====== Instalace certifikátu do Apache serveru ======

Upravte konfigurační soubor serveru: \\ \\

=== Pro Apache 2.4.8 a novější: ===

<code apache>
...
SSLCertificateFile server_cert_file_with_chain.pem
SSLCertificateKeyFile server_key_file.pem
...
</code>

**server_cert_file_with_chain.pem** \\
Soubor obsahující serverový certifikát včetně mezilehlých certifikátů. Soubor s mezilehlými ceretifikáty můžete stáhnout na [[https://pki.cesnet.cz/cs/certificates-tcs.html|stránce se serverovými certifikáty]]


**server_key_file.pem** \\
soubor obsahující privátní klíč k serverovému certifikátu (privátní klíč jste vygenerovali při tvorbě žádosti o certifikát)

\\

=== Pro Apache 2.4.7 a starší: ===

<code apache>
...
SSLCertificateFile server_cert_file.pem
SSLCertificateKeyFile server_key_file.pem
SSLCertificateChainFile TCS_cert_file.pem
...
</code>

**server_cert_file.pem** \\
soubor obsahující serverový certifikát \\

**server_key_file.pem** \\
soubor obsahující privátní klíč k serverovému certifikátu (privátní klíč jste vygenerovali při tvorbě žádosti o certifikát)

**TCS_cert_file.pem** \\
soubor obsahující privátní [[https://pki.cesnet.cz/cs/https://pki.cesnet.cz/cs/certificates-tcs.html|řetěz mezilehlých certifikátů (bez kořene)]]

\\

<WRAP tip>Tip: chcete-li, aby Apache při startu nevyžadoval heslo k privátnímu klíči, můžete vytvořit soubor s nezašifrovaným privátním klíčem příkazem: \\ \\

<code bash>
$ openssl rsa -in encrypted-key.pem -out decrypted-key.pem
Enter pass phrase for encrypted-key.pem: ‹heslo› 
writing RSA key
</code>

**encrypted-key.pem** \\
soubor obsahující zašifrovaný klíč

**decrypted-key.pem** \\
soubor, do kterého bude uložen nezašifrovaný klíč

</WRAP>

\\ \\

===== OCSP Stapling =====

[[https://en.wikipedia.org/wiki/OCSP_stapling|OCSP Stapling]] je standard pro kontrolu stavu odvolání certifikátů. Umožňuje serveru nést náklady na prostředky spojené s kontrolou platnosti certifikátu připojením OCSP odpovědi s časovým razítkem. Tím se odlehčí všem klientům, kteří nemusí kontaktovat CA.

<WRAP important>
UPOZORNĚNÍ: S [[https://en.wikipedia.org/wiki/OCSP_stapling|OCSP Must Staple]] funkcionalita přestala být podporována současným dodavatelem HARICA v souvislosti s postupným odstupováním od protokolu OCSP. Je tedy nutné ji vypnout, certifikát s tímto rozšířením již nelze vydat.
</WRAP>


== Vypnutí OCSP Must Staple (vypnuto implicitně) ==

<code apache>
<VirtualHost *:443>
    SSLEngine on
    ...
    SSLUseStapling off
</VirtualHost>
</code>