5 февр. 2025 г.

Apache - Включить сшивание OCSP

Предыдущее чтение: 

• Сшивание OCSP 

• Установка SSL-сертификата - Apache 

Включить сшивание OCSP 

1. Убедитесь, что установлен Apache 2.3.3 или выше. 

   apache2 -v 

   Примечание: Вышеуказанное относится к средам Debian и Ubuntu; пользователи Red Hat и CentOS, замените apache2 на httpd. 

2. Отредактируйте файл конфигурации виртуального хоста для вашего сайта с помощью выбранного вами редактора (например, nano или vi): 
   
   nano /etc/apache2/sites-available/example.com-ssl.conf 

3. Включите сшивание OCSP с помощью следующей записи: 
   
   SSLUseStapling on 

4. Установите количество секунд ожидания ответа OCSP от центра сертификации и предотвратите появление сообщений об ошибках: 
   
   SSLStaplingResponderTimeout 5 
   SSLStaplingReturnResponderErrors off 

5. Укажите на полный файл цепочки доверенных сертификатов. Он должен содержать все сертификаты: корневой, промежуточный и серверный.
   
   SSLCACertificateFile /etc/apache2/ssl/full_chain.pem  

6. Укажите местоположение кэшированного ответа OCSP: ​​​​​​​

    SSLStaplingCache shmcb:/var/run/ocsp(128000) 

   Примечание: Это должно быть размещено вне тегов <VirtualHost>, иначе Apache не запустится. 

   Используйте пример конфигурации ниже в качестве ссылки: 
   
   

7. Проверьте свою конфигурацию перед перезагрузкой: 
   
   apachectl -t 

8. Перезапустите службу Apache, если все в порядке: 
   
   service apache2 reload 

9. Убедитесь, что OCSP Stapling работает, проверив свой домен с помощью программы GlobalSign's SSL Checker.