1 487
contributi
Apache, SSL e CaCert.Org: differenze tra le versioni
nessun oggetto della modifica
(Strutturazione) |
Nessun oggetto della modifica |
||
| Riga 1: | Riga 1: | ||
=Introduzione= | =Introduzione= | ||
Ci avr provato ad installare apache (o apache2) con supporto ssl si sar trovato davanti al problema del certificato: come generarlo? che valore ha? dove posso ottenere un certificato valido? esistono soluzioni gratuite? | |||
Queste sono le domande normali che si pone un utente, soprattutto guardando i prezzi esorbitanti proposti per l'acquisto di certificati SSL. | |||
==Cos' un certificato== | |||
==Come funziona?== | |||
=Generazione del certificato= | =Generazione del certificato= | ||
La generazione di un certificato un po' macchinosa, ma tutto questo a favore della sicurezza della procedura. | |||
Per prima cosa necessario [https://www.cacert.org/index.php?id=1&lang=it_IT registrarsi] su [http://www.cacert.org/index.php?id=0&lang=it_IT Cacert.Org]. Terminata la registrazione (confermando via email la validit del proprio indirizzo email) siamo pronti per iniziare. | |||
==Registrazione di un Dominio== | |||
Per poter generare un certificato necessario disporre di un dominio. | |||
* Dopo essersi ''loggati'' nel portale si verr indirizzati nella propria pagina; | |||
* Selezioniamo, a destra, il men '''Domini''' e la voce '''Aggiungi'''; | |||
* Inseriamo il dominio (senza ''www.'' o altro davanti) e proseguiamo; | |||
* Per poter generare un certificato necessario verificare che il richiedente sia effettivamente legato al dominio. Per questo motivo sono presenti degli indirizzi email predefiniti a cui inviare l'email di verifica: ''root@dominio.it'', ''hostmaster@dominio.it'', ''postmaster@dominio.it'', ''admin@lerasole.it'', ''webmaster@lerasole.it''. | |||
* All'arrivo dell'email, confermiamo l'aggiunta del dominio. | |||
==Generazione csr== | |||
Per poter ottenere un certificato necessario avere una Richiesta di Sottoscrizione del Certificato (Certificate Signing Request, CSR). Per crearla usiamo il seguente comando: | |||
<pre> | |||
# openssl req -nodes -new -keyout dominio.it.key -out dominio.it.csr | |||
</pre> | |||
Dove, ovviamente, ''dominio.it'' rappresenta il nome del nostro dominio. | |||
Verranno generati due file: ''dominio.it.key'', che rappresenta la chiave privata; ''dominio.it.csr'' che rappresenta la Richiesta di Sottoscrizione del Certificato. | |||
==Richiesta del Certificato== | |||
Visualizziamo il contenuto del file '''dominio.it.csr''' e copiamolo nel form contenuto in ''Certificati per i Server (Server Certificates)'', ''Nuovo''. | |||
Inviamo il contenuto del form e confermiamo. Al termine dell'elaborazione verr mostrato il codice del certificato (una copia ci verr inviata anche via email), salviamolo nel file '''dominio.it.crt'''. | |||
==Spostiamo i file sul server== | |||
Spostiamo i tre file sul server, nella directory '''/etc/apache/ssl/''' nel caso di apache, '''/etc/apache2/ssl''' nel caso di apache2. | |||
==Verifica del Certificato== | |||
Prima di configurare il server d'obbligo un controllo sulla correttezza del certificato. Per fare questo dobbiamo: | |||
* Scaricare il ''root certificate'' dall'indirizzo http://www.cacert.org/certs/root.crt | |||
* Copiarlo nella directory '''/etc/apache/ssl/''' (o '''/etc/apache2/ssl''' nel caso di apache2) | |||
* Eseguire il comando: <pre>openssl verify -CAfile root.crt -purpose sslserver dominio.it.crt</pre> | |||
Se tutto stato eseguito correttamente, il controllo avr esito positivo. | |||
=Apache= | =Apache= | ||