Centos 7マシンが3台あります。
最初のコンピュータにFreeIPAサーバーをインストールしました。これは私のネットワークで認証局として機能します。これが私のCAです。
FreeIPAクライアントがインストールされている別のコンピュータがあります。このシステムは、第三のシステムにWebサービスを提供できます。 CAによって生成された証明書があります。
3 番目のシステムには freeipa がインストールされておらず、2 番目のシステムで https 要求を実行します。
OCSPステープル留めを使用したいです。
/etc/httpd/conf.d/ssl.confだから私は2番目のコンピュータに次の行を追加しました。
SSLUseStapling on
SSLStaplingCache shmcb:/run/httpd/sslcache(512000)
そしてhttpdを再起動してください。
カールを使用して3台目のコンピュータでhttps要求を実行すると、次のメッセージが表示されます。OCSP応答が送信されませんでした。。
だから私のCA(最初のコンピュータのFreeipaサーバー)が正しく設定されていないようです。
私は変更を試みるnss構成ファイル/etc/pki/pki-tomcat/ca/CS.cfgCAはocspステープル留めを有効にしようとしましたが、成功しませんでした。わかりません。
IPAサーバーをチェックインしたと付け加えましたca.ocsp=true存在する/var/lib/pki/pki-tomcat/ca/conf/CS.cfg。
助けてください?とても感謝しています。
とても感謝しています。
編集する:
httpsサーバーの証明書には、ocspレスポンダURLを含む資格情報アクセス拡張があり、そのURLは正しいです。
ファイアウォールが無効になっています。
openssl ocsp -issuer ca.cert -cert server.cert -text -url http://ipa-ca.mydomain.com/ca/ocspocsp応答を提供しますが、コマンドはopenssl s_client -connect myserver.mydomain.com:443 -tls1 -tlsextdebug -status提供しますocsp応答:応答が送信されませんでした。。
ocspの回答者は大丈夫だと知っていますが、ステープル留めは機能しません...
答え1
openssl ocsp ...テストしたとしましょう。~から myserver.mydomain.com、myserver.mydomain.comがOCSPレスポンダに接続されているようです。
それから決めるべきことApache HTTPSサーバープロセスこの接続を使用できますか? CentOS 7ではデフォルトでSELinuxが有効になっており、httpdOCSPステープルを使用すると、プロセスがhttpdOCSPレスポンダに送信するTCP接続を確立できる必要があります。これを行うには、次の操作を行う必要があります。
setsebool -P httpd_can_network_connect 1
この設定がないと、httpdプロセスは発信TCP接続を確立できず、着信接続にのみ応答できます。これにより、OCSP要求が発生しなくなります。
また、HTTPSサーバーのログも確認する必要があります。次のエラーメッセージが記録された場合:
AH02217: ssl_stapling_init_cert: Can't retrieve issuer certificate!
問題は、HTTPSサーバーにOCSPレスポンダーが使用できるCA証明書チェーンがないため、OCSPレスポンダーから受信した応答の信頼性を確認できないことです。この問題を解決するには、HTTPS サーバー構成またはディレクティブを使用して、SSLCertificateFileHTTPS サーバーに適切な CA 証明書を提供する必要があります。SSLCertificateChainFileを使用している場合は、SSLCertificateFile関連する中間CAおよびルートCAのPEM形式の証明書をHTTPSサーバー証明書を含むファイルに追加するだけです。