Apache, SSL e CaCert.Org

Da Guide@Debianizzati.Org.

Indice

Introduzione

Ci avrà provato ad installare apache (o apache2) con supporto ssl si sarà trovato davanti al problema del certificato: come generarlo? che valore ha? dove posso ottenere un certificato valido? esistono soluzioni gratuite?

Queste sono le domande normali che si pone un utente, soprattutto guardando i prezzi esorbitanti proposti per l'acquisto di certificati SSL.

Generazione del certificato

La generazione di un certificato è un po' macchinosa, ma tutto questo è a favore della sicurezza della procedura.

Per prima cosa è necessario registrarsi su Cacert.Org. Terminata la registrazione (confermando via email la validità del proprio indirizzo email) siamo pronti per iniziare.

Registrazione di un Dominio

Per poter generare un certificato è necessario disporre di un dominio.

Generazione csr

Per poter ottenere un certificato è necessario avere una Richiesta di Sottoscrizione del Certificato (Certificate Signing Request, CSR). Per crearla usiamo il seguente comando:

# openssl req -nodes -new -keyout dominio.it.key -out dominio.it.csr

Dove, ovviamente, dominio.it rappresenta il nome del nostro dominio.

Verranno poste le seguenti domande:

Generating a 1024 bit RSA private key
..............++++++
..................++++++
writing new private key to 'mail.knio.it.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:IT
State or Province Name (full name) [Some-State]:Verona
Locality Name (eg, city) []:Garda
Organization Name (eg, company) [Internet Widgits Pty Ltd]:MaXeR
Organizational Unit Name (eg, section) []:
Common Name (eg, YOUR name) []:dominio.it
Email Address []:admin@dominio.it

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
Info.png Nota:
i dati inseriti sono futtizzi, è d'obbligo sostituirli con quelli reali


Per dare una durata di tempo al certificato aggiungere al comando openssl , -days xxx dove xxx sono il numero di giorni di validità dello stesso

Verranno generati due file: dominio.it.key, che rappresenta la chiave privata; dominio.it.csr che rappresenta la Richiesta di Sottoscrizione del Certificato.

Richiesta del Certificato

Visualizziamo il contenuto del file dominio.it.csr e copiamolo nel form contenuto in Certificati per i Server (Server Certificates), Nuovo.

Inviamo il contenuto del form e confermiamo. Al termine dell'elaborazione verrà mostrato il codice del certificato (una copia ci verrà inviata anche via email), salviamolo nel file dominio.it.crt.

Spostiamo i file sul server

Spostiamo i tre file sul server, nella directory /etc/apache/ssl/ nel caso di apache, /etc/apache2/ssl nel caso di apache2.

Verifica del Certificato

Prima di configurare il server è d'obbligo un controllo sulla correttezza del certificato. Per fare questo dobbiamo:

Se tutto è stato eseguito correttamente, il controllo avrà esito positivo.

Apache

Installazione

Apache-ssl rappresenta il demone Apache con il supporto per ssl abilitato. L'installazione è semplice, rappresentando un pacchetto separato da apache normale:

# apt-get install apache-ssl

Configurazione

Prima di installare i certificati è consigliabile mettere mano alla configurazione generica del server, in modo da sistemare quei parametri relativi al dominio, all'amministratore e alla directory radice utilizzata da apache.

Modifica impostazioni base

Il file in questione è /etc/apache-ssl/httpd.conf. Le voci da adattare alla propria configurazione sono le seguenti:

ServerName 
indica il dominio al quale dovrà rispondere il server. Nel nostro caso sarà esempio.it.
ServerAdmin 
l'email dell'amministratore del server. Nel nostro caso sysadmin@esempio.it.
DocumentRoot 
indica la directory radice in cui si trovano le pagine che verranno mostrate da apache. Nel nostro esempio verrà mantenuto il valore di default.

Aggiunta del Certificato

Il file da modificare è, anche in questo caso, quello principale: /etc/apache-ssl/httpd.conf. All'interno di questo è presente una sottosezione, preceduta dalla riga

# ----------------------------SSL----------------------------------

All'interno di questa sezione si trovano tutte le voci di configurazione del modulo SSL; quelli che ci interessano, per una configurazione base sono SSLCertificateFile e SSLCertificateKeyFile.

Commentiamo (o modifichiamo) quindi quelle già presenti ed aggiungiamo quelle relative al nostro certificato:

SSLCertificateFile /etc/apache-ssl/ssl/esempio.it.crt
SSLCertificateKeyFile /etc/apache-ssl/ssl/esempio.it.key

Salviamo il file e riavviamo apache-ssl.

# /etc/init.d/apache-ssl restart (o reload)

Apache2

Installazione

L'installazione di apache2 è semplicissima:

# apt-get install apache2

Attivazione del supporto SSL

Per poter usare SSL in apache2 è necessario attivarlo (visto che non è presente un pacchetto apposito come apache-ssl):

# a2enmod ssl

provvede ad attivare il supporto per SSL.

Creazione VirtualHost

Dobbiamo, ora, creare un VirtualHost che sia in ascolto sulla porta 443.

Prima di procedere, però, dobbiamo modificare il comportamento di Apache relativamente ai NameVirtualHost.

Modifichiamo il file /etc/apache2/apache.conf e aggiungiamo, prima di

Include /etc/apache2/sites-enabled/[^.#]*

le seguenti righe:

NameVirtualHost *:80
NameVirtualHost *:443

e assicuriamoci che l'opzione NameVirtualHost * sia commentata o rimossa dal file /etc/apache2/sites-available/default.

Modifichiamo tutti i VirtualHost aggiungendo l'indicazione delle porte (ad esempio: <VirtualHost *> diventa <VirtualHost *:80>).

Ora creiamo un nuovo file, in /etc/apache2/sites-available' che chiameremo dominio.it-ssl, ed utilizziamo il seguente schema:

<VirtualHost *:443>
        SSLEngine On
        ServerName dominio.it
        ServerAdmin admin@dominio.it
        DocumentRoot /var/www

        ErrorLog /var/log/apache2/dominio.it-ssl_error.log
        CustomLog /var/log/apache2/dominio.it-ssl_access.log combined
</VirtualHost>

ovviamente adattando le varie opzioni alla situazione reale...

Ora provvediamo ad attivarlo:

# a2ensite dominio.it-ssl

Aggiunta Certificati

I certificati, in questo caso, verranno aggiunti in un file a parte: /etc/apache2/conf.d/ssl.conf con il seguente contenuto:

SSLCertificateFile ssl/dominio.it.crt
SSLCertificateKeyFile ssl/dominio.it.key
SSLCertificateChainFile ssl/root.crt

Per applicare le modifiche è sufficiente riavviare apache:

# /etc/init.d/apache2 restart

Test di funzionamento

Il miglior test è forse il più semplice: aprire un browser e collegarsi all'indirizzo https://esempio.it ;-)

Considerazioni

Limitazioni nell'utilizzo di VirtualHost

La limitazione più pesante che si può notare è l'impossibilità di utilizzare più di un certificato per la stessa accoppiata ip:porta. Il motivo è semplice: i dati inviati sono cifrati, quindi è impossibile, per apache, riuscire ad estrapolare il ServerName... Quindi viene usata l'accoppiata ip:porta per definirlo.

Diffusione di CaCert

CaCert inizia ad essere inserito, come certificato root, anche nei vari browser, evidenziando che l'attenzione verso questo progetto sta salendo... Non resta che adottarlo ed, eventualmente, fare richiesta agli sviluppatori del nostro browser preferito affinche CaCert venga inclusa.

Bookmark

CaCert.Org

Strumenti personali
Namespace
Varianti
Azioni
Navigazione
Risorse
Strumenti