cs:st-tcs-csr-must-staple.html

Generování žádosti o certifikát s volbou OCSP Must Staple

Protokol OCSP (Online Certificate Status Protocol) slouží jako doplněk k revokacím certifikátů a umožňuje (narozdíl od revokačních seznamů) okamžitě zjistit, zda certifikát byl či nebyl odvolán. OCSP servery certifikační autority, které vždy při autorizaci WWW serverovým certifikátem zabezpečené stránky kontaktuje prohlížeč, jsou do Internetu nasazeny v režimu vysoké dostupnosti (HA) ve více lokalitách. Důvod je ten, že pokud není OCSP server dostupný, prohlížeč odmítne stránku zobrazit, neboť ji považuje za nezabezpečenou. I přes uvedenou vysokou dostupnost se může stát, že WWW server, který chce uživatel navštívit, je dostupný, ale OCSP server vlivem např. chyby v propagaci BGP prefixu nikoliv. Pro tento případ byl navržen mechanizmus dočasného označení serveru za platný i v případě, že prohlížeč nemůže získat OCSP odpověď. Pro podporu tohoto rozšíření je zapotřebí, aby certifikát byl vydán s podporou OCSP Must Staple a počítal s ní i webserver ve své konfiguraci.

Žádost CSR požadující rozšíření OCSP Must Staple

Při generování CSR stačí do konfiguračního souboru pro OpenSSL přidat do sekce s rozšířeními (tedy té, kde máte položku subjectAltName) následující řádky:

basicConstraints        = CA:FALSE
keyUsage                = nonRepudiation, digitalSignature, keyEncipherment
1.3.6.1.5.5.7.1.24      = DER:30:03:02:01:05

Příklad celého konfiguračního souboru tedy může vypadat takto:

default_bits            = 2048
distinguished_name      = req_distinguished_name
string_mask             = nombstr
req_extensions          = req_ext
prompt                  = no

[req_distinguished_name]
0.commonName            = myserver.example.org

[req_ext]
basicConstraints        = CA:FALSE
keyUsage                = nonRepudiation, digitalSignature, keyEncipherment
1.3.6.1.5.5.7.1.24      = DER:30:03:02:01:05
subjectAltName          = @san

[san]
DNS.0                   = myserver.example.org

Konfigurace WWW serveru Apache

Po vydání certifikátu je zapotřebí také správně nakonfigurovat server. Direktivy pro WWW server Apache nalenete v části věnované instalaci certifikátu.

Poslední úprava:: 2024/04/22 19:42