9 июл. 2025 г.

Apache - Включение OCSP Stapling

Предыдущие шаги: 

• OCSP Stapling  

• Установка SSL-сертификата - Apache 

Включить сшивание OCSP 

1. Убедитесь, что установлен версия Apache 2.3.3 или выше. 
   
   apache2 -v 
   
   Примечание: Вышеуказанное относится к Debian и Ubuntu. Для пользователей Red Hat и CentOS замените apache2 на httpd. 

2. Отредактируйте файл конфигурации виртуального хоста для вашего сайта с использованием предпочитаемого редактора (например, nano или vi): 
   
   nano /etc/apache2/sites-available/example.com-ssl.conf 

3. Включите OCSP Stapling с помощью следующей записи: 
   
   SSLUseStapling on 
   
   Установите количество секунд ожидания ответа OCSP от Удостоверяющего Центра, и запретите вывод ошибок для пользователя: SSLStaplingResponderTimeout 5 
   SSLStaplingReturnResponderErrors off 

4. Укажите на полный файл цепочки доверенных сертификатов. Он должен содержать все сертификаты: корневой, промежуточный и сертификат сервера. 
   
   SSLCACertificateFile /etc/apache2/ssl/full_chain.pem 

5. Укажите местоположение кэшированного ответа OCSP: 
   SSLStaplingCache shmcb:/var/run/ocsp(128000) 
   
   Примечание: Это должно быть размещено за пределами тегов <VirtualHost>, иначе Apache не запустится. 
   
   Ниже приведен пример конфигурации:
   
   

6. Проверьте вашу конфигурацию перед перезагрузкой: 
   
   apachectl -t 

7. Перезапустите службу Apache, если все в порядке: 
   
   service apache2 reload 

8. Убедитесь, что OCSP Stapling работает, проверив ваш домен с помощью GlobalSign's SSL Checker