OCSP Stapling. Az SSL kapcsolatok sebességének növelése Apache, IIS és NginX szerverek esetén 1(10)



Hasonló dokumentumok
Tanúsítvány létrehozása IIS 8.0 és 8.5 szerverhez

Tanúsítvány feltöltése Gemalto TPC IM CC és ID Classic 340 típusú kártyára

A MOKKA hitelesítő szoftver telepítése és használata

Megújított tanúsítvány cseréje a Windows tanúsítványtárban

Tanúsítvány feltöltése Oberthur kártyára és Oberthur SIM termékre

Elektronikusan hitelesített PDF dokumentumok ellenőrzése

Tanúsítvány létrehozása Apache szerverhez

Tanúsítvány létrehozása Nginx szerverhez

NSR TAO rendszer használatához kiadott tanúsítvány megújításának lépései

Tanúsítvány létrehozása IIS 7.0 szerverhez

Tanúsítvány és hozzá tartozó kulcsok feltöltése Gemalto TPC IM CC és ID Classic 340 kártyára

GIROLOCK2 ROOT_CA ÉS ÜZEMI CA TANÚSÍTVÁNY IMPORTÁLÁSI SEGÉDLET

Tanúsítvány feltöltése Oberthur kártyára és Oberthur SIM termékre

MEGÚJÍTOTT GIROLOCK_CA TANÚSÍTVÁNYCSERE

Tanúsítvány feltöltése Oberthur kártyára és Oberthur SIM termékre. Windows 7, Windows 8, Windows 8.1 és Windows 10-es operációs rendszeren 1(9)

Segédlet kriptográfiai szolgáltatást beállító szoftverhez (CSPChanger)

Tanúsítvány feltöltése Gemalto.NET kártyára és Gemalto SIM termékre

Útmutató az ActiveX valamit az Internet Explorer egyéb beállításaihoz. Windows 7, 8, 8.1 és 10 operációs rendszerekhez

Az ActiveX beállítása

1 Rendszerkövetelmények

NSR TAO rendszer használatához kiadott tanúsítvány megújításának lépései

Tanúsítvány feltöltése Micardo kártyára

Gyökértanúsítványok telepítése Windows Mobile operációs rendszerekre

Szolgáltatási szerződés elektronikus aláírása

Az Outlook levelező program beállítása tanúsítványok használatához

SDX Professional 1.0 Telepítési leírás

KIRA. KIRA rendszer. Telepítési útmutató v1

1. DVNAV letöltése és telepítése

Tanúsítvány létrehozása IIS 8.0 és 8.5 szerverhez

Segédlet kriptográfiai szolgáltatást beállító szoftverhez (CSPChanger)

Tanúsítvány létrehozása IIS 7.0 szerverhez

Útmutató az Elektronikus fizetési meghagyás használatához

Digitális aláíró program telepítése az ERA rendszeren

Telenor Webiroda. Kezdő lépések

Tanúsítvány és kulcspár biztonsági mentése/telepítése

BioAdmin 4.1 könnyű telepítés csak Kliens használatra

Microsec Zrt. által kibocsátott elektronikus aláírás telepítése Windows 7 (x86/x64) Internet Explorer 9 (32 bites) böngészőbe

Szolgáltatási szerződés elektronikus aláírása

ÜGYFÉL OLDALI BEÁLLÍTÁSOK KÉZIKÖNYVE

Telepítési útmutató. web:

Tanúsítvány létrehozása Micardo kártyára

A GeoEasy telepítése. Tartalomjegyzék. Hardver, szoftver igények. GeoEasy telepítése. GeoEasy V2.05 Geodéziai Feldolgozó Program

A CAPICOM ActiveX komponens telepítésének és használatának leírása Windows 7 operációs rendszer és Internet Explorer 9 verziójú böngésző esetén

WIFI elérés beállítása Windows XP tanúsítvánnyal

Szilipet programok telepítése Hálózatos (kliens/szerver) telepítés Windows 7 operációs rendszer alatt

Image Processor BarCode Service. Felhasználói és üzemeltetői kézikönyv

Kliens authentikálás és Form Signing

Budapest Internetbank számlaadatok áttöltése Kézi PC-be. (Felhasználási útmutató)

Az FMH weboldal megnyitásakor megjelenő angol nyelvű üzenetek eltüntetése

Evolution levelező program beállítása tanúsítványok használatához

Elektronikusan hitelesített PDF dokumentumok ellenőrzése

Tanúsítványkérelem készítése, tanúsítvány telepítése Apache szerveren

SSL VPN KAPCSOLAT TELEPÍTÉSI ÚTMUTATÓ

Tanúsítvány létrehozása IIS 5.0 szerverhez

Tanúsítvány és hozzá tartozó kulcsok telepítése szoftveresen tárolt tanúsítványok esetén

Távolléti díj kezelése a Novitax programban

A CA-42 adatkommunikációs kábel gyors telepítési útmutatója

Az SHA256 hash algoritmus váltással kapcsolatos lépések

Digitális aláíró program telepítése az ERA rendszeren

Netlock Kft. által kibocsátott elektronikus aláírás telepítése Windows XP SP3 Internet Explorer 8 böngészőbe

A CAPICOM ActiveX komponens telepítésének és használatának leírása Windows7 operációs rendszer és Internet Explorer 8-es verziójú böngésző esetén

Útmutató: DAVIE4 tanúsítvány. Dátum : 2/2/2016. FAM DAVIE ügyfélszolgálat

Java telepítése és beállítása

Bit4id Crypto Java Card (Oberthur Cosmo ID-One v7.0) kártya használati útmutatója

BaBér. Bérügyviteli rendszer. Telepítési segédlet 2014.

VBA makrók aláírása Office 2007 esetén

WIN-TAX programrendszer frissítése

WebEC kliens számítógép telepítése és szükséges feltételek beállítása, az alábbi ellenőrző lista alapján történik.

Útmutató az OKM 2007 FIT-jelentés telepítéséhez

Elektronikusan hitelesített PDF dokumentumok ellenőrzése

A GeoEasy telepítése. Tartalomjegyzék. Hardver, szoftver igények. GeoEasy telepítése. GeoEasy V2.05+ Geodéziai Feldolgozó Program

OpenVPN kliens telepítése a RITEK Zrt. szervereinek eléréséhez.

Útmutató az E-Beszámoló használatához

Tagi nyilatkozat elektronikus aláírás folyamata MicroSigner alkalmazás használatával

Telepítési Kézikönyv

E-Freight beállítási segédlet

K&H token tanúsítvány megújítás

SafeQ nyomtatató telepítése

ElitBÉR bérrendszer telepítése hálózatos környezetben

TERKA Törvényességi Ellenőrzési Rendszer Kiegészítő Alkalmazás

e-szignó Hitelesítés Szolgáltató Microsec e-szignó Tanúsítvány telepítése Mac OS X Snow Leopard operációs rendszeren

Az alábbiakban szeretnénk segítséget nyújtani Önnek a CIB Internet Bankból történő nyomtatáshoz szükséges böngésző beállítások végrehajtásában.

VisualBaker Telepítési útmutató

Útmutató az IRM E-Számlák kezeléséhez

Felhasználói leírás a DimNAV Server segédprogramhoz ( )

Elektronikus aláírás ellenőrzése PDF formátumú e-számlán

BaBér bérügyviteli rendszer telepítési segédlete év

A Telepítés hajlékonylemezről panelen kattintson az OK gombra.

PDF dokumentumok elektronikus aláírása, időbélyegzése és ellenőrzése Adobe Reader DC alkalmazással

SZERVIZ 7. a kreatív rendszerprogram. Telepítési dokumentáció Szerviz7 DEMO alkalmazásokhoz. Verzió: 08/ 2010

Tisztelt Ügyfelünk! Tájékoztató az átállásról

Tanúsítványkérelem készítése, tanúsítvány telepítése Microsoft Internet Information szerveren

WIN-TAX programrendszer hálózatban

DRÉN & VALNER SZOFTVER KFT 4031 Debrecen, Egyetem sugárút 11/a. 1/5. 52/ , 52/ , 30/

Kliens authentikálás és Form Signing

Verziószám 2.2 Objektum azonosító (OID) Hatálybalépés dátuma szeptember 2.

Az Evolut Főkönyv program telepítési és beállítási útmutatója v2.0

Az Internet Explorer 7+ böngésző program beállítása tanúsítványok használatához

15.4.2a Laborgyakorlat: Böngésző beállítása

Átírás:

OCSP Stapling Az SSL kapcsolatok sebességének növelése Apache, IIS és NginX szerverek esetén 1(10)

1. Tartalomjegyzék 1. Tartalomjegyzék... 2 2. Bevezető... 3 3. OCSP Stapling támogatással rendelkező webszerverek... 3 4. Mi is az OCSP Stapling?... 4 4.1. Kapcsolat felépülése OCSP Stapling nélkül... 4 4.2. Kapcsolat felépülése OCSP Stapling segítségével... 4 5. Előzetes követelmények 1 A tűzfalakon szükséges engedélyezés... 4 6. Előzetes követelmények 2 A gyökértanúsítványok beszerzése... 5 6.1. SHA 256 kiadók... 5 6.2. SHA 1 kiadók... 5 6.3. Összes kiadó... 5 7. Az Apache 2.3 és későbbi szerver verziók beállítása... 6 8. Az NginX 1.3.7 és későbbi szerver verziók beállítása... 7 9. Az IIS 7 és későbbi szerver verziók beállítása... 8 10. Függelék A Tanúsítvány kezeléséhez MMC konzol létrehozása, mentése Windows operációs rendszeren... 9 2(10)

2. Bevezető E tájékoztató célja, hogy a szerveréhez létrehozott SSL tanúsítvány használatának sebességét optimalizálhassa. Kérjük, olvassa el figyelmesen és kövesse a leírtakat. Amennyiben bármilyen kérdése vagy problémája van, Ügyfélszolgálatunk az (40) 22-55-22 telefonszámon, az info@netlock.hu e-mail címen vagy személyesen a 1101 Budapest, Expo tér 5-7. szám alatt munkanapokon 9 és 17 óra között készséggel áll rendelkezésére. 3. OCSP Stapling támogatással rendelkező webszerverek Az alábbi szerverek rendelkeznek OCSP Stapling támogatással: NginX 1.3.7 és későbbi verziók Windows 2008 vagy későbbi szerveren IIS 7 és annak újabb verziói Apache 2.3 és későbbi verziók 3(10)

4. Mi is az OCSP Stapling? Az OCSP Stapling előnye a Stapling nélküli és a Stapling használatával történő működés bemutatásának különbségein keresztül érzékelhető. 4.1. Kapcsolat felépülése OCSP Stapling nélkül A visszavonás ellenőrzés OCSP segítségével hagyományos esetben a következőképpen történik: 1. A kliens böngészője felveszi a kapcsolatot a webszerverrel 2. A kliens böngészője a megkapott tanúsítványt lekérdezi a tanúsítványkiadó szerverétől, OCSP vagy CRL esetében 3. Létrejön a kapcsolat Mint látható, minden kliens maga kommunikál a tanúsítványkiadóval, ami magas terhelés esetén a felhasználó számára hosszú válaszidőket eredményezhet a kliens oldalon. 4.2. Kapcsolat felépülése OCSP Stapling segítségével Az OCSP Stapling kihasználja azt, hogy a kapcsolat kiépülésekor a már kiépített kapcsolaton keresztül akár a visszavonási információk lekérését is el lehet küldeni a kliens számára. A visszavonás ellenőrzés OCSP segítségével hagyományos esetben a következőképpen történik: Előkészítő lépés: a webszerver időnként letölti a tanúsítványához tartozó OCSP válaszokat, majd meghatározott időnként frissíti azt. 1. A kliens böngészője felveszi a kapcsolatot a webszerverrel 2. A webszerver elküldi az OCSP választ a kliens részére 3. Létrejön a kapcsolat Mint látható, a szerver gyakorlatilag előre betárazza az OCSP a választ, így A KAPCSOLAT KIÉPÜLÉSÉNEK SEBESSÉGE TEHÁT NEM FÜGG KÜLSŐ SZERVERTŐL, EZÉRT AZ OCSP STAPLING BEÁLLÍTÁSA KÜLÖNÖSEN AJÁNLOTT! 5. Előzetes követelmények 1 A tűzfalakon szükséges engedélyezés Ahhoz, hogy az OCSP Stapling használható legyen, a szervezet tűzfalain a szerver számára engedélyezni kell a következő címek elérését. http://www.netlock.hu http://ocsp1.netlock.hu http://ocsp2.netlock.hu http://ocsp3.netlock.hu Javasolt a fenti esetek DNS alapú beállítása, mert a szolgáltatások felhőbe költözése esetén az IP címek változhatnak. 4(10)

6. Előzetes követelmények 2 A gyökértanúsítványok beszerzése Ahhoz, hogy az OCSP Stapling működjön, egyes szervereken szükséges a gyökértanúsítványok és köztes tanúsítványok szerver számára elfogadható módon történő telepítése. A tanúsítványok kiadója alapján szükséges a következők tanúsítványok letöltése. Mivel egyes böngészők ezt automatikusan megnyitják, a tanúsítvány letöltéséhez célszerű Internet Explorer-t használni. Az egyes kiadók elérése a következő alfejezetben olvasható. 6.1. SHA 256 kiadók Az SHA256 algoritmusú kiadók a következő URL-eken érhetők el. Legfelső szintű kiadó: Arany (SHA256) www.netlock.hu/index.cgi?ca=gold Köztes szintű kiadó: Közjegyzői (SHA256) www.netlock.hu/index.cgi?ca=caca Üzleti (SHA256) www.netlock.hu/index.cgi?ca=cbca Expressz (SHA256) www.netlock.hu/index.cgi?ca=ccca OnlineSSL (SHA256) www.netlock.hu/index.cgi?ca=olsslgca 6.2. SHA 1 kiadók Az SHA1 algoritmusú kiadók a következő URL-eken érhetők el. Legfelső szintű kiadók: Közjegyzői (SHA1) www.netlock.hu/index.cgi?ca=kozjegyzoi 6.3. Összes kiadó Természetesen használható egy előre összeállított csomag is erre a célra, amely a következő címen érhető el (javasolt az netlock_osszes_auth_kiado.pem fájl használata a csomagból): http://www.netlock.hu/docs/letoltes/auth_kiadok_csomag.zip 5(10)

7. Az Apache 2.3 és későbbi szerver verziók beállítása Az Apache 2.3 vagy későbbi verziójú webszerver esetén az apache konfigurációs állományban a következőket kell megadni az OCSP Stapling bekapcsolásához: 1. A Szerveren ellenőrizzük, hogy az OpenSSL legalább 0.9.8h verziója legyen megtalálható, ha ez nem így van, akkor frissítsük azt. Az ellenőrzés elvégezhető a következő paranccsal. openssl version 2. A szerver modul betöltő részéhez (általában a httpd.conf fájlban található ez a szakasz) adjuk hozzá a következő szakaszt: LoadModule socache_shmcb_module modules/mod_socache_shmcb.so Ez a beállítás betölti a megfelelő modult. Ellenőrizzük, és szükség esetén telepítsük, ha nem található szerverünkön ez a modul. 3. A szerver SSL részt beállító szakaszához adjuk hozzá a következő bejegyzéseket: #stapling bekapcsolása, cache es cache timeout beallitasa SSLUseStapling On SSLStaplingCache shmcb:/path/to/datafile[(512000)] SSLStaplingStandardCacheTimeout 3600 SSLStaplingResponseMaxAge 3600 #a valaszado lekeres timeout beallitasa SSLStaplingResponderTimeout 30 #hibas ocsp eseten a valasz timeoutja SSLStaplingErrorCacheTimeout 600 #ha a szerver nem tud staplingolni, trylater-t küld a kliensnek SSLStaplingReturnResponderErrors on SSLStaplingFakeTryLater on A /path/to/datafile értéket helyettesítsük be, javasolt lehet a következő: /var/cache/mod_shmcb/stapcache Az útvonal és a fájl legyen létrehozva, jogosultsága legyen a webszerver jogosultságával egyező. A fentiek megadása és az Apache szerver újraindítása után az OCSP Stapling-nak működnie kell. 6(10)

8. Az NginX 1.3.7 és későbbi szerver verziók beállítása Az Nginx 1.3.7 vagy későbbi verziójú webszerver esetén a konfigurációs állományban a következőket kell megadni az OCSP Stapling bekapcsolásához: ## OCSP Stapling resolver 127.0.0.1; ssl_stapling on; ssl_stapling_verify on; ssl_trusted_certificate <file>; A Resolver értéke a DNS szerver értéke legyen, nem a példában szereplő 127.0.0.1, azaz localhost. Ha a gép tud DNS nevet feloldani, akkor megfelelő lehet a fenti példa is. Az SSL Stapling működéséhez és az ellenőrzéshez szükséges, hogy a szerverre a gyökér és köztes tanúsítványok telepítve legyenek. Az ssl_trusted_certificate esetén a fájl neve arra a fájlra kell, hogy mutasson, amely a gyökér- és köztes tanúsítványokat tartalmazza. 7(10)

9. Az IIS 7 és későbbi szerver verziók beállítása Figyelem! Az IIS 7 szervernek a sikeres beállításhoz Windows 2008 vagy későbbi szerveren kell futnia, és alapesetben az OCSP Stapling bekapcsolt állapotú. Az IIS esetében a következő lépések szükségesek: 1. A legfelső szintű tanúsítványok telepítése a szerverre. 2. A köztes kiadó tanúsítványok telepítése a szerverre. A tanúsítványok telepítésének lépései gyökértanúsítványok esetén (Arany, SHA1 Közjegyzői, SHA1 Üzleti, SHA1 Expressz esetében): 1. Töltse le a kiadó gyökértanúsítványát a szerverre. 2. Telepítse MMC-vel az Trusted Root Certification Authorities tárolóba. (Ne felejtse el, hogy a Local Computer store-ba kell telepíteni. A függelék bemutatja az MMC használatát.) 3. A telepítés után szükség lehet az IIS újraindítására. A tanúsítványok telepítésének lépései köztes (intermediate) tanúsítványkiadók esetén (SHA256 Közjegyzői, SHA256 Üzleti, SHA256 Expressz, SHA1 OnlineSSL, SHA256 OnlineSSL esetében): 1. Töltse le a köztes kiadó gyökértanúsítványát a szerverre. 2. Telepítse MMC-vel az Intermediate Certification Authorities tárolóba. (Ne felejtse el, hogy a Local Computer store-ba kell telepíteni. A függelék bemutatja az MMC használatát.) 3. A telepítés után szükség lehet az IIS újraindítására. 8(10)

10. Függelék A Tanúsítvány kezeléséhez MMC konzol létrehozása, mentése Windows operációs rendszeren 1. Indítsa el a Start menü / Futtatás / MMC parancsot. 2. A megjelenő konzolon a File menüből válassza a Beépülő modul hozzáadása/eltávolítása menüpontot. 3. A következő ablakban a Kezelőpultgyökér -hez a Hozzáad gomb megnyomásával kell továbblépni. 9(10)

4. A megjelenő ablakban válassza ki a Tanúsítványok lehetőséget. 5. Ezután a megjelenő ablakban a Számítógépfiók lehetőséget kell választani, majd a Helyi számítógép lehetőséget. 6. Ezt követően kattintson a Befejezés (Finish) gombra az ablak bezárásához. Mentse el a létrejött panelt az alábbi lépések szerint. 1. Válassza a File / Mentés másként, majd adja meg a helyet, ahova menteni kívánja a konzolt. 2. Ezt követően az új ikonnal bármikor újraindíthatjuk a konzolt. 10(10)

2024 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés