Let's Encrypt-Apache-OCSPステープリング


11

ApacheサーバーでOCSPステープリングを有効にしたいのですが。私が使用しています:

ファイルへ:

/etc/apache2/sites-available/default-ssl.conf

追加した:

SSLUseStapling on

次に、私は編集しました:

/etc/apache2/mods-available/ssl.conf

この行を追加します:

SSLStaplingCache shmcb:/tmp/stapling_cache(128000)

これは、OCSPステープリングを有効にするのに十分であることを読みました

私は構文をチェックしました:

sudo apachectl -t

そしてそれは大丈夫だった。

ただし、リロード時にApacheを開始できません。

編集1:

このガイドに従ってください

SSL仮想ホストファイル内:

/etc/apache2/sites-available/default-ssl.conf

私は私のセットの下にこれらの行を追加しSSLCertificateFileSSLCertificateKeyFile

SSLUseStapling on
SSLStaplingReturnResponderErrors off
SSLStaplingResponderTimeout 5

次に、このファイルを編集しました。

/etc/apache2/mods-available/ssl.conf

この行を追加します:

SSLStaplingCache shmcb:${APACHE_RUN_DIR}/ssl_stapling_cache(128000)

これで問題なくApacheを再起動できますが、OCSPは機能していないようです。

openssl s_client -connect www.example.com:443 -servername www.example.com -status < /dev/null
OCSP response: no response sent

Let's Encrypt証明書に関連しているのでしょうか?


あなたの設定では、匿名マッピングを使用していると思いますので、ファイル名は実際には問題ではありません。このエラーは、メモリが不足していることを示しています。共有メモリを取得できないようにするリソース制限が設定されている可能性はありますか?
デロベルト

@derobertは私の更新をチェックしてください
NineCattoRules

3
それはうまくいくはずです-私は同様の設定を実行していますが、動作しています(ただし、私のステーピング設定は1つの仮想ホストではなくサーバー全体です)。LogLevelApacheで失敗した理由がわかるかどうかを確認するように変更することをお勧めします。私が考えることができる唯一の明白なものは、あなたが発信トラフィックを制限しているファイアウォールを持っている場合です-それはOCSPリクエストを通過させる必要があります。
derobert

1
LogLevelを変更して、Apacheからエラーメッセージが表示されるかどうかを確認しましたか?
derobert

1
warnとdebugの間にはいくつかのログレベルがあります。私がinfo最初にしようと思います。
derobert

回答:


0

私は少し前に自分でこれに遭遇しましたが、私はそれを修正したようです。

$ openssl s_client -connect berb.ec:443 -servername berb.ec -status < /dev/null 2>&1 | grep "OCSP Response Status"
OCSP Response Status: successful (0x0)

SSLLabsは同意します:97.5%(LG電話で暗号を有効にする必要があります)

編集SSLLabsは同意します:100%が100%修正されました 愚かな電話と曲線のサポート。

私の状況では、私は共通の行を使用していました:

SSLCertificateFile /etc/letsencrypt/live/berb.ec/cert.pem

fullchain.pemファイルに変更しましたが、すべて問題ありません。

SSLCertificateFile /etc/letsencrypt/live/berb.ec/fullchain.pem

または、VirtualHostファイルに行を追加することもできます

SSLCACertificateFile /etc/letsencrypt/live/berb.ec/chain.pem

これは私の完全な/etc/apache2/conf-enabled/ssl.confファイルです。VirtualHostファイル内のSSLアイテムはSSLEngineSSLCertificateFileとのみSSLCertificateKeyFileです。

SSLProtocol             -all +TLSv1.2
SSLCipherSuite          ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384
SSLOpenSSLConfCmd       DHParameters    "/etc/apache2/dhparam4096.pem"
SSLOpenSSLConfCmd       ECDHParameters secp384r1
SSLOpenSSLConfCmd       Curves          secp521r1:secp384r1
SSLUseStapling          On
SSLStaplingCache        "shmcb:/logs/ssl_stapling(32768)"
SSLCompression off
SSLHonorCipherOrder on
Header always set X-Frame-Options SAMEORIGIN
Header always edit Set-Cookie (.*) "$1;HttpOnly;Secure"
Header edit Set-Cookie ^(.*)$ $1;HttpOnly;Secure
Header always set X-Content-Type-Options nosniff
SSLOptions +StrictRequire

私はまだOCSPに取り組んでいます

EDIT1:ガットOCSPしなければならないのステープル作業。certbotクライアントのオプションです:

certbot --must-staple --rsa-key-size 4096

0

あなたの質問に答えるためapache2.confに、Apacheサーバーの設定の一部をコピーして貼り付けます。これにより、Let's Encrypt SSL証明書を使用してページにグレードAの暗号化が提供されます。

#Required modules
LoadModule socache_shmcb_module /usr/lib/apache2/modules/mod_socache_shmcb.so
LoadModule ssl_module           /usr/lib/apache2/modules/mod_ssl.so

#SSL settings
SSLCipherSuite ECDHE:AES256-SHA:AES128-SHA:DES-CBC3-SHA:!RC4
SSLHonorCipherOrder on
SSLRandomSeed connect file:/dev/urandom 32
SSLSessionCache shmcb:${APACHE_RUN_DIR}/ssl(512000)
SSLSessionCacheTimeout 86400
SSLStaplingCache shmcb:${APACHE_RUN_DIR}/ocsp(128000)
SSLUseStapling on

さらに、を強化するためのこの回答が表示される場合がありますSSLCipherSuite

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.