Назад | Перейти на главную страницу

Apache httpd: как включить сшивание OCSP с помощью mod_md?

Я хочу включить сшивание OCSP с mod_md на моем сервере Debian 10 с Apache httpd. Я включил модуль, и команда MDomain example.org понятно, но пример

<MDomain mydomain.net>
  MDStapling on
</MDomain>

при запуске выдает ошибку «Неверная команда '<MDomain', возможно, неправильно написана или определена модулем, не включенным ...» apache2. И если я просто продолжу MDStapling on, Я получаю сообщение об ошибке «Неверная команда 'MDStapling', возможно, неправильно написана или определена модулем, который не включен ...».

Если не включить модуль mod_md, я получаю ошибку по команде MDomain example.org. Таким образом, тот факт, что команда понятна, показывает, что этот модуль был загружен.

Примечание: предложение использовать mod_md исходит от этот комментарий ошибки Apache 57121.

Похоже, что в старых версиях mod_md вы должны использовать: <MDomainSet> если вы сделаете это директивой контейнера. Однако сшивание OCSP появилось только в mod_md версии 2.1.0 и может использоваться только с mod_ssl из Apache 2.4.41 и выше.

В апстрим Apache 2.4.30 включен mod_md 1.1.8 в базовую сборку.

Текущая стабильная версия Apache Buster является производным от версии 2.4.38 и должна содержать mod_md 1.1.17. Но это подходит только для протокола ACME v1, поэтому, даже если вы сможете заставить его работать, он будет бесполезен, когда Letsencrypt перестанет обрабатывать проверки домена ACME v1 в июне 2020 года. Вы уже не можете использовать его для регистрации новых учетных записей.

Apache 2.4.41 включил подготовительное изменение для обратных вызовов в mod_ssl, которое позволило бы сшивать OCSP от других поставщиков, таких как mod_md. Но mod_md все еще был включен в версию 2.0.8, которая на тот момент была лучшей доступной версией. Эта версия доступна в buster-backports, хотя я не знаю, поддерживает ли эта сборка этот модуль. Однако он не поддерживает сшивание OCSP. https://packages.debian.org/buster-backports/apache2-bin

Текущие версии mod_md: https://github.com/icing/mod_md

Пожалуйста, также проголосуйте за эту ошибку, если можете, я тоже голосовал за нее и за ту, которую вы упомянули: https://bz.apache.org/bugzilla/show_bug.cgi?id=60182