Indice Guide: differenze tra le versioni

Vai alla navigazione Vai alla ricerca
m
Link guida XGL e Beryl su KDE con schede ATI
(→‎Xorg / Xfree: tolto stub guida ATI)
m (Link guida XGL e Beryl su KDE con schede ATI)
Riga 1: Riga 1:
{{stub}}
==Intro==
==Introduzione==
L'utilizzazione di una autorità di certificazione locale (''self signed CA'') trova applicazione in tutti quei casi in cui non sia necessario che una root CA esterna firmi i nostri certificati.


Uno scenario tipico è quello in cui si voglia realizzare un sistema di autenticazione web basato su certificati: per autenticarsi i client devono presentare il certificato richiesto.
Questo sito � un [http://it.wikipedia.org/wiki/Wiki wiki], ci� vuol dire che  puoi editare ogni pagina semplicemente iscrivendoti e cliccando sul tasto modifica presente (in alto) su ongi pagina. Il motore usato per questo wiki si chiama [http://wikipedia.sourceforge.net/ MediaWiki], ed � lo stesso usato da [http://it.wikipedia.org/wiki/Pagina_principale Wikipedia]
Quelle di seguito sono delle semplici linee guida che abbiamo scritto per sfruttare al meglio le potenzialit� di MediaWiki e per rendere pi� facilmente gestibile il wiki in maniera collettiva.


Illustrerò come generare una CA locale, come usarla per creare certificati
==Modificare una pagina==
lato server e lato client, infine mostrer� come revocare un certificato.


==Installazione e Configurazione di Openssl==
Cliccando sul tasto modifica di una pagina (provate su questa pagina di prova: [[XGL+Beryl su KDE con schede ATI]]) vederete un box con del testo. Modificando quel testo modificherete la pagina, cliccando sul tasto salva.
Per installare la libreria SSL e gli applicativi necessari alla creazione di chiavi e certificati dare il comando:
<pre>apt-get install openssl</pre>


Per minimizzare la quantit� di informazioni richieste durante la creazione di chiavi e certificati, pu&ograve;
===Sintassi===
essere utile modificare il file '''/etc/ssl/openssl.cnf''' per esempio alla seguente sezione:
 
<pre>
La sintassi usata � molto semplice e per certi versi � simile al testo semplice non formattato. Puoi trovare uno specchietto con i principali elementi di formattazione qui:
[ req_distinguished_name ]
 
* [[Help:Editing]]
 
===Altre Regole===


countryName            = Country Name (2 letter code)
Alcune regole che rendono pi� facile la gestione del wiki:
countryName_default    = IT
...
stateOrProvinceName            = State or Province Name (full name)
stateOrProvinceName_default    = Italy
...


0.organizationName              = Organization Name (eg, company)
* Quando modificate una pagina scrivete sempre un sommario prima di salvare. Basta inserire una piccola descrizione delle modifiche nella casella "Oggetto" (in basso sotto il riquadro che contiene l'articolo). L'oggetto della modifica apparir� nella history e render� pi� facile seguire come � stata modificata la pagina nel corso del tempo. Per banali correzioni ortografiche o di battitura spuntare la casella ''Questa � una modifica minore''. Nella history della pagina le modifiche minori possono essere nascoste.
0.organizationName_default      = Azienda SpA
...
</pre>


==Generazione di una CA locale==
* Usate sempre il tasto '''Anteprima''' prima di salvare le modifiche in modo da vedere il risultato ed effettuare eventuali correzioni subito. In tal modo si evita anche di allungare inutilmente la history della pagina.
Per mezzo di questa autorit&agrave; di certificazione saranno creati tutti gli altri certificati: quello del server e quelli dei client.


===Creazione della chiave (root CA)===
* Le pagine in genere non dovrebbero mai essere rinominate. Se avete dato un titolo errato, potete rinominare la pagina ma ricordatevi di aggiornare anche tutti i link alla pagina stessa (guardate l'apposito link nella toolbox a sinistra). Quando una pagina viene rinominata la vecchia pagina conterr� un redirect alla nuova pagina. Tuttavia la nuova pagina non conterr� la storia delle modifiche precedenti allo spostamento e questo rende molto pi� difficile controllare le modifiche.
Prima del certificato &egrave; necessario creare una chiave. Il seguente comando genera nella directory '''/etc/openssl/private''' la chiave privata '''ca.key''' di 1024 bit criptata con algoritmo ''triple DES'':
<pre># openssl genrsa -des3 -out private/ca.key 1024
Enter pass phrase for private/ca.key:
Verifying - Enter pass phrase for private/ca.key:
</pre>


La chiave sar&agrave; generata dopo aver immesso la ''pass phrase''.
* Scegliete accuratamente il titolo, in modo che si capisca subito di cosa tratta la guida, ma evitate titoli troppo lunghi.


{{ warningbox | vista l'importanza della chiave privata a livello sicurezza, dare gli opportuni permessi alla directory '''/etc/openssl/private''' e a '''ca.key'''. }}
==Creare una pagina==
Il modo pi� comodo per creare una pagina � quella di creare un link (che sarebbe il titolo racchiuso tra <nowiki>[[ ]]</nowiki>) alla pagina che si vuole creare. Potete usare a questo scopo la vostra pagina personale. Ad esempio se scriviamo:


===Generazione del certificato (root CA)===
<pre>
Prima di procedere assicurarsi che '''/etc/ssl/index.txt''' sia vuoto e che '''/etc/ssl/serial''' contenga il valore 01.
[[Condivisioni di stampanti in reti miste Linux - Windows]]
</pre>


Utilizziamo la chiave creata nella sezione [[#Creazione della chiave (root CA)|Creazione della chiave (root CA)]], per generare un certificato root CA '''ca.crt''' con validit&agrave; di un anno:
comparir� un link ad una pagina inesistente:
<pre># openssl req -config /etc/ssl/openssl.cnf -new -x509 -key private/ca.key -out ca.crt -days 365
Enter pass phrase for private/ca.key:</pre>


Il certificato appena creato sar&agrave; utilizzato esclusivamente per firmare tutti gli altri certificati generati in seguito.
[[Condivisioni di stampanti in reti miste Linux - Windows]]


Affinch&eacute; i browser possano riconoscere come valida la ''root CA'' appena creata, gli utenti finali dovranno installare il certificato '''ca.crt''' nei loro browser. Riferirsi alla sezione [[#Certificato lato client | Certificazione lato client]] per ottenere maggiorni informazioni.
(i link a pagine inesistenti hanno colore rosso), cliccando su questo link non compari� una pagina vuota bens� un pagina in cui potrete inserire il testo dell'articolo.


Aggiungendo l'opzione '''-batch''' al precedente comando potremmo automatizzare l'operazione utilizzando i valori predefiniti impostati nel file '''/etc/ssl/openssl.cnf'''. Utile quando il comando &egrave; utilizzato in uno script.
Per approfondimenti su come creare link:
* [[Help:Editing#Creazione_Link]]


==Certificato lato server==
==Convenzioni==
Questo &egrave; il certificato che il server utilizza per cifrare i dati scambiati con i vari client. Un tipico esempio � un server ''https''.
Ci sono delle semplici convenzioni da rispettare in modo che il contenuto del wiki cresca in maniera omogenea e quindi pi� facile da leggere, per tutti.


====Creazione della chiave (server)====
* Tutte le volte che riportate un comando, un pezzo di un file di configurazione, od in genere dei dati ascii racchiudeteli in un riquadro (racchiudendo tra <nowiki><pre></nowiki> e <nowiki></pre></nowiki>).
Il modo in cui creare la chiave e le osservazioni da fare sono le stesse viste nella sezione [[#Creazione della chiave (root CA)|Creazione della chiave (root CA)]]:
* Se riportate un comando usate come primo carattere $ se il comando deve essere lanciato da utente normale e # se il comando deve essere lanciato da root. Lasciate anche uno spazio dopo questo carattere, in modo che il comando non risulti attaccato al $ o # e quindi poco leggibile.
<pre># openssl genrsa -des3 -out private/server.key 1024
* Dividete in maniera logica la guida in sezioni, sottosezioni (e, se necessario sotto-sottosezioni). In questo modo si sfrutter� meglio la potenza di MediaWiki che creer� automaticamente una tavola dei contenuti iniziale che render� molto pi� facile la navigazione nella vostra guida.
Enter pass phrase for private/server.key:
* Usate, quando necessario, i vari [[Help:Editing|elementi di formattazione]] (descrizioni, riquadro di warning, esempio ecc...): la guida risulter� pi� leggibile.
Verifying - Enter pass phrase for private/server.key:</pre>
* Cercate di rendere leggibile e pulito il codice della pagina, evitando ad esempio di lasciare tante righe vuote consecutive.
* Cercate il pi� possibile di fare link ad altre pagine del wiki, in modo da aumentare le interconnessioni e rendere pi� facile la ricerca delle informazioni.


&Egrave; molto probabile che la chiave generata sia poi utilizzata insieme al relativo certificato nella configurazione di ''apache''; in tal caso ''apache'' attender&agrave; ad ogni avvio che venga inserita la ''pass phrase'' relativa alla chiave utilizzata. Vista la scomodit&agrave; di tale soluzione, si pu&ograve; togliere la ''pass phrase'' dalla chiave:
==Firmare una guida==
<pre># openssl rsa -in private/server.key -out private/server.key.unsecure
L'autore di una guida pu�, se vuole, firmarla, preferibilmente alla fine. Per inserire la firma basta scrivere:
Enter pass phrase for private/server.key:
<pre>
writing RSA key</pre>
: ~~~
</pre>
ottenendo questo (c'� il mio nome perch� l'ho scritto io):


{{ Warningbox | la chiave priva di ''pass phrase'' non &egrave; protetta, quindi assicurarsi che abbia i permessi opportuni.}}
: [[User:TheNoise|TheNoise]]


===Generazione di una Certificate Signing Request (CSR)===
se si vuole inserire anche il nome reale e la data basta usare quattro tilde (~) al posto di tre. Cliccando sul nome si accede alla pagina personale di ogni iscritto nella quale potrete scrivere, se volete, informazioni su di voi.  
Con la chiave creata nella sezione [[#Creazione della chiave (server)|Creazione della chiave (server)]] generiamo una richiesta di firma per il certificato lato server che stiamo creando:
<pre>litio:# openssl req -config /etc/ssl/openssl.cnf -new -key private/server.key -out server.csr
Enter pass phrase for private/server.key:</pre>


Impartito il comando, &egrave; richiesta in input una serie di informazioni tra cui la pi&ugrave; importante &egrave; quella relativa all'opzione ''commonName'' in cui va specificato l'''FQDN'' del server che utilizzer&agrave; il certificato, al fine di evitare problemi di "fiducia" coi client.
Per separare la firma dal corpo della guida � consigliabile inserire una linea con quattro trattini (segno meno):


===Firma della CSR===
Quando disponiamo di una ''CSR'' &egrave; necessario spedirla alla ''CA'' scelta affinch&eacute; la firmi, tuttavia se abbiamo provveduto, come spiegato nella sezione [[#Generazione di una CA locale|Generazione di una CA locale]], alla creazione di una nostra ''CA'' , possiamo firmare noi la ''CSR'' ottenuta alla sezione [[#Generazione di una Certificate Signing Request (CSR)|Generazione di una Certificate Signing Request]]:
<pre>
<pre>
# openssl ca -config /etc/ssl/openssl.cnf -policy policy_anything -keyfile private/ca.key \
----
> -cert ca.crt -in server.csr -out certs/server.crt
</pre>
Enter pass phrase for private/ca.key:</pre>
 
che nell'output diventano una linea continua come questa:
 
----


Il risultato del precedente comando &egrave; il file '''/etc/ssl/certs/server.crt''', l'aggiornamento di '''/etc/ssl/index.txt''' e di '''/etc/ssl/serial'''. A questo punto il file '''server.csr''' non &egrave; pi&ugrave; necessario.
==Evoluzione delle guide==
Il risultato dell'operazione &egrave; il certificato per mezzo del quale il server https cifrer&agrave; i dati scambiati con i client.
Le guide su '''Guide @ Debianizzati.org''' seguono un percorso ''(idealmente)'' simile a quello seguito dai pacchetti debian nelle tre distribuzioni. Si distinguono infatti tre fasi per una guida:


==Configurazione Web Server==
* '''Stub''': una guida � in questo stato se � ancora incompleta. Queste guide sono caratterizzate dal seguente box iniziale:
Prendo in considerazione solo la configurazione relativa ad ''apache'' , in particolare ad ''apache-ssl''. Utilizzando ''apache'' con ''mod-ssl'' si dovrebbero ottenere risultati analoghi.


===Direttive apache-ssl===
<CENTER>
Importanti sono le seguenti direttive:
{| width=50% bgcolor=white align=center style=border-style:dotted;border-width:1mm;border-color:lightblue
; SSLCACertificatePath: indica la directory dove sono contenuti certificati e CRL.
|''Attenzione questo articolo � ancora incompleto. <br>Sentiti libero di contribuire cliccando sul tasto edit.''
Esempio: <tt>SSLCACertificatePath /etc/ssl</tt>
|}
; SSLCertificateFile: indica il certificato lato server per mezzo del quale i dati vengono cifrati. Secondo quanto riportato in questa guida esso corrisponde al file /etc/ssl/certs/server.crt.
</CENTER>
Esempio: <tt>SSLCertificateFile server.crt</tt>
; SSLCertificateKeyFile: indica la chiave privata del certificato lato server. Secondo quanto qui riportato essa corrisponde al file '''/etc/ssl/private/server.key'''. Per maggiori informazioni vedere l'osservazione sulle chiavi private fatta nella sezione [[#Certificato lato server|Certificato lato server]].
Esempio: <tt>SSLCertificateKeyFile server.key</tt>
; SSLVerifyClient: definisce la certificazione di cui i client necessitano per autenticarsi.
Esempio: <tt>SSLVerifyClient 2  #The client must present a valid certificate.</tt>
; SSLVerifyDepth: nel nostro caso va impostata a 1 in quanto ci fidiamo solo di certificati firmati dalla nostra CA locale.
Esempio: <tt>SSLVerifyDepth 1</tt>
;SSLUseCRL: i certificati client sono controllati basandosi sull'appropriata ''CRL''. La ''CRL'' deve essere in formato ''PEM''. &Egrave; necessario un link simbolico alla ''CRL'' posto all'interno del percorso indicato dalla direttiva '''SSLCACerificatePath'''. Non prende argomenti. Il percorso della ''CRL'' e' specificato da '''SSLCACertificatePath.''' I link simbolici alle ''CRL'' hanno la forma <tt><hash>.r<number>, dove <hash></tt> &egrave; l'hash del file contenente la ''CRL''. La sezione [[#Apache e CRL | Apache e CRL]] spiega come creare link simbolici di tale tipo.
Esempio: <tt>SSLUseCRL</tt>
; SSLOnRevocationSetEnv: se il client presenta un certificato revocato, la sessione SSL &egrave; stabilita e la variabile indicata &egrave; impostata. L'idea &egrave; di gestire con uno script questo tipo d'errore. Per la descrizione delle altre direttive del tipo ''SSLOn*SetEnv'' riferisi alla documentazione di ''apache''.
Esempio: <tt>SSLOnRevocationSetEnv SSL_REVOKED</tt>


===Apache e CRL===
inseribile semplicemente aggiungendo all'inizio della guida il seguente testo:
Questa sezione tratta della configurazione di ''apache-ssl'' per l'uso di ''CRL''. Riferirsi a [[#Revoca di un certificato | Revoca di un certificato]] e in particolare a [[#Creazione e aggiornamento di una CRL | Creazione e aggiornamento di una CRL]].


Affinch&eacute; ''apache-ssl'' sia informato sulla validit&agrave; dei certificati, &egrave; necessario l'utilizzo delle direttive '''SSLCACertificatePath''' e '''SSLUseCRL'''. La prima indica il percorso in cui cercare la ''CRL'', la seconda istruisce il demone a fare uso della ''CRL''.
<pre>{{stub}}</pre>


La ''CRL'' deve essere puntata da un link simbolico della forma <tt><hash>.r<number></tt> presente all'interno del percorso indicato dalla direttiva '''SSLCACertificatePath''' (p.e. '''/etc/ssl'''):
* '''Guida completa''': la guida � ragionevolmente completa e pu� essere usata per conoscere nuovi argomenti. Le guide di questo tipo non hanno nessun segno particolare. Le guide complete sono state terminate dall'autore iniziale e cercano una sorta di testing da parte della cominit�.  
<pre>
# cd /etc/ssl
# hash=`openssl crl -hash -in crl/crl.pem -noout`
# ln -sf crl/crl.pem $hash.r0
# ls -l $hash.r0


lrwxr-xr-x  1  root  root  11 2004-09-24 10:41 bb6e3a6b.r0 -> crl/crl.pem
* '''Guida Debianized''': � il terzo � ultimo livello raggiungibile da una guida sul wiki. Una guida di questo tipo ha raggiunto la sua piena maturit� essendo stata verificata e corretta anche da pi� di una persona nella community. Le guide Debianized si distinguono con un apposito [[Template:Debianized|Template]] posto al loro inizio dallo [[Persone|staff di debianizzati]]. Nell'indice le guide '''Debianized''' sono facilmente individuabili da uno swirl: http://guide.debianizzati.org/images/swirl.png. Tutte le guide sul wiki possono diventare debianized una volta ricevuto un sufficiente feedback dalla comunit�.
</pre>


===CA, certificati e CRL per virtual host===
Se leggi una guida e verifichi la sua correttezza, perfavore, inserisci alla fine della guida, dopo il nome dell'autore una nota come questa:
Tutte le direttive elencate nella sezione [[#Direttive apache-ssl|Direttive apache-ssl]] possono essere utilizzate nei contesti ''server config'' e ''virtual host''.


La prima conseguenza &egrave; che si possono specificare ''CA'', ''CRL'' e certificati distinti per ogni singolo host virtuale.
{{Box|Esempio firme in calce ad un articolo|:Autore: [[Utente:TheNoise|The_Noise]]
La seconda conseguenza &egrave; che si pu&ograve; creare confusione tra le direttive nei contesti ''server config'' e ''virtual host''. Si consideri una configurazione del tipo seguente:
:Verificato: [[Utente: keltik|Keltik]]
<pre>
}}
[...]
SSLOnRevocationSetEnv SSL_REVOKED
[...]
<VirtualHost x.y.z.w:443>
SSLCACertificateFile /etc/ssl/virtual1/ca.crt
SSLCertificateFile /etc/ssl/virtual1/certs/server.crt
SSLCertificateKeyFile /etc/ssl/virtual1/private/server.key
SSLCACertificatePath /etc/ssl/virtual1
SSLUseCRL
[...]
</VirtualHost>
</pre>
Quando � revocato un certificato client relativo al virtual host <tt>x.y.z.w</tt>, il risultato potrebbe non corrispondere a quanto voluto. Se si visitasse l'URL <tt>https://x.y.z.w</tt> con il browser in cui � installato il certificato revocato , si noterebbe che l'accesso non verrebbe impedito. Questo accade perch&eacute; '''SSLOnRevocationSetEnv SSL_REVOKED''' non nega l'accesso ai certificati revocati, ma imposta la variabile '''SSL_REVOKED''' a "YES" e la direttiva posta nel contesto ''server config'' ha valore anche per gli host virtuali.
La soluzione � quella di commentare la direttiva nel contesto ''server config'' e attivarla, se serve, per ogni singolo host virtuale.


==Certificato lato client==
In tal modo si pu� tenere tracci� della maturit� della guida. Analogamente per correzioni od estensioni di un certo rilievo (non certo per una correzione ortografica) � consigliabile inserire una nota come nell'esempio:
I passi da seguire per la creazione dei certificati lato client sono essenzialmente analoghi a quelli illustrati nella sezione [[#Certificato lato server | Certificato lato server]].


===Creazione chiave (client)===
{{Box|Esempio firme in calce ad un articolo|:Autore: [[Utente:TheNoise|The_Noise]]
Prima di tutto generiamo la chiave. La ''pass phrase'' utilizzata servir&agrave; all'utente finale per autenticarsi nelle zone protette del server web.
:Verificato da [[Utente: keltik|Keltik]]
<pre>
:Esteso da [[Utente:hanska|Hanska]]
# openssl genrsa -des3 -out private/client1.key 1024
:Verificato da [[Utente:MaXeR|MaXeR]]
Enter pass phrase for private/client1.key:
}}
</pre>


===Generazione di una CSR per il client===
Con questi piccoli accorgimenti che richiedono un piccolo aiuto da parte della community, speriamo di poter '''tracciare''' e '''mantere''' lo "stato di salute" delle guide, sperando che un numero sempre maggiore di esse diventi [[Template:Debianized|Debianized]] ;-).
<pre>
# openssl req -config /etc/ssl/openssl.cnf -new -key private/client1.key -out client1.csr
Enter pass phrase for private/client1.key:
</pre>


===Firma della CSR per il client===
==Ripristinare versioni precedenti di una pagina==
La ''CSR'' va firmata dalla nostra ''CA'' locale:
<pre>
# openssl ca -config /etc/ssl/openssl.cnf -policy policy_anything -keyfile private/ca.key \
> -cert ca.crt -in client1.csr -out certs/client1.crt
Enter pass phrase for private/ca.key:
</pre>


a questo punto il file '''client1.csr''' non e' pi� necessario. Infine '''client1.crt''' e '''client1.key''' vanno messi in un unico file:
Il wiki tiene traccia completa della storia di tutte le modifiche effettuate su ogni pagina. &Egrave; possibile accedere allo storico delle modifiche cliccando sul link '''revisioni''' in alto. Dalle revisioni di una pagina � possibile ripristinare una qualsiasi versione precedente se il suo contenuto � stato danneggiato o cancellato. Ecco perch� � importante loggarsi sempre e scrivere un chiaro sommario per ogni modifica.
<pre>
# cat private/client1.key > private/client1.pem
# cat certs/client1.crt >> private/client1.pem
</pre>


quindi generare il file ''PKCS'' da importare nel browser dell'utente finale:
==Monitorare una pagina==
<pre>
# openssl pkcs12 -export -in private/client1.pem -out pkcs/client1.p12 -name "Certificato Client 1"
Enter pass phrase for private/client1.pem:
Enter Export Password:
Verifying - Enter Export Password:
</pre>


Ovviamente la pass phrase per '''/etc/ssl/private/client1.pem''' &egrave; la stessa di '''/etc/ssl/private/client1.key'''. La ''Export Password'' viene richiesta al momento dell'importazione del file ''PKCS'' nel client browser.
Se hai scritto una guida probabilmente vorrai controllare anche le modifiche successive che vengono fatte da altri. Questo � molto facile, basta premere su link '''watch''' in alto in ogni pagina e quella pagina verr� aggiunta alla tua lista di ''Osservati Speciali'' (anche questo link � in alto).


===Importazione dei certificati===
==Discussioni==
I certificati da importare nel browser secondo quanto fin qui descritto sono:
# '''ca.crt''' - certificato della ''CA'' locale, da importare nella sezione "Autorit&agrave;". Serve per dare "fiducia" al sito web della LAN.
# '''client1.p12''' - certificato dell'utente finale da importare nel browser.


==Revoca di un certificato==
Ad ogni pagina del wiki � associata una pagina di discussione nella quale si pu� parlare di come estendere o modificare un particolare articolo. Per accedere alla pagina delle discussioni basta cliccare su link '''discussion''', in alto. Nella pagina di discussione devono essere discussi e risolti eventuali disaccordi su come modificare una pagina.
Un certificato pu� essere revocato per vari motivi, tra cui i seguenti:
* '''unspecified''' motivazione non specificata.
* '''keyCompromise''' la chiave relativa al certificato � stata compromessa (p.e. � giunta nelle mani sbagliate).
* '''superseded''' il certificato � stato rimpiazzato.


Per un elenco esaustivo consultare la pagina del manuale ''openssl CA(1)''.
La pagina di discussione � anche un utile strumento per chiedere chiarimenti o estensioni su un articolo, ed in genere per parlare di tutto ci� che riguarda una particolare pagina.


il seguente comando revoca il certificato certs/client1.crt:
==Pagine protette==
<pre>
# openssl ca -config openssl.cnf -revoke certs/client1.crt -crl_reason superseded
Enter pass phrase for private/ca.key:
</pre>
Il rudimentale database '''/etc/ssl/index.txt''' � aggiornato marcando il certificato come revocato. Risultano revocati tutti quei certificati che in '''/etc/ssl/index.txt''' presentano una lettera '''R''' come primo campo.


===Creazione e aggiornamento di una CRL===
Alcune pagine del wiki sono protette, cio� un normale utente non pu� modificarle anche se registrato. Le pagine protette sono pagine di presentazione del progetto, pagine di licenza, o pagine tecniche del wiki (come ad es. i [[Usare i Template|template]]). In nessun caso un articolo di documentazione riguardate Debian GNU/Linux verr� resa protetta. Se trovate una pagina di documentazione protetta, per favore, segnalatelo agli amministratori.
Per conoscere quali certificati sono stati revocati, &egrave; necessario generare una ''CRL'' (''Certificate Revocation List''):
<pre># openssl ca -config openssl.cnf -gencrl -out crl/crl.pem</pre>
Il comando precedente crea una ''CRL'' in base alle informazioni contenute in '''/etc/ssl/index.txt''' e deve essere impartito ogni volta che uno o pi&ugrave; certificati sono revocati.


Dopo aver aggiornato una ''CRL'', &egrave; sempre necessario riavviare ''apache-ssl'' per rendere effettivi i cambiamenti.
==Licenze==


Per la configurazione di ''apache-ssl'' relativa all'uso delle ''CRL'' vedere la sezione [[#Configurazione Web Server|Configurazione Web Server]].
Ogni articolo pubblicato � da considerarsi rilasciato secondo una [[Some Right Reserved|licenza Creative Commons]]. Ti preghiamo di non inserire nel wiki contenuti coperti da diritti d'autore. Qualora si scoprano violazioni di copyright gli articoli interessati verranno rimossi.


----
Alcuni articoli saranno firmati da [[Utente:Guide @ Debianizzati.org]]. Questi l'articoli possono nascere da una discussione sul [http://www.debianizzati.org/modules/newbb/ forum], in [[chat]] o in genere dallo sforzo collaborativo di pi� persone della community.
: [[Utente:Nicsar|Nicsar]] 05:00, 1 Nov 2006 (CST)
19

contributi

Menu di navigazione