Protokol OCSP (Online Certificate Status Protocol) slouží jako doplněk k revokacím certifikátů a umožňuje (narozdíl od revokačních seznamů) okamžitě zjistit, zda certifikát byl či nebyl odvolán. OCSP servery certifikační autority, které vždy při autorizaci WWW serverovým certifikátem zabezpečené stránky kontaktuje prohlížeč, jsou do Internetu nasazeny v režimu vysoké dostupnosti (HA) ve více lokalitách. Důvod je ten, že pokud není OCSP server dostupný, prohlížeč odmítne stránku zobrazit, neboť ji považuje za nezabezpečenou. I přes uvedenou vysokou dostupnost se může stát, že WWW server, který chce uživatel navštívit, je dostupný, ale OCSP server vlivem např. chyby v propagaci BGP prefixu nikoliv. Pro tento případ byl navržen mechanizmus dočasného označení serveru za platný i v případě, že prohlížeč nemůže získat OCSP odpověď. Pro podporu tohoto rozšíření je zapotřebí, aby certifikát byl vydán s podporou OCSP Must Staple a počítal s ní i webserver ve své konfiguraci.
Při generování CSR stačí do konfiguračního souboru pro OpenSSL přidat do sekce s rozšířeními (tedy té, kde máte položku subjectAltName) následující řádky:
basicConstraints = CA:FALSE keyUsage = nonRepudiation, digitalSignature, keyEncipherment 1.3.6.1.5.5.7.1.24 = DER:30:03:02:01:05
Příklad celého konfiguračního souboru tedy může vypadat takto:
default_bits = 2048 distinguished_name = req_distinguished_name string_mask = nombstr req_extensions = req_ext prompt = no [req_distinguished_name] 0.commonName = myserver.example.org [req_ext] basicConstraints = CA:FALSE keyUsage = nonRepudiation, digitalSignature, keyEncipherment 1.3.6.1.5.5.7.1.24 = DER:30:03:02:01:05 subjectAltName = @san [san] DNS.0 = myserver.example.org
Po vydání certifikátu je zapotřebí také správně nakonfigurovat server. Direktivy pro WWW server Apache nalenete v části věnované instalaci certifikátu.
CESNET, z. s. p. o.
Generála Píky 26
16000 Praha 6
info@cesnet.cz
Tel: +420 234 680 222
GSM: +420 602 252 531
support@cesnet.cz