Apacheでの OCSP Stapling設定方法
以下の手順でApacheでの OCSP stapling設定ができます。
OCSP stapling についてはOCSP Staplingを参照してください。
Apache のバージョンチェック
Apache 2.3.3以降で OCSP Staplingが利用できます。
以下いずれかのコマンドで Apache のバージョンをチェックしてください。
# apache2 -v
# httpd -v
異なるバージョンのApacheをインストールしている場合は以下で利用中のApacheのバージョンが確認できます。
# ps auxwww | grep httpd
OCSP レスポンダーサーバーへの接続を確認
-
Apache が稼働しているサーバーで以下のコマンドを実行してください。
You have successfully reached the DigiCert OCSP Serviceと表示されれば正しく接続できています。# curl ocsp.digicert.com/ping.html
-
「curl」がインストールされていない場合は以下を実行ください。
# wget ocsp.digicert.com/ping.html
-
ping.html ファイルがダウンロードされます。以下のコマンドで ping.html ファイルの内容を確認してください。
You have successfully reached the DigiCert OCSP Service と表示されれば正しく接続できています。# cat ping.html
Apacheの設定ファイルでOCSP Staplingの利用設定
Apacheの設定ファイルでOCSP Staplingの利用設定を行います。
設定を行うconfファイルは /opt/httpd/httpd-2.4.23/conf/extra/httpd-ssl.conf 等のSSLの利用設定が行われているファイルです。
ファイル名と保存場所は利用環境によって異なります。
-
SSLの設定ファイルの編集:
以下を該当ホストの <VirtualHost></VirtualHost> ブロックに追加します。
SSLUseStapling on
-
以下を <VirtualHost></VirtualHost> ブロック外のグローバル領域に追加します。
SSLStaplingCache shmcb:/tmp/stapling_cache(128000)以下は rms000.creative-japan.org での設定例です。SSLStaplingCache shmcb:/tmp/stapling_cache(128000) <VirtualHost *:443> SSLEngine on SSLUseStapling on SSLCertificateFile /etc/pki/tls/certs/star.creative-japan.org/star_creative-japan_org.crt SSLCertificateKeyFile /etc/pki/tls/certs/star.creative-japan.org/star_creative-japan_org.key SSLCertificateChainFile /etc/pki/tls/certs/star.creative-japan.org/DigiCertCA.crt </VirtualHost>
-
以下のコマンドで設定に誤りがないかを確認します。
# apachectl configtest
-
設定に誤りがなければ以下のコマンドでApacheを再起動します。
# apachectl restart
OCSP staplingを検証する
OCSP stapling が正しく機能していることを確認します。
以下のコマンドを実行します。[yoursite.com]の部分には OCSP stapling を設定したホスト名を入力してください。
# openssl s_client -connect [yoursite.com]:443 -status
正しく設定されている場合は OCSP Response Data セクションに以下の記述が見つかります。
OCSP Response Status: successful (0x0)
以下は rms000.creative-japan.org での検証例です。
CONNECTED(00000003) depth=2 C = US, O = DigiCert Inc, OU = www.digicert.com, CN = DigiCert High Assurance EV Root CA verify return:1 depth=1 C = US, O = DigiCert Inc, OU = www.digicert.com, CN = DigiCert SHA2 High Assurance Server CA verify return:1 depth=0 C = JP, ST = Tokyo, L = Tama-shi, O = RMS Co. Ltd., OU = RMS Co. Ltd., CN = *.creative-japan.org verify return:1 OCSP response: ====================================== OCSP Response Data: OCSP Response Status: successful (0x0) Response Type: Basic OCSP Response Version: 1 (0x0) Responder Id: 5168FF90AF0207753CCCD9656462A212B859723B Produced At: Oct 15 23:06:00 2016 GMT Responses: Certificate ID: Hash Algorithm: sha1 Issuer Name Hash: CF26F518FAC97E8F8CB342E01C2F6A109E8E5F0A Issuer Key Hash: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx Serial Number: cccccccccccccccccccccccccccccccccccc Cert Status: good This Update: Oct 15 23:06:00 2016 GMT Next Update: Oct 22 22:21:00 2016 GMT
他のサーバーでのOCSP Stapling設定方法
|会社概要|ニュースリリース|特定商取引法に関わる表記|プライバシーポリシー|利用規約|よくあるお問合せ(FAQ)|サイトマップ|
Copyright © Sophia Research Institute,Ltd. All rights reserved.
ソフィアグループ提供サービス一覧
再販売用レンタルサーバーのSPEEDEX | クラウドサーバー | 共用サーバー | 独自ドメイン取得・運用
SSLサーバ証明書 | ワイルドカードサーバー証明書 | マルチドメイン証明書 | EV SSLサーバー証明書
コードサイニング証明書 | ドキュメントサイニング証明書