암호화하자-Apache-OCSP 스테이플 링

Apache 서버에서 OCSP 스테이플 링 을 활성화 하고 싶습니다. 나는 사용하고있다 :

서버 : Ubuntu의 Apache / 2.4.7
증명서 : 암호화하자

파일로 :

/etc/apache2/sites-available/default-ssl.conf

나는 덧붙였다 :

SSLUseStapling on

그런 다음 편집했습니다.

/etc/apache2/mods-available/ssl.conf

이 줄을 추가 :

SSLStaplingCache shmcb:/tmp/stapling_cache(128000)

나는 이것이 OCSP 스테이플 링을 가능하게하기에 충분하다는 것을 읽었다 .

구문을 확인했습니다.

sudo apachectl -t

그리고 괜찮 았습니다.

그러나 다시로드하면 Apache를 시작할 수 없습니다.

편집 1 :

이 안내서를 따르십시오 .

내 SSL 가상 호스트 파일 내부 :

/etc/apache2/sites-available/default-ssl.conf

나는 내 세트 아래에 다음 라인을 추가 SSLCertificateFile, SSLCertificateKeyFile:

SSLUseStapling on
SSLStaplingReturnResponderErrors off
SSLStaplingResponderTimeout 5

그런 다음이 파일을 편집했습니다.

/etc/apache2/mods-available/ssl.conf

이 줄을 추가 :

SSLStaplingCache shmcb:${APACHE_RUN_DIR}/ssl_stapling_cache(128000)

이제 문제없이 Apache를 다시 시작할 수 있지만 OCSP는 다음을 기반으로 작동하지 않는 것 같습니다.

openssl s_client -connect www.example.com:443 -servername www.example.com -status < /dev/null

OCSP response: no response sent

내가 뭘 잘못하고 있는데, Let 's Encrypt 인증서와 관련이 있습니까?

ssl apache-virtualhost letsencrypt

— 나인 캣 토룰
소스

귀하의 구성에서 익명 매핑을 사용하고 있기 때문에 파일 이름은 실제로 중요하지 않습니다. 이 오류는 메모리 부족을 나타냅니다. 공유 메모리를 가져 오지 못하게하는 리소스 제한이 있습니까?

— derobert

@derobert 내 업데이 트를 확인하시기 바랍니다

— NineCattoRules

작동하는 것처럼 보입니다. 비슷한 구성이 실행 중이며 작동합니다 (스테이플 설정은 하나의 가상 호스트가 아니라 서버 전체이지만). LogLevelApache에서 실패한 이유를 알 수 있는지 변경 하도록 제안 합니다. 내가 생각할 수있는 유일한 확실한 방법은 나가는 트래픽을 제한하는 방화벽이 있으면 OCSP가 요청하도록해야한다는 것입니다.

— derobert

Apache에서 오류 메시지가 표시되는지 확인하기 위해 LogLevel을 변경하려고 했습니까?

— derobert

경고와 디버그 사이 에는 몇 가지 로그 수준이 있습니다. info먼저 해봐

— derobert

답변:

나는 얼마 전에 이것을 직접 만났지만 그것을 고친 것 같습니다.

$ openssl s_client -connect berb.ec:443 -servername berb.ec -status < /dev/null 2>&1 | grep "OCSP Response Status"
OCSP Response Status: successful (0x0)

~~SSLLabs는 다음과 같이 동의합니다. 97.5 % (LG 전화에 대한 암호를 활성화해야 함)~~

편집 : SSLLabs는 다음 과 같이 동의합니다. 100 % 고정 100 %. 어리석은 전화 및 곡선 지원.

내 상황에서 나는 일반적인 줄을 사용하고 있었다 :

SSLCertificateFile /etc/letsencrypt/live/berb.ec/cert.pem

fullchain.pem 파일로 변경했는데 모두 정상입니다.

SSLCertificateFile /etc/letsencrypt/live/berb.ec/fullchain.pem

또는 VirtualHost 파일에 줄을 추가 할 수 있습니다

SSLCACertificateFile /etc/letsencrypt/live/berb.ec/chain.pem

이것은 내 전체 /etc/apache2/conf-enabled/ssl.conf파일입니다. 가상 호스트 파일에있는 유일한 SSL 항목은이다 SSLEngine, SSLCertificateFile하고 SSLCertificateKeyFile.

SSLProtocol             -all +TLSv1.2
SSLCipherSuite          ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384
SSLOpenSSLConfCmd       DHParameters    "/etc/apache2/dhparam4096.pem"
SSLOpenSSLConfCmd       ECDHParameters secp384r1
SSLOpenSSLConfCmd       Curves          secp521r1:secp384r1
SSLUseStapling          On
SSLStaplingCache        "shmcb:/logs/ssl_stapling(32768)"
SSLCompression off
SSLHonorCipherOrder on
Header always set X-Frame-Options SAMEORIGIN
Header always edit Set-Cookie (.*) "$1;HttpOnly;Secure"
Header edit Set-Cookie ^(.*)$ $1;HttpOnly;Secure
Header always set X-Content-Type-Options nosniff
SSLOptions +StrictRequire

~~나는 아직도 OCSP Must Staple에서 일하고 있습니다.~~

EDIT1 : 있어 OCSP에서 꼭 스테이플 작업. certbot 클라이언트의 옵션입니다.

certbot --must-staple --rsa-key-size 4096

— 피터 버벡
소스

귀하의 질문에 대답하기 위해 apache2.confSSL 인증서로 Let 's Encrypt SSL을 사용하여 내 페이지에 A 등급 암호화를 제공하는 Apache 서버의 일부 설정을 복사하여 붙여 넣습니다 .

#Required modules
LoadModule socache_shmcb_module /usr/lib/apache2/modules/mod_socache_shmcb.so
LoadModule ssl_module           /usr/lib/apache2/modules/mod_ssl.so

#SSL settings
SSLCipherSuite ECDHE:AES256-SHA:AES128-SHA:DES-CBC3-SHA:!RC4
SSLHonorCipherOrder on
SSLRandomSeed connect file:/dev/urandom 32
SSLSessionCache shmcb:${APACHE_RUN_DIR}/ssl(512000)
SSLSessionCacheTimeout 86400
SSLStaplingCache shmcb:${APACHE_RUN_DIR}/ocsp(128000)
SSLUseStapling on

또한 을 강화하기 위해이 답변 을 볼 수 있습니다 SSLCipherSuite.

— n 컴퓨터
소스