Apache - Habilitar Grapado OCSP

17 jun. 2022

Lectura previa:

Asegúrese de que Apache 2.3.3 o superior esté instalado.

apache2 -v

Nota: Lo anterior se aplica a los entornos Debian y Ubuntu; Los usuarios de Red Hat y CentOS, reemplace apache2 con httpd.
Edite el archivo de configuración de host virtual para su sitio utilizando el editor de su elección (como nano o vi):

nano /etc/apache2/sites-available/example.com-ssl.conf
Active el grapado OCSP con la siguiente entrada:

SSLUseStapling on
Establezca el número de segundos para esperar una respuesta OCSP de CA para evitar mensajes de error de usuario:

SSLStaplingResponderTimeout 5
SSLStaplingReturnResponderErrors off
Indique un archivo de plena confianza para la cadena del certificado. Este debe contener todos los certificados: raíz, intermedio y servidor.

SSLCACertificateFile /etc/apache2/ssl/full_chain.pem
Especifique la ubicación de respuesta almacenada en caché de OCSP:
SSLStaplingCache shmcb:/var/run/ocsp(128000)

Nota: Esto debe colocarse fuera de las <VirtualHost> etiquetas o Apache no se iniciará.

Utilice la configuración de ejemplo siguiente como referencia:
Pruebe la configuración antes de volver a cargar:
apachectl -t
Reinicie el servicio Apache si está bien:
recarga del servicio apache2
Verifique que OCSP Stapling esté funcionando comprobando su dominio con el Comprobador SSL de GlobalSign.

Ver alertas recientes del sistema.

Escanee sus puntos finales (endpoints) para localizar todos sus Certificados.

Verifique la instalación de su certificado para detectar problemas y vulnerabilidades de SSL.

Si usted es un usuario del Portal Atlas, Por favor envie su solicitud a support-atlas@globalsign.com.