Instalace certifikátu do Apache serveru
Upravte konfigurační soubor serveru:
Pro Apache 2.4.8 a novější:
... SSLCertificateFile server_cert_file_with_chain.pem SSLCertificateKeyFile server_key_file.pem ...
server_cert_file_with_chain.pem
Soubor obsahující serverový certifikát včetně mezilehlých certifikátů. Soubor s mezilehlými ceretifikáty můžete stáhnout na stránce se serverovými certifikáty
server_key_file.pem
soubor obsahující privátní klíč k serverovému certifikátu (privátní klíč jste vygenerovali při tvorbě žádosti o certifikát)
Pro Apache 2.4.7 a starší:
... SSLCertificateFile server_cert_file.pem SSLCertificateKeyFile server_key_file.pem SSLCertificateChainFile TCS_cert_file.pem ...
server_cert_file.pem
soubor obsahující serverový certifikát
server_key_file.pem
soubor obsahující privátní klíč k serverovému certifikátu (privátní klíč jste vygenerovali při tvorbě žádosti o certifikát)
TCS_cert_file.pem
soubor obsahující privátní řetěz mezilehlých certifikátů (bez kořene)
Tip: chcete-li, aby Apache při startu nevyžadoval heslo k privátnímu klíči, můžete vytvořit soubor s nezašifrovaným privátním klíčem příkazem:
$ openssl rsa -in encrypted-key.pem -out decrypted-key.pem Enter pass phrase for encrypted-key.pem: ‹heslo› writing RSA key
encrypted-key.pem
soubor obsahující zašifrovaný klíč
decrypted-key.pem
soubor, do kterého bude uložen nezašifrovaný klíč
OCSP Stapling
OCSP Stapling je standard pro kontrolu stavu odvolání certifikátů. Umožňuje serveru nést náklady na prostředky spojené s kontrolou platnosti certifikátu připojením OCSP odpovědi s časovým razítkem. Tím se odlehčí všem klientům, kteří nemusí kontaktovat CA.
UPOZORNĚNÍ: S OCSP Must Staple funkcionalitou musí být počítáno už v žádosti o certifikát, bez patřičného rozšíření v něm Vám Apache níže uvedenou konfiguraci nepřijme a nespustí se. Více naleznete v návodu pro vytvoření této speciální žádosti .
Nastavení OCSP Must Staple
SSLStaplingCache shmcb:/tmp/stapling_cache(128000) <VirtualHost *:443> SSLEngine on ... SSLUseStapling on </VirtualHost>