让我们加密-Apache-OCSP装订

我想在我的Apache服务器中启用OCSP装订。我在用着：

服务器：Ubuntu上的Apache / 2.4.7
证书：让我们加密

到文件：

/etc/apache2/sites-available/default-ssl.conf

我补充说：

SSLUseStapling on

然后，我编辑了：

/etc/apache2/mods-available/ssl.conf

添加此行：

SSLStaplingCache shmcb:/tmp/stapling_cache(128000)

我读到，这足以启用OCSP装订。

我检查了语法：

sudo apachectl -t

没关系。

但是，重新加载后，Apache无法启动。

编辑1：

遵循本指南。

在我的SSL虚拟主机文件中：

/etc/apache2/sites-available/default-ssl.conf

我说我下面的套这些行SSLCertificateFile，SSLCertificateKeyFile：

SSLUseStapling on
SSLStaplingReturnResponderErrors off
SSLStaplingResponderTimeout 5

然后，我编辑了该文件：

/etc/apache2/mods-available/ssl.conf

添加此行：

SSLStaplingCache shmcb:${APACHE_RUN_DIR}/ssl_stapling_cache(128000)

我现在可以毫无问题地重新启动Apache，但是，基于以下原因，OCSP似乎无法正常工作：

openssl s_client -connect www.example.com:443 -servername www.example.com -status < /dev/null

OCSP response: no response sent

我在做什么错，这和我的加密证书有关吗？

ssl apache-virtualhost letsencrypt

— 九章规则
source

在您的配置上，我希望它使用的是匿名映射，因此文件名实际上并不重要。该错误表明内存已用完-是否有可能设置了一些资源限制来阻止它获取共享内存？

— 德罗伯特

@derobert请检查我的更新

— NineCattoRules

看起来应该可以工作-我正在运行类似的配置，并且可以工作（尽管我的临时设置是在服务器范围内，而不仅仅是一个虚拟主机）。我建议更改LogLevel以查看是否可以从Apache中获取失败的原因。我能想到的唯一明显的问题是，如果您有防火墙限制传出流量-它需要让OCSP请求通过。

— derobert

您是否尝试过更改LogLevel以查看是否可以从Apache获得错误消息？

— 德罗伯特

警告和调试之间有一些日志级别。我info先尝试。

— 德罗伯特

Answers:

我自己之前遇到了这个问题，但是我似乎已经解决了。

$ openssl s_client -connect berb.ec:443 -servername berb.ec -status < /dev/null 2>&1 | grep "OCSP Response Status"
OCSP Response Status: successful (0x0)

~~SSLLabs同意：97.5％（我必须为LG手机启用密码）~~

编辑：SSLLabs同意： 100％已修复100％。愚蠢的电话和曲线支持。

在我的情况下，我使用的是普通行：

SSLCertificateFile /etc/letsencrypt/live/berb.ec/cert.pem

我更改为fullchain.pem文件，一切都很好。

SSLCertificateFile /etc/letsencrypt/live/berb.ec/fullchain.pem

或者，您可以在VirtualHost文件中添加一行

SSLCACertificateFile /etc/letsencrypt/live/berb.ec/chain.pem

这是我的完整/etc/apache2/conf-enabled/ssl.conf档案。在虚拟主机文件的唯一SSL项目是SSLEngine，SSLCertificateFile和SSLCertificateKeyFile。

SSLProtocol             -all +TLSv1.2
SSLCipherSuite          ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384
SSLOpenSSLConfCmd       DHParameters    "/etc/apache2/dhparam4096.pem"
SSLOpenSSLConfCmd       ECDHParameters secp384r1
SSLOpenSSLConfCmd       Curves          secp521r1:secp384r1
SSLUseStapling          On
SSLStaplingCache        "shmcb:/logs/ssl_stapling(32768)"
SSLCompression off
SSLHonorCipherOrder on
Header always set X-Frame-Options SAMEORIGIN
Header always edit Set-Cookie (.*) "$1;HttpOnly;Secure"
Header edit Set-Cookie ^(.*)$ $1;HttpOnly;Secure
Header always set X-Content-Type-Options nosniff
SSLOptions +StrictRequire

~~我仍在进行OCSP必须合订~~

编辑1：获得OCSP必须装订工作。这是certbot客户端中的一个选项：

certbot --must-staple --rsa-key-size 4096

— 彼得·贝贝克
source

为了回答您的问题，我复制并粘贴了apache2.confApache服务器的一些设置，该服务器使用“让我们加密SSL”证书在页面上提供A级加密：

#Required modules
LoadModule socache_shmcb_module /usr/lib/apache2/modules/mod_socache_shmcb.so
LoadModule ssl_module           /usr/lib/apache2/modules/mod_ssl.so

#SSL settings
SSLCipherSuite ECDHE:AES256-SHA:AES128-SHA:DES-CBC3-SHA:!RC4
SSLHonorCipherOrder on
SSLRandomSeed connect file:/dev/urandom 32
SSLSessionCache shmcb:${APACHE_RUN_DIR}/ssl(512000)
SSLSessionCacheTimeout 86400
SSLStaplingCache shmcb:${APACHE_RUN_DIR}/ocsp(128000)
SSLUseStapling on

此外，您可能会看到此答案以加强SSLCipherSuite。

— 电脑
source