Rozdíly

Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.

--- cs:st-tcs-server-install-apache.html [2010/02/08 12:51]
semik@cesnet.cz zkopirovany apache navod od SureServer EDU
+++ cs:st-tcs-server-install-apache.html [2024/04/22 20:01] (aktuální)
Daniel Studený [Instalace certifikátu do Apache serveru]
@@ Řádek 1: / Řádek 1: @@
-====== Instalace pro Apache ======
+====== Instalace certifikátu do Apache serveru ======
 Upravte konfigurační soubor serveru:
-<WRAP code>
+== Pro Apache 2.4.8 a novější: ==
-... \\
-SSLCertificateFile **server_cert_file.pem**\\
+<code apache>
-SSLCertificateKeyFile **server_key_file.pem**\\
+...
-SSLCertificateChainFile **TCS_cert_file.pem**\\
+SSLCertificateFile server_cert_file_with_chain.pem
+SSLCertificateKeyFile server_key_file.pem
 ...
+</code>
+  ?? server_cert_file_with_chain.pem
+:: Soubor obsahující serverový certifikát včetně mezilehlých certifikátů. Soubor s mezilehlými ceretifikáty můžete stáhnout na [[https://pki.cesnet.cz/cs/ch-tcs-crt-crl.html|stránce se serverovými certifikáty]] !!
+  ?? server_key_file.pem
+:: soubor obsahující privátní klíč k serverovému certifikátu (privátní klíč jste vygenerovali při tvorbě žádosti o certifikát) !!
+\\
+== Pro Apache 2.4.7 a starší: ==
+<code apache>
+...
+SSLCertificateFile server_cert_file.pem
+SSLCertificateKeyFile server_key_file.pem
+SSLCertificateChainFile TCS_cert_file.pem
+...
+</code>
-</WRAP>
   ?? server_cert_file.pem
 :: soubor obsahující serverový certifikát !!
   ?? server_key_file.pem
-:: soubor obsahující privátní klíč k serverovému certifikátu. Privátní klíč jste vygenerovali při tvorbě žádosti o certifikát.
+:: soubor obsahující privátní klíč k serverovému certifikátu (privátní klíč jste vygenerovali při tvorbě žádosti o certifikát) !!
+  ?? TCS_cert_file.pem
+:: soubor obsahující privátní [[https://pki.cesnet.cz/cs/ch-tcs-crt-crl.html|řetěz mezilehlých certifikátů (bez kořene)]] !!
-Chcete-li, aby Apache při startu nevyžadoval heslo k privátnímu klíči, můžete vytvořit soubor s nezašifrovaným privátním klíčem příkazem:
+<WRAP tip>Tip: chcete-li, aby Apache při startu nevyžadoval heslo k privátnímu klíči, můžete vytvořit soubor s nezašifrovaným privátním klíčem příkazem: \\ \\
-<WRAP programlisting>
+<code bash>
-$ **openssl rsa** //-in// **encrypted-key.pem** //-out// **decrypted-key.pem**\\
+$ openssl rsa -in encrypted-key.pem -out decrypted-key.pem
-Enter pass phrase for **encrypted-key.pem**: **‹heslo›**\\
+Enter pass phrase for encrypted-key.pem: ‹heslo›
-writing RSA key\\
+writing RSA key
-$
+</code>
-</WRAP>
+  ?? encrypted-key.pem
-    ?? encrypted-key.pem
 :: soubor obsahující zašifrovaný klíč !!
-    ?? decrypted-key.pem
+  ?? decrypted-key.pem
-:: soubor, do kterého bude uložen nezašifrovaný klíč
+:: soubor, do kterého bude uložen nezašifrovaný klíč !!
-!!
-  ?? TCS_cert_file.pem
+</WRAP>
-:: soubor obsahující certifikát certifikační autority //TERENA SSL CA//, lze použí kopletní řetěz stažený ze stránky s certifikátem
-!!
+\\ \\
+===== OCSP Stapling =====
+[[https://en.wikipedia.org/wiki/OCSP_stapling|OCSP Stapling]] je standard pro kontrolu stavu odvolání certifikátů. Umožňuje serveru nést náklady na prostředky spojené s kontrolou platnosti certifikátu připojením OCSP odpovědi s časovým razítkem. Tím se odlehčí všem klientům, kteří nemusí kontaktovat CA.
+<WRAP important>
+UPOZORNĚNÍ: S [[https://en.wikipedia.org/wiki/OCSP_stapling|OCSP Must Staple]] funkcionalitou musí být počítáno už v [[cs:st-tcs-csr2.html|žádosti o certifikát]], bez patřičného rozšíření v něm Vám Apache níže uvedenou konfiguraci nepřijme a nespustí se. Více naleznete v [[cs:st-tcs-csr-must-staple.html|návodu pro vytvoření]] této speciální žádosti .
+</WRAP>
+== Nastavení OCSP Must Staple ==
+<code apache>
+SSLStaplingCache shmcb:/tmp/stapling_cache(128000)
+<VirtualHost *:443>
+    SSLEngine on
+    ...
+    SSLUseStapling on
+</VirtualHost>
+</code>

Rozdíly

Rychlé odkazy

Kontakt

Service desk