Instalace certifikátu do Apache serveru

Upravte konfigurační soubor serveru:

Pro Apache 2.4.8 a novější:
...
SSLCertificateFile server_cert_file_with_chain.pem
SSLCertificateKeyFile server_key_file.pem
...
server_cert_file_with_chain.pem

Soubor obsahující serverový certifikát včetně mezilehlých certifikátů. Soubor s mezilehlými ceretifikáty můžete stáhnout na stránce se serverovými certifikáty

server_key_file.pem

soubor obsahující privátní klíč k serverovému certifikátu (privátní klíč jste vygenerovali při tvorbě žádosti o certifikát)


Pro Apache 2.4.7 a starší:
...
SSLCertificateFile server_cert_file.pem
SSLCertificateKeyFile server_key_file.pem
SSLCertificateChainFile TCS_cert_file.pem
...
server_cert_file.pem

soubor obsahující serverový certifikát

server_key_file.pem

soubor obsahující privátní klíč k serverovému certifikátu (privátní klíč jste vygenerovali při tvorbě žádosti o certifikát)

TCS_cert_file.pem

soubor obsahující privátní řetěz mezilehlých certifikátů (bez kořene)

Tip: chcete-li, aby Apache při startu nevyžadoval heslo k privátnímu klíči, můžete vytvořit soubor s nezašifrovaným privátním klíčem příkazem:

$ openssl rsa -in encrypted-key.pem -out decrypted-key.pem
Enter pass phrase for encrypted-key.pem: ‹heslo› 
writing RSA key
encrypted-key.pem

soubor obsahující zašifrovaný klíč

decrypted-key.pem

soubor, do kterého bude uložen nezašifrovaný klíč



OCSP Stapling

OCSP Stapling je standard pro kontrolu stavu odvolání certifikátů. Umožňuje serveru nést náklady na prostředky spojené s kontrolou platnosti certifikátu připojením OCSP odpovědi s časovým razítkem. Tím se odlehčí všem klientům, kteří nemusí kontaktovat CA.

UPOZORNĚNÍ: S OCSP Must Staple funkcionalitou musí být počítáno už v žádosti o certifikát, bez patřičného rozšíření v něm Vám Apache níže uvedenou konfiguraci nepřijme a nespustí se. Více naleznete v návodu pro vytvoření této speciální žádosti .

Nastavení OCSP Must Staple
SSLStaplingCache shmcb:/tmp/stapling_cache(128000)
<VirtualHost *:443>
    SSLEngine on
    ...
    SSLUseStapling on
</VirtualHost>