SSL・EV SSL サーバー証明書 サポート

Apacheでの OCSP Stapling設定方法

以下の手順でApacheでの OCSP stapling設定ができます。
OCSP stapling についてはOCSP Staplingを参照してください。

Apache のバージョンチェック

Apache 2.3.3以降で OCSP Staplingが利用できます。
以下いずれかのコマンドで Apache のバージョンをチェックしてください。

# apache2 -v
# httpd -v

異なるバージョンのApacheをインストールしている場合は以下で利用中のApacheのバージョンが確認できます。

# ps auxwww | grep httpd

OCSP レスポンダーサーバーへの接続を確認

  1. Apache が稼働しているサーバーで以下のコマンドを実行してください。
    You have successfully reached the DigiCert OCSP Serviceと表示されれば正しく接続できています。

    # curl ocsp.digicert.com/ping.html
  2. 「curl」がインストールされていない場合は以下を実行ください。
    # wget ocsp.digicert.com/ping.html
  3. ping.html ファイルがダウンロードされます。以下のコマンドで ping.html ファイルの内容を確認してください。
    You have successfully reached the DigiCert OCSP Service と表示されれば正しく接続できています。

    # cat ping.html

Apacheの設定ファイルでOCSP Staplingの利用設定

Apacheの設定ファイルでOCSP Staplingの利用設定を行います。
設定を行うconfファイルは /opt/httpd/httpd-2.4.23/conf/extra/httpd-ssl.conf 等のSSLの利用設定が行われているファイルです。
ファイル名と保存場所は利用環境によって異なります。

  1. SSLの設定ファイルの編集:
    以下を該当ホストの <VirtualHost></VirtualHost> ブロックに追加します。

    SSLUseStapling on
  2. 以下を <VirtualHost></VirtualHost> ブロック外のグローバル領域に追加します。
    SSLStaplingCache shmcb:/tmp/stapling_cache(128000)

    以下は rms000.creative-japan.org での設定例です。

    SSLStaplingCache shmcb:/tmp/stapling_cache(128000)
    <VirtualHost *:443>
    SSLEngine on
    SSLUseStapling on
    SSLCertificateFile /etc/pki/tls/certs/star.creative-japan.org/star_creative-japan_org.crt
    SSLCertificateKeyFile /etc/pki/tls/certs/star.creative-japan.org/star_creative-japan_org.key
    SSLCertificateChainFile /etc/pki/tls/certs/star.creative-japan.org/DigiCertCA.crt</VirtualHost>

  3. 以下のコマンドで設定に誤りがないかを確認します。
    # apachectl configtest
  4. 設定に誤りがなければ以下のコマンドでApacheを再起動します。
    # apachectl restart

OCSP staplingを検証する

OCSP stapling が正しく機能していることを確認します。

以下のコマンドを実行します。[yoursite.com]の部分には OCSP stapling を設定したホスト名を入力してください。

# openssl s_client -connect [yoursite.com]:443 -status

正しく設定されている場合は OCSP Response Data セクションに以下の記述が見つかります。

OCSP Response Status: successful (0x0)

以下は rms000.creative-japan.org での検証例です。

CONNECTED(00000003)
depth=2 C = US, O = DigiCert Inc, OU = www.digicert.com, CN = DigiCert High Assurance EV Root CA
verify return:1
depth=1 C = US, O = DigiCert Inc, OU = www.digicert.com, CN = DigiCert SHA2 High Assurance Server CA
verify return:1
depth=0 C = JP, ST = Tokyo, L = Tama-shi, O = RMS Co. Ltd., OU = RMS Co. Ltd., CN = *.creative-japan.org
verify return:1
OCSP response:
======================================
OCSP Response Data:
OCSP Response Status: successful (0x0)
Response Type: Basic OCSP Response
Version: 1 (0x0)
Responder Id: 5168FF90AF0207753CCCD9656462A212B859723B
Produced At: Oct 15 23:06:00 2016 GMT
Responses:
Certificate ID:
Hash Algorithm: sha1
Issuer Name Hash: CF26F518FAC97E8F8CB342E01C2F6A109E8E5F0A
Issuer Key Hash: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Serial Number: cccccccccccccccccccccccccccccccccccc
Cert Status: good
This Update: Oct 15 23:06:00 2016 GMT
Next Update: Oct 22 22:21:00 2016 GMT

他のサーバーでのOCSP Stapling設定方法

Copyright © cybervision Hosting. All rights reserved.