KeyHelp Community

Das offizielle KeyHelp Forum der Keyweb AG / The official KeyHelp forum of Keyweb AG
https://community.keyhelp.de/

OCSP Stapling aktivieren

https://community.keyhelp.de/viewtopic.php?t=9166

Page 1 of 1

OCSP Stapling aktivieren

Posted: Thu 20. Feb 2020, 13:44
by pummelbaer
Hallo zusammen,

ich habe Probleme mit der Aktivierung von OSCP-Stapling
Gebe ich in der ssl.conf folgendes ein:

Code: Select all

SSLUseStapling On
SSLStaplingCache "shmcb:logs/ssl_stapling(32768)"
Wird OSCP-Stapling nicht aktiviert.

Wie muss ich das denn richtig aktivieren???


Grüße Pummel

Re: OCSP Stapling aktivieren

Posted: Thu 20. Feb 2020, 14:16
by Blackmoon
Hallo Pummel,
Wird OCSP-Stapling nicht aktiviert.
Enthält das betroffene SSL-Zertifikat auch eine OCSP URl?
Wie has du OCSP für die Webseite getestet?

/Dani

Re: OCSP Stapling aktivieren

Posted: Thu 20. Feb 2020, 14:21
by derFu
Hallo!
pummelbaer wrote: Thu 20. Feb 2020, 13:44

Code: Select all

SSLStaplingCache "shmcb:logs/ssl_stapling(32768)"
Wird OSCP-Stapling nicht aktiviert.

Wie muss ich das denn richtig aktivieren???

Versuch mal

Code: Select all

    SSLStaplingCache        shmcb:${APACHE_RUN_DIR}/ssl_ocsp(512000)
Edit: So ist es unter Debian 9 und 10. Ubuntu wird aber ähnlich sein.

Re: OCSP Stapling aktivieren

Posted: Thu 20. Feb 2020, 14:34
by pummelbaer
@Derfu
Versuch mal

Code: Alles auswählen

SSLStaplingCache shmcb:${APACHE_RUN_DIR}/ssl_ocsp(512000)

Edit: So ist es unter Debian 9 und 10. Ubuntu wird aber ähnlich sein.
Das ist richtig, egal ob mit meiner Einstellung oder mit der von Keyhelp vordiffinierten Standardeinstellung, wenn man die Ausargumentierung weg nimmt.


@Dani
Enthält das betroffene SSL-Zertifikat auch eine OCSP URl?
Revocation information CRL, OCSP
CRL: http://crl2.alphassl.com/gs/gsalphasha2g2.crl
OCSP: http://ocsp2.globalsign.com/gsalphasha2g2
Wie has du OCSP für die Webseite getestet?
Mit Qualys SSL Lab habe ich das getestet. Aber irgendwie will das nicht.
Und OSCP-Stapling wird von meinem CA-Anbieter unterstützt, er meinte
der Server ist falsch konfiguriert worden...


Gruß Pummel

Re: OCSP Stapling aktivieren

Posted: Thu 20. Feb 2020, 16:13
by Blackmoon
Und OSCP-Stapling wird von meinem CA-Anbieter unterstützt, er meinte der Server ist falsch konfiguriert worden...
Passt, das beweisen auch die beiden URl von dir. :-)
Mit Qualys SSL Lab habe ich das getestet. Aber irgendwie will das nicht.
Hast du nach der Anpassung der Konfiguration den Service auch neu gestartet?
Ist evtl. zwischen KeyHelp-Server un der Außenwelt noch eine Firewall?

/Dani

Re: OCSP Stapling aktivieren

Posted: Thu 20. Feb 2020, 16:57
by pummelbaer
@Blackmoon,

Erst mal ein Hallo,
Hast du nach der Anpassung der Konfiguration den Service auch neu gestartet?
Ja das habe ich gemacht, direkt nach dem speichern...
Beim ersten Neustart hatte Qualys mich erst mal von A+ auf A, wegen eines vergessenen Slash degradiert.
Gut nachgeholt und neu gespeichert mit Serverneustart...
A+ Wieder zurück geholt, aber OCSP unverändert.

OCSP Must Staple No <- Unter Server Key and Certificate #1

OCSP stapling Yes<- Unter Protokol Details
Ist evtl. zwischen KeyHelp-Server un der Außenwelt noch eine Firewall?
Auf meinem Server keine Firewall z.Zt. eingerichtet. Ich denke mal "Netcup" wird sicherlich eine dazwischen geschaltet haben.
Aber die sollte kein Hindernis sein.
Wenn ich ein letsencrypt Cert einrichte dann funzt dit ja ooch...

Jedenfalls sollte er OCSP aber machen müssen....
Und das bekomme ich irgendwie nüscht hin.


Gruß Pummel
All times are UTC+02:00
Page 1 of 1

Powered by phpBB® Forum Software © phpBB Limited