Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
Následující verze | Předchozí verze | ||
cs:st-tcs-server-install-apache.html [2010/02/08 12:51] semik@cesnet.cz zkopirovany apache navod od SureServer EDU |
cs:st-tcs-server-install-apache.html [2024/04/22 20:01] (aktuální) Daniel Studený [Instalace certifikátu do Apache serveru] |
||
---|---|---|---|
Řádek 1: | Řádek 1: | ||
- | ====== Instalace pro Apache ====== | + | ====== Instalace certifikátu do Apache serveru ====== |
Upravte konfigurační soubor serveru: | Upravte konfigurační soubor serveru: | ||
- | <WRAP code> | + | == Pro Apache 2.4.8 a novější: == |
- | ... \\ | + | |
- | SSLCertificateFile **server_cert_file.pem**\\ | + | <code apache> |
- | SSLCertificateKeyFile **server_key_file.pem**\\ | + | ... |
- | SSLCertificateChainFile **TCS_cert_file.pem**\\ | + | SSLCertificateFile server_cert_file_with_chain.pem |
+ | SSLCertificateKeyFile server_key_file.pem | ||
... | ... | ||
+ | </code> | ||
+ | |||
+ | ?? server_cert_file_with_chain.pem | ||
+ | :: Soubor obsahující serverový certifikát včetně mezilehlých certifikátů. Soubor s mezilehlými ceretifikáty můžete stáhnout na [[https://pki.cesnet.cz/cs/ch-tcs-crt-crl.html|stránce se serverovými certifikáty]] !! | ||
+ | ?? server_key_file.pem | ||
+ | :: soubor obsahující privátní klíč k serverovému certifikátu (privátní klíč jste vygenerovali při tvorbě žádosti o certifikát) !! | ||
+ | |||
+ | \\ | ||
+ | |||
+ | == Pro Apache 2.4.7 a starší: == | ||
+ | |||
+ | <code apache> | ||
+ | ... | ||
+ | SSLCertificateFile server_cert_file.pem | ||
+ | SSLCertificateKeyFile server_key_file.pem | ||
+ | SSLCertificateChainFile TCS_cert_file.pem | ||
+ | ... | ||
+ | </code> | ||
- | </WRAP> | ||
?? server_cert_file.pem | ?? server_cert_file.pem | ||
:: soubor obsahující serverový certifikát !! | :: soubor obsahující serverový certifikát !! | ||
?? server_key_file.pem | ?? server_key_file.pem | ||
- | :: soubor obsahující privátní klíč k serverovému certifikátu. Privátní klíč jste vygenerovali při tvorbě žádosti o certifikát. | + | :: soubor obsahující privátní klíč k serverovému certifikátu (privátní klíč jste vygenerovali při tvorbě žádosti o certifikát) !! |
+ | ?? TCS_cert_file.pem | ||
+ | :: soubor obsahující privátní [[https://pki.cesnet.cz/cs/ch-tcs-crt-crl.html|řetěz mezilehlých certifikátů (bez kořene)]] !! | ||
- | Chcete-li, aby Apache při startu nevyžadoval heslo k privátnímu klíči, můžete vytvořit soubor s nezašifrovaným privátním klíčem příkazem: | + | <WRAP tip>Tip: chcete-li, aby Apache při startu nevyžadoval heslo k privátnímu klíči, můžete vytvořit soubor s nezašifrovaným privátním klíčem příkazem: \\ \\ |
- | <WRAP programlisting> | + | <code bash> |
- | $ **openssl rsa** //-in// **encrypted-key.pem** //-out// **decrypted-key.pem**\\ | + | $ openssl rsa -in encrypted-key.pem -out decrypted-key.pem |
- | Enter pass phrase for **encrypted-key.pem**: **‹heslo›**\\ | + | Enter pass phrase for encrypted-key.pem: ‹heslo› |
- | writing RSA key\\ | + | writing RSA key |
- | $ | + | </code> |
- | </WRAP> | + | ?? encrypted-key.pem |
- | ?? encrypted-key.pem | + | |
:: soubor obsahující zašifrovaný klíč !! | :: soubor obsahující zašifrovaný klíč !! | ||
- | ?? decrypted-key.pem | + | ?? decrypted-key.pem |
- | :: soubor, do kterého bude uložen nezašifrovaný klíč | + | :: soubor, do kterého bude uložen nezašifrovaný klíč !! |
- | !! | + | |
- | ?? TCS_cert_file.pem | + | </WRAP> |
- | :: soubor obsahující certifikát certifikační autority //TERENA SSL CA//, lze použí kopletní řetěz stažený ze stránky s certifikátem | + | |
- | !! | + | \\ \\ |
+ | |||
+ | ===== OCSP Stapling ===== | ||
+ | |||
+ | [[https://en.wikipedia.org/wiki/OCSP_stapling|OCSP Stapling]] je standard pro kontrolu stavu odvolání certifikátů. Umožňuje serveru nést náklady na prostředky spojené s kontrolou platnosti certifikátu připojením OCSP odpovědi s časovým razítkem. Tím se odlehčí všem klientům, kteří nemusí kontaktovat CA. | ||
+ | |||
+ | <WRAP important> | ||
+ | UPOZORNĚNÍ: S [[https://en.wikipedia.org/wiki/OCSP_stapling|OCSP Must Staple]] funkcionalitou musí být počítáno už v [[cs:st-tcs-csr2.html|žádosti o certifikát]], bez patřičného rozšíření v něm Vám Apache níže uvedenou konfiguraci nepřijme a nespustí se. Více naleznete v [[cs:st-tcs-csr-must-staple.html|návodu pro vytvoření]] této speciální žádosti . | ||
+ | </WRAP> | ||
+ | |||
+ | |||
+ | == Nastavení OCSP Must Staple == | ||
+ | <code apache> | ||
+ | SSLStaplingCache shmcb:/tmp/stapling_cache(128000) | ||
+ | <VirtualHost *:443> | ||
+ | SSLEngine on | ||
+ | ... | ||
+ | SSLUseStapling on | ||
+ | </VirtualHost> | ||
+ | </code> | ||