Aktiver OCSP stapling i Apache

Apache 2.3 og højere understøtter OCSP stapling.

For at aktivere OCSP svaret på forhånd skal webserveren indeholde en peger til OCSP responderen. Dette er en anbefaling fra CA/Browser Forumet vedrørende grundlæggende krav, alle certifikater som Xolphin leverer overholder dette.

Der er en god chance for, at du har en firewall mellem webserveren og internettet, og det er også sandsynligt, at firewallet forbyder udgående forbindelser fra disse servere, medmindre det er udtrykkeligt tilladt. Så før du opretter OCSP stapling, skal webserveren kunne kommunikere med OCSP responderen.

Det er også vigtigt, at webserveren kan nå OCSP responderne, hvor serveren henter OCSP statusen. Disse er angivet i certifikatet, og du kan se det på følgende måde:

Windows

Åbn certifikatet ved at dobbeltklikke på det og gå til fanen Details. Scroll til Authority Information Access eller adgang til CA data. Her finder du en OCSP – URI eller online status af certifikatet med adressen til OCSP responder af CAen. For eksempel URL=http://ocsp.thawte.com

Linux

Læs certifikatet med OpenSSL med kommandoen:
openssl x509 -in uwcertificaat.crt -text

Søg efter OCSP – URI: i output. Den her nævnte adresse er fra OCSP reponderen. For eksempel URL=http://ocsp.thawte.com.

Test, om din webserver kan nå denne adresse med den nævnte protokol. Baseret på ovenstående eksempel gøres dette via en browser (Windows) eller wget-kommandoen (Linux).

Aktiver OCSP Stapling

Når din server kan anmode om OCSP svar, der muliggør stapling, er der kun to linjer, som skal tilføjes.

Tilføj følgende linje i VirtualHost, som også indeholder SSL certifikatet: SSLUseStapling on

Tilføj følgende linje til konfigurationen, den må ikke ligge inden for en VirtualHost: SSLStaplingCache “shmcb:/var/log/stapling_cache(128000)”

SSLUseStapling aktiverer funktionen, mens SSLStaplingCache angiver, hvor cachen skal gemmes og hvor stor den er.

Hvis du bruger den seneste stabile version af Apache og OpenSSL, er aktivering af denne funktion sikker. Den bruges kun, når klienten understøtter det, så der ikke opstår kompatibilitetsproblemer. Hvis serveren af ??en eller anden grund ikke klarer at udfylde cachen med et gyldigt OCSP svar, vil klienten normalt vende tilbage til at gøre en realtime OCSP anmodning.

SSLCheck

SSLCheck kontrollerer, om dit certifikat er korrekt installeret på din server og om der potentielt er problemer.