Digitale IDs im Webserver Apache verwenden
Der Webserver Apache benötigt jeweils als PEM-Datei:
den unverschlüsselten privaten Schlüssel in
/pfad/zu/key.pemdas Serverzertifikat in
/pfad/zu/cert.pemdie Zwischen-CA-Zertifikate in
/pfad/zu/chain.pem
Es darf sich um drei getrennte Dateien handeln oder auch um eine einzige Datei, die die Schlüssel und Zertifikate in dieser Reihenfolge enthält. Namen und Pfade dürfen frei gewählt werden.
Mit folgenden Konfigurationsanweisungen geben Sie an, welche Dateien verwendet werden sollen:
SSLCertificateKeyFile /pfad/zu/key.pem
SSLCertificateFile /pfad/zu/cert.pem
SSLCertificateChainFile /pfad/zu/chain.pem
Wir empfehlen weiterhin folgende Einstellungen:
Unsichere SSL/TLS-Protokolle deaktivieren:
SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1
Unsichere Verschlüsselungsverfahren deaktivieren und beste Methoden bevorzugen[1][3]:
SSLCipherSuite "ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256"
SSLHonorCipherOrder on
oder, noch etwas strenger[2][3], entsprechend den Empfehlungen des DFN-PKI-Teams:
SSLCipherSuite "ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256"
SSLHonorCipherOrder on
Obige Zeile SSLCipherSuite "..." wirkt nur auf
Verbindungen mit TLS 1.2 (und älter, falls nicht deaktiviert).
Verschlüsselungsverfahren für Verbindungen mit TLS 1.3
könnten bei Bedarf mit einer zusätzlichen Zeile
SSLCipherSuite TLSv1.3 "..." angepasst werden.
OCSP-Stapling aktivieren (den Pfad bitte wie bei SSLSessionCache wählen):
SSLUseStapling on
SSLStaplingReturnResponderErrors off
SSLStaplingCache shmcb:/..../..../sslstaplingcache(512000)