57
contributi
Autorità di certificazione locale: differenze tra le versioni
Autorità di certificazione locale (visualizza wikitesto)
Versione delle 10:49, 1 nov 2006
, 1 nov 2006→Introduzione
m (→Introduzione) |
|||
| Riga 3: | Riga 3: | ||
L'utilizzazione di una autorità di certificazione locale (''self signed CA'') trova applicazione in tutti quei casi in cui non sia necessario che una root CA esterna firmi i nostri certificati. | L'utilizzazione di una autorità di certificazione locale (''self signed CA'') trova applicazione in tutti quei casi in cui non sia necessario che una root CA esterna firmi i nostri certificati. | ||
Uno scenario tipico | Uno scenario tipico è quello in cui sia necessario un sistema di autenticazione web basato su certificati: affinché ogni client possa autenticarsi è necessario che esso presenti il certificato richiesto. | ||
Un altro scenario comune è quello di una LAN con server https: l'utilizzo di una CA locale evita tutti quei noiosi avvisi da parte dei client che lamentano l'incertezza dell'origine del certificato del server https. | |||
==Installazione e Configurazione di Openssl== | ==Installazione e Configurazione di Openssl== | ||
| Riga 11: | Riga 11: | ||
Per minimizzare la quantit� di informazioni richieste durante la creazione di chiavi e certificati, può | Per minimizzare la quantit� di informazioni richieste durante la creazione di chiavi e certificati, può | ||
essere utile modificare il file '''/etc/ | essere utile modificare il file '''/etc/ssl/openssl.cnf''' per esempio alla seguente sezione: | ||
<pre> | <pre> | ||
[ req_distinguished_name ] | [ req_distinguished_name ] | ||
| Riga 26: | Riga 26: | ||
... | ... | ||
</pre> | </pre> | ||
==Generazione di una CA locale== | ==Generazione di una CA locale== | ||
Per mezzo di questa autorità di certificazione saranno creati tutti gli altri certificati: quello del server e quelli dei client. | Per mezzo di questa autorità di certificazione saranno creati tutti gli altri certificati: quello del server e quelli dei client. | ||
| Riga 43: | Riga 44: | ||
Prima di procedere assicurarsi che '''/etc/ssl/index.txt''' sia vuoto e che '''/etc/ssl/serial''' contenga il valore 01. | Prima di procedere assicurarsi che '''/etc/ssl/index.txt''' sia vuoto e che '''/etc/ssl/serial''' contenga il valore 01. | ||
Utilizziamo la chiave creata nella sezione [[#Creazione della chiave (root CA)|Creazione della chiave]], per generare un certificato root CA '''ca.crt''' con validità di un anno: | Utilizziamo la chiave creata nella sezione [[#Creazione della chiave (root CA)|Creazione della chiave (root CA)]], per generare un certificato root CA '''ca.crt''' con validità di un anno: | ||
<pre># openssl req -config /etc/ssl/openssl.cnf -new -x509 -key private/ca.key -out ca.crt -days 365 | <pre># openssl req -config /etc/ssl/openssl.cnf -new -x509 -key private/ca.key -out ca.crt -days 365 | ||
Enter pass phrase for private/ca.key:</pre> | Enter pass phrase for private/ca.key:</pre> | ||
| Riga 49: | Riga 50: | ||
Il certificato appena creato sarà utilizzato esclusivamente per firmare tutti gli altri certificati generati in seguito. | Il certificato appena creato sarà utilizzato esclusivamente per firmare tutti gli altri certificati generati in seguito. | ||
Affinché i browser possano riconoscere come valida la ''root CA'' appena creata, gli utenti finali dovranno installare il certificato '''ca.crt''' nei loro browser. Riferirsi alla sezione | Affinché i browser possano riconoscere come valida la ''root CA'' appena creata, gli utenti finali dovranno installare il certificato '''ca.crt''' nei loro browser. Riferirsi alla sezione [[#Configurazione Client Browser | Configurazione Client Browser]] per ottenere maggiorni informazioni. | ||
Aggiungendo l'opzione '''-batch''' al precedente comando potremmo automatizzare l'operazione utilizzando i valori predefiniti impostati nel file '''/etc/ssl/openssl.cnf'''. Utile quando | Aggiungendo l'opzione '''-batch''' al precedente comando potremmo automatizzare l'operazione utilizzando i valori predefiniti impostati nel file '''/etc/ssl/openssl.cnf'''. Utile quando il comando è utilizzato in uno script. | ||
==Certificato lato server== | ==Certificato lato server== | ||