Apache - Habilitar grapado OCSP

Lectura previa:

•  OCSP Stapling
• Instalar certificado SSL - Apache

Habilitar OCSP Stapling

1. Asegúrese de que tenga instalado Apache 2.3.3 o superior. apache2 -v Nota: Lo anterior solo se aplica a entornos Debian y Ubuntu; usuarios de Red Hat & CentOS, reemplace
   
   apache2 con httpd.
2. Edite el archivo de configuración del host virtual para su sitio utilizando el editor de su elección (como nano o vi):
   
   nano /etc/apache2/sites-available/example.com-ssl.conf
3. Activar el OCSP stapling con la siguiente entrada:
   
   SSLUseStapling on
4. Establezca el número de segundos para esperar una respuesta OCSP de CA para evitar mensajes de error de usuario:
   
   SSLStaplingResponderTimeout 5
   SSLStaplingReturnResponderErrors off
5. Indique un archivo de plena confianza para la cadena del certificado. Este debe contener todos los certificados: raíz, intermedio y servidor.
   
   SSLCACertificateFile /etc/apache2/ssl/full_chain.pem
6. Especifique la ubicación de respuesta almacenada en caché del OCSP:

          SSLStaplingCache shmcb:/var/run/ocsp(128000)

Nota: Esto debe colocarse fuera de las etiquetas <VirtualHost> o Apache no se iniciará.

Utilice la configuración de ejemplo siguiente como referencia:  

 

1. Pruebe la configuración antes de volver a cargarla: apachectl -t
2. Reinicie el servicio Apache si todo está bien: service apache2 reload
3. Compruebe que el OCSP Stapling funcione comprobando su dominio con Comprobador SSL de GlobalSign.