====== Generování žádosti o certifikát s volbou OCSP Must Staple ======

Protokol OCSP ([[https://cs.wikipedia.org/wiki/Online_Certificate_Status_Protocol|Online Certificate Status Protocol]]) slouží jako doplněk k revokacím certifikátů a umožňuje (narozdíl od revokačních seznamů) okamžitě zjistit, zda certifikát byl či nebyl odvolán. OCSP servery certifikační autority, které vždy při autorizaci WWW serverovým certifikátem zabezpečené stránky kontaktuje prohlížeč, jsou do Internetu nasazeny v režimu vysoké dostupnosti (HA) ve více lokalitách. Důvod je ten, že pokud není OCSP server dostupný, prohlížeč odmítne stránku zobrazit, neboť ji považuje za nezabezpečenou. I přes uvedenou vysokou dostupnost se může stát, že WWW server, který chce uživatel navštívit, je dostupný, ale OCSP server vlivem např. chyby v propagaci BGP prefixu nikoliv. Pro tento případ byl navržen mechanizmus dočasného označení serveru za platný i v případě, že prohlížeč nemůže získat OCSP odpověď. Pro podporu tohoto rozšíření je zapotřebí, aby certifikát byl vydán s podporou **OCSP Must Staple** a počítal s ní i webserver ve své konfiguraci.

===== Žádost CSR požadující rozšíření OCSP Must Staple =====

Při generování CSR stačí do konfiguračního souboru pro OpenSSL přidat do sekce s rozšířeními (tedy té, kde máte položku //subjectAltName//) následující řádky:

<code>
basicConstraints        = CA:FALSE
keyUsage                = nonRepudiation, digitalSignature, keyEncipherment
1.3.6.1.5.5.7.1.24      = DER:30:03:02:01:05
</code>

Příklad celého konfiguračního souboru tedy může vypadat takto:

<code>
default_bits            = 2048
distinguished_name      = req_distinguished_name
string_mask             = nombstr
req_extensions          = req_ext
prompt                  = no

[req_distinguished_name]
0.commonName            = myserver.example.org

[req_ext]
basicConstraints        = CA:FALSE
keyUsage                = nonRepudiation, digitalSignature, keyEncipherment
1.3.6.1.5.5.7.1.24      = DER:30:03:02:01:05
subjectAltName          = @san

[san]
DNS.0                   = myserver.example.org
</code>

===== Konfigurace WWW serveru Apache =====

Po vydání certifikátu je zapotřebí také správně nakonfigurovat server. Direktivy pro WWW server Apache nalenete v části věnované [[cs:st-tcs-server-install-apache.html|instalaci certifikátu]].