====== Instalace certifikátu do Apache serveru ======

Upravte konfigurační soubor serveru:

== Pro Apache 2.4.8 a novější: ==

<code apache>
...
SSLCertificateFile server_cert_file_with_chain.pem
SSLCertificateKeyFile server_key_file.pem
...
</code>

  ?? server_cert_file_with_chain.pem
:: Soubor obsahující serverový certifikát včetně mezilehlých certifikátů. Soubor s mezilehlými ceretifikáty můžete stáhnout na [[https://pki.cesnet.cz/cs/ch-tcs-crt-crl.html|stránce se serverovými certifikáty]] !!
  ?? server_key_file.pem
:: soubor obsahující privátní klíč k serverovému certifikátu (privátní klíč jste vygenerovali při tvorbě žádosti o certifikát) !!

\\

== Pro Apache 2.4.7 a starší: ==

<code apache>
...
SSLCertificateFile server_cert_file.pem
SSLCertificateKeyFile server_key_file.pem
SSLCertificateChainFile TCS_cert_file.pem
...
</code>

  ?? server_cert_file.pem
:: soubor obsahující serverový certifikát !!
  ?? server_key_file.pem
:: soubor obsahující privátní klíč k serverovému certifikátu (privátní klíč jste vygenerovali při tvorbě žádosti o certifikát) !!
  ?? TCS_cert_file.pem
:: soubor obsahující privátní [[https://pki.cesnet.cz/cs/ch-tcs-crt-crl.html|řetěz mezilehlých certifikátů (bez kořene)]] !!

<WRAP tip>Tip: chcete-li, aby Apache při startu nevyžadoval heslo k privátnímu klíči, můžete vytvořit soubor s nezašifrovaným privátním klíčem příkazem: \\ \\

<code bash>
$ openssl rsa -in encrypted-key.pem -out decrypted-key.pem
Enter pass phrase for encrypted-key.pem: ‹heslo› 
writing RSA key
</code>

  ?? encrypted-key.pem
:: soubor obsahující zašifrovaný klíč !!
  ?? decrypted-key.pem
:: soubor, do kterého bude uložen nezašifrovaný klíč !!

</WRAP>

\\ \\

===== OCSP Stapling =====

[[https://en.wikipedia.org/wiki/OCSP_stapling|OCSP Stapling]] je standard pro kontrolu stavu odvolání certifikátů. Umožňuje serveru nést náklady na prostředky spojené s kontrolou platnosti certifikátu připojením OCSP odpovědi s časovým razítkem. Tím se odlehčí všem klientům, kteří nemusí kontaktovat CA.

<WRAP important>
UPOZORNĚNÍ: S [[https://en.wikipedia.org/wiki/OCSP_stapling|OCSP Must Staple]] funkcionalitou musí být počítáno už v [[cs:st-tcs-csr2.html|žádosti o certifikát]], bez patřičného rozšíření v něm Vám Apache níže uvedenou konfiguraci nepřijme a nespustí se. Více naleznete v [[cs:st-tcs-csr-must-staple.html|návodu pro vytvoření]] této speciální žádosti .
</WRAP>


== Nastavení OCSP Must Staple ==

<code apache>
SSLStaplingCache shmcb:/tmp/stapling_cache(128000)
<VirtualHost *:443>
    SSLEngine on
    ...
    SSLUseStapling on
</VirtualHost>
</code>