DigiCert証明書の正規代理店株式会社アールエムエス
DigiCert SSLサーバ証明書 SSLサーバ証明書詳細 コードサイニング証明書詳細
DigiCert サーバー証明書利用団体
  1. ホーム
  2. サポート
  3. インストール方法
  4. Apacheでの OCSP Stapling設定方法

Apacheでの OCSP Stapling設定方法

以下の手順でApacheでの OCSP stapling設定ができます。
OCSP stapling についてはOCSP Staplingを参照してください。

Apache のバージョンチェック

Apache 2.3.3以降で OCSP Staplingが利用できます。
以下いずれかのコマンドで Apache のバージョンをチェックしてください。

# apache2 -v
# httpd -v

異なるバージョンのApacheをインストールしている場合は以下で利用中のApacheのバージョンが確認できます。

# ps auxwww | grep httpd

OCSP レスポンダーサーバーへの接続を確認

  1. Apache が稼働しているサーバーで以下のコマンドを実行してください。
    You have successfully reached the DigiCert OCSP Serviceと表示されれば正しく接続できています。
    # curl ocsp.digicert.com/ping.html
  2. 「curl」がインストールされていない場合は以下を実行ください。
    # wget ocsp.digicert.com/ping.html
  3. ping.html ファイルがダウンロードされます。以下のコマンドで ping.html ファイルの内容を確認してください。
    You have successfully reached the DigiCert OCSP Service と表示されれば正しく接続できています。
    # cat ping.html

Apacheの設定ファイルでOCSP Staplingの利用設定

Apacheの設定ファイルでOCSP Staplingの利用設定を行います。
設定を行うconfファイルは /opt/httpd/httpd-2.4.23/conf/extra/httpd-ssl.conf 等のSSLの利用設定が行われているファイルです。
ファイル名と保存場所は利用環境によって異なります。

  1. SSLの設定ファイルの編集: 以下を該当ホストの <VirtualHost></VirtualHost> ブロックに追加します。
    SSLUseStapling on
  2. 以下を <VirtualHost></VirtualHost> ブロック外のグローバル領域に追加します。
    SSLStaplingCache shmcb:/tmp/stapling_cache(128000)
    以下は rms000.creative-japan.org での設定例です。
    SSLStaplingCache shmcb:/tmp/stapling_cache(128000) <VirtualHost *:443> SSLEngine on SSLUseStapling on SSLCertificateFile /etc/pki/tls/certs/star.creative-japan.org/star_creative-japan_org.crt SSLCertificateKeyFile /etc/pki/tls/certs/star.creative-japan.org/star_creative-japan_org.key SSLCertificateChainFile /etc/pki/tls/certs/star.creative-japan.org/DigiCertCA.crt </VirtualHost>
  3. 以下のコマンドで設定に誤りがないかを確認します。
    # apachectl configtest
  4. 設定に誤りがなければ以下のコマンドでApacheを再起動します。
    # apachectl restart

OCSP staplingを検証する

OCSP stapling が正しく機能していることを確認します。

以下のコマンドを実行します。[yoursite.com]の部分には OCSP stapling を設定したホスト名を入力してください。

# openssl s_client -connect [yoursite.com]:443 -status

正しく設定されている場合は OCSP Response Data セクションに以下の記述が見つかります。

OCSP Response Status: successful (0x0)
以下は rms000.creative-japan.org での検証例です。
CONNECTED(00000003)
depth=2 C = US, O = DigiCert Inc, OU = www.digicert.com, CN = DigiCert High Assurance EV Root CA
verify return:1
depth=1 C = US, O = DigiCert Inc, OU = www.digicert.com, CN = DigiCert SHA2 High Assurance Server CA
verify return:1
depth=0 C = JP, ST = Tokyo, L = Tama-shi, O = RMS Co. Ltd., OU = RMS Co. Ltd., CN = *.creative-japan.org
verify return:1
OCSP response:
======================================
OCSP Response Data:
OCSP Response Status: successful (0x0)
Response Type: Basic OCSP Response
Version: 1 (0x0)
Responder Id: 5168FF90AF0207753CCCD9656462A212B859723B
Produced At: Oct 15 23:06:00 2016 GMT
Responses:
Certificate ID:
Hash Algorithm: sha1
Issuer Name Hash: CF26F518FAC97E8F8CB342E01C2F6A109E8E5F0A
Issuer Key Hash: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Serial Number: cccccccccccccccccccccccccccccccccccc
Cert Status: good
This Update: Oct 15 23:06:00 2016 GMT
Next Update: Oct 22 22:21:00 2016 GMT

他のサーバーでのOCSP Stapling設定方法

SSL サーバ証明書とは?
30日間テスト証明書
30日間返金保証制度あり!
コードサイニング証明書
ドキュメントサイニング証明書
デジタル証明書ニュース
HTTPS入門
digicert.comトピックス&ニュース