어야 합니다. 이렇게 하려면 다음을 수행해야 합니다.
setsebool -P httpd_can_network_connect 1
이 설정이 없으면 httpd프로세스는 나가는 TCP 연결을 설정할 수 없으며 들어오는 연결에만 응답할 수 있습니다. 이렇게 하면 OCSP 요청이 발생하지 않게 됩니다.
또한 HTTPS 서버의 로그도 검토해야 합니다. 다음과 같은 오류 메시지가 기록되는 경우:
AH02217: ssl_stapling_init_cert: Can't retrieve issuer certificate!
그러면 문제는 HTTPS 서버에 OCSP 응답자가 사용할 수 있는 CA 인증서 체인이 없으므로 OCSP 응답자로부터 받은 응답의 신뢰성을 확인할 수 없다는 것입니다. 이 문제를 해결하려면 HTTPS 서버 구성의 또는 지시문을 사용하여 SSLCertificateFileHTTPS 서버에 적절한 CA 인증서를 제공 해야 합니다. SSLCertificateChainFile를 사용하는 경우 SSLCertificateFile관련 중간 CA 및 루트 CA의 PEM 형식 인증서를 HTTPS 서버 인증서가 포함된 파일에 추가하기만 하면 됩니다.