以下の手順でApacheでの OCSP stapling設定ができます。
OCSP stapling についてはOCSP Staplingを参照してください。
Apache 2.3.3以降で OCSP Staplingが利用できます。
以下いずれかのコマンドで Apache のバージョンをチェックしてください。
# apache2 -v
# httpd -v
異なるバージョンのApacheをインストールしている場合は以下で利用中のApacheのバージョンが確認できます。
# ps auxwww | grep httpd
# curl ocsp.digicert.com/ping.html
# wget ocsp.digicert.com/ping.html
# cat ping.html
Apacheの設定ファイルでOCSP Staplingの利用設定を行います。
設定を行うconfファイルは /opt/httpd/httpd-2.4.23/conf/extra/httpd-ssl.conf 等のSSLの利用設定が行われているファイルです。
ファイル名と保存場所は利用環境によって異なります。
以下は rms000.creative-japan.org での設定例です。
# apachectl configtest
# apachectl restart
OCSP stapling が正しく機能していることを確認します。
以下のコマンドを実行します。[yoursite.com]の部分には OCSP stapling を設定したホスト名を入力してください。
# openssl s_client -connect [yoursite.com]:443 -status
正しく設定されている場合は OCSP Response Data セクションに以下の記述が見つかります。
OCSP Response Status: successful (0x0)
以下は rms000.creative-japan.org での検証例です。
CONNECTED(00000003) depth=2 C = US, O = DigiCert Inc, OU = www.digicert.com, CN = DigiCert High Assurance EV Root CA verify return:1 depth=1 C = US, O = DigiCert Inc, OU = www.digicert.com, CN = DigiCert SHA2 High Assurance Server CA verify return:1 depth=0 C = JP, ST = Tokyo, L = Tama-shi, O = RMS Co. Ltd., OU = RMS Co. Ltd., CN = *.creative-japan.org verify return:1 OCSP response: ====================================== OCSP Response Data: OCSP Response Status: successful (0x0) Response Type: Basic OCSP Response Version: 1 (0x0) Responder Id: 5168FF90AF0207753CCCD9656462A212B859723B Produced At: Oct 15 23:06:00 2016 GMT Responses: Certificate ID: Hash Algorithm: sha1 Issuer Name Hash: CF26F518FAC97E8F8CB342E01C2F6A109E8E5F0A Issuer Key Hash: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx Serial Number: cccccccccccccccccccccccccccccccccccc Cert Status: good This Update: Oct 15 23:06:00 2016 GMT Next Update: Oct 22 22:21:00 2016 GMT