Autorità di certificazione locale: differenze tra le versioni
(da adottare) |
|||
(12 versioni intermedie di 6 utenti non mostrate) | |||
Riga 1: | Riga 1: | ||
{{ | {{Guida da adottare}}{{Versioni compatibili}} | ||
=Note sulla compatibilità= | |||
La guida è compatibile '''soltanto con Apache 1''', la versione apache 2 non è idonea a questa guida. | |||
==Introduzione== | ==Introduzione== | ||
L' | L'utilizzo di un'autorità di certificazione locale (''self signed CA'') trova applicazione in tutti quei casi in cui non sia necessario che una root CA esterna firmi i nostri certificati. | ||
Uno scenario tipico | Uno scenario tipico è quello in cui si voglia realizzare un sistema di autenticazione web basato su certificati: per autenticarsi i client devono presentare il certificato richiesto. | ||
Illustrerò come generare una CA locale, come usarla per creare certificati lato server e lato client, infine mostrerò come revocare un certificato. | |||
lato server e lato client, infine | |||
==Installazione e Configurazione di Openssl== | ==Installazione e Configurazione di Openssl== | ||
Per installare la libreria SSL e gli applicativi necessari alla creazione di chiavi e certificati dare il comando: | Per installare la libreria [http://it.wikipedia.org/wiki/Secure_Sockets_Layer:Link SSL] e gli applicativi necessari alla creazione di chiavi e certificati dare il comando: | ||
<pre>apt-get install openssl</pre> | <pre># apt-get install openssl</pre> | ||
Per minimizzare la | Per minimizzare la quantità di informazioni richieste durante la creazione di chiavi e certificati, può | ||
essere utile modificare il file | essere utile modificare il file <code>/etc/ssl/openssl.cnf</code> per esempio alla seguente sezione: | ||
<pre> | <pre> | ||
[ req_distinguished_name ] | [ req_distinguished_name ] | ||
Riga 30: | Riga 31: | ||
==Generazione di una CA locale== | ==Generazione di una CA locale== | ||
Per mezzo di questa | Per mezzo di questa autorità di certificazione saranno creati tutti gli altri certificati: quello del server e quelli dei client. | ||
===Creazione della chiave (root CA)=== | ===Creazione della chiave (root CA)=== | ||
Prima del certificato | Prima del certificato è necessario creare una chiave. Il seguente comando genera nella directory <code>/etc/openssl/private</code> la chiave privata <code>ca.key</code> di 1024 bit criptata con algoritmo ''triple DES'': | ||
<pre># openssl genrsa -des3 -out private/ca.key 1024 | <pre># openssl genrsa -des3 -out private/ca.key 1024 | ||
Enter pass phrase for private/ca.key: | Enter pass phrase for private/ca.key: | ||
Riga 39: | Riga 40: | ||
</pre> | </pre> | ||
La chiave | La chiave sarà generata dopo aver immesso la ''pass phrase''. | ||
{{ warningbox | vista l'importanza della chiave privata a livello sicurezza, dare gli opportuni permessi alla directory | {{ warningbox | vista l'importanza della chiave privata a livello sicurezza, dare gli opportuni permessi alla directory <code>/etc/openssl/private</code> e a <code>ca.key</code>. }} | ||
===Generazione del certificato (root CA)=== | ===Generazione del certificato (root CA)=== | ||
Prima di procedere assicurarsi che | Prima di procedere assicurarsi che <code>/etc/ssl/index.txt</code> sia vuoto e che <code>/etc/ssl/serial</code> contenga il valore 01. | ||
Utilizziamo la chiave creata nella sezione [[#Creazione della chiave (root CA)|Creazione della chiave (root CA)]], per generare un certificato root CA | Utilizziamo la chiave creata nella sezione [[#Creazione della chiave (root CA)|Creazione della chiave (root CA)]], per generare un certificato root CA <code>ca.crt</code> con validità di un anno: | ||
<pre># openssl req -config /etc/ssl/openssl.cnf -new -x509 -key private/ca.key -out ca.crt -days 365 | <pre># openssl req -config /etc/ssl/openssl.cnf -new -x509 -key private/ca.key -out ca.crt -days 365 | ||
Enter pass phrase for private/ca.key:</pre> | Enter pass phrase for private/ca.key:</pre> | ||
Il certificato appena creato | Il certificato appena creato sarà utilizzato esclusivamente per firmare tutti gli altri certificati generati in seguito. | ||
Affinché i browser possano riconoscere come valida la ''root CA'' appena creata, gli utenti finali dovranno installare il certificato <code>ca.crt</code> nei loro browser. Riferirsi alla sezione [[#Certificato lato client | Certificazione lato client]] per ottenere maggiori informazioni. | |||
Aggiungendo l'opzione | Aggiungendo l'opzione <code>-batch</code> al precedente comando potremmo automatizzare l'operazione utilizzando i valori predefiniti impostati nel file <code>/etc/ssl/openssl.cnf</code>. Utile quando il comando è utilizzato in uno script. | ||
==Certificato lato server== | ==Certificato lato server== | ||
Questo | Questo è il certificato che il server utilizza per cifrare i dati scambiati con i vari client. Un tipico esempio è un server ''https''. | ||
====Creazione della chiave (server)==== | ====Creazione della chiave (server)==== | ||
Riga 65: | Riga 66: | ||
Verifying - Enter pass phrase for private/server.key:</pre> | Verifying - Enter pass phrase for private/server.key:</pre> | ||
È molto probabile che la chiave generata sia poi utilizzata insieme al relativo certificato nella configurazione di ''apache''; in tal caso ''apache'' attenderà ad ogni avvio che venga inserita la ''pass phrase'' relativa alla chiave utilizzata. Vista la scomodità di tale soluzione, si può togliere la ''pass phrase'' dalla chiave: | |||
<pre># openssl rsa -in private/server.key -out private/server.key.unsecure | <pre># openssl rsa -in private/server.key -out private/server.key.unsecure | ||
Enter pass phrase for private/server.key: | Enter pass phrase for private/server.key: | ||
writing RSA key</pre> | writing RSA key</pre> | ||
{{ Warningbox | la chiave priva di ''pass phrase'' non | {{ Warningbox | la chiave priva di ''pass phrase'' non è protetta, quindi assicurarsi che abbia i permessi opportuni.}} | ||
===Generazione di una Certificate Signing Request (CSR)=== | ===Generazione di una Certificate Signing Request (CSR)=== | ||
Con la chiave creata nella sezione [[#Creazione della chiave (server)|Creazione della chiave (server)]] generiamo una richiesta di firma per il certificato lato server che stiamo creando: | Con la chiave creata nella sezione [[#Creazione della chiave (server)|Creazione della chiave (server)]] generiamo una richiesta di firma per il certificato lato server che stiamo creando: | ||
<pre> | <pre># openssl req -config /etc/ssl/openssl.cnf -new -key private/server.key -out server.csr | ||
Enter pass phrase for private/server.key:</pre> | Enter pass phrase for private/server.key:</pre> | ||
Impartito il comando, | Impartito il comando, è richiesta in input una serie di informazioni tra cui la più importante è quella relativa all'opzione <code>commonName</code> in cui va specificato l'<code>FQDN</code> del server che utilizzerà il certificato, al fine di evitare problemi di "fiducia" coi client. | ||
===Firma della CSR=== | ===Firma della CSR=== | ||
Quando disponiamo di una ''CSR'' | Quando disponiamo di una ''CSR'' è necessario spedirla alla ''CA'' scelta affinché la firmi, tuttavia se abbiamo provveduto, come spiegato nella sezione [[#Generazione di una CA locale|Generazione di una CA locale]], alla creazione di una nostra ''CA'' , possiamo firmare noi la ''CSR'' ottenuta alla sezione [[#Generazione di una Certificate Signing Request (CSR)|Generazione di una Certificate Signing Request]]: | ||
<pre> | <pre> | ||
# openssl ca -config /etc/ssl/openssl.cnf -policy policy_anything -keyfile private/ca.key \ | # openssl ca -config /etc/ssl/openssl.cnf -policy policy_anything -keyfile private/ca.key \ | ||
Riga 86: | Riga 87: | ||
Enter pass phrase for private/ca.key:</pre> | Enter pass phrase for private/ca.key:</pre> | ||
Il risultato del precedente comando | Il risultato del precedente comando è il file <code>/etc/ssl/certs/server.crt</code>, l'aggiornamento di <code>/etc/ssl/index.txt</code> e di <code>/etc/ssl/serial</code>. A questo punto il file <code>server.csr</code> non è più necessario. | ||
Il risultato dell'operazione | Il risultato dell'operazione è il certificato per mezzo del quale il server https cifrerà i dati scambiati con i client. | ||
==Configurazione Web Server== | ==Configurazione Web Server== | ||
Riga 94: | Riga 95: | ||
===Direttive apache-ssl=== | ===Direttive apache-ssl=== | ||
Importanti sono le seguenti direttive: | Importanti sono le seguenti direttive: | ||
; SSLCACertificatePath: indica la directory dove sono contenuti certificati e CRL | ; SSLCACertificatePath: indica la directory dove sono contenuti certificati e ''CRL'' (''Certificate Revocation List'') | ||
Esempio: < | Esempio: <code>SSLCACertificatePath /etc/ssl</code> | ||
; SSLCertificateFile: indica il certificato lato server per mezzo del quale i dati vengono cifrati. Secondo quanto riportato in questa guida esso corrisponde al file /etc/ssl/certs/server.crt. | ; SSLCertificateFile: indica il certificato lato server per mezzo del quale i dati vengono cifrati. Secondo quanto riportato in questa guida esso corrisponde al file <code>/etc/ssl/certs/server.crt</code>. | ||
Esempio: < | Esempio: <code>SSLCertificateFile server.crt</code> | ||
; SSLCertificateKeyFile: indica la chiave privata del certificato lato server. Secondo quanto qui riportato essa corrisponde al file | ; SSLCertificateKeyFile: indica la chiave privata del certificato lato server. Secondo quanto qui riportato essa corrisponde al file <code>/etc/ssl/private/server.key</code>. Per maggiori informazioni vedere l'osservazione sulle chiavi private fatta nella sezione [[#Certificato lato server|Certificato lato server]]. | ||
Esempio: < | Esempio: <code>SSLCertificateKeyFile server.key</code> | ||
; SSLVerifyClient: definisce la certificazione di cui i client necessitano per autenticarsi. | ; SSLVerifyClient: definisce la certificazione di cui i client necessitano per autenticarsi. | ||
Esempio: < | Esempio: <code>SSLVerifyClient 2 #The client must present a valid certificate.</code> | ||
; SSLVerifyDepth: nel nostro caso va impostata a 1 in quanto ci fidiamo solo di certificati firmati dalla nostra CA locale. | ; SSLVerifyDepth: nel nostro caso va impostata a 1 in quanto ci fidiamo solo di certificati firmati dalla nostra CA locale. | ||
Esempio: < | Esempio: <code>SSLVerifyDepth 1</code> | ||
;SSLUseCRL: i certificati client sono controllati basandosi sull'appropriata ''CRL''. La ''CRL'' deve essere in formato ''PEM''. | ;SSLUseCRL: i certificati client sono controllati basandosi sull'appropriata ''CRL''. La ''CRL'' deve essere in formato ''PEM''. è necessario un link simbolico alla ''CRL'' posto all'interno del percorso indicato dalla direttiva '''SSLCACerificatePath'''. Non prende argomenti. Il percorso della ''CRL'' è specificato da '''SSLCACertificatePath.''' I link simbolici alle ''CRL'' hanno la forma <code><hash>.r<number>, dove <hash></code> è l'hash del file contenente la ''CRL''. La sezione [[#Apache e CRL | Apache e CRL]] spiega come creare link simbolici di tale tipo. | ||
Esempio: < | Esempio: <code>SSLUseCRL</code> | ||
; SSLOnRevocationSetEnv: se il client presenta un certificato revocato, la sessione SSL | ; SSLOnRevocationSetEnv: se il client presenta un certificato revocato, la sessione SSL è stabilita e la variabile indicata è impostata. L'idea è di gestire con uno script questo tipo d'errore. Per la descrizione delle altre direttive del tipo ''SSLOn*SetEnv'' riferirsi alla documentazione di ''apache''. | ||
Esempio: < | Esempio: <code>SSLOnRevocationSetEnv SSL_REVOKED</code> | ||
===Apache e CRL=== | ===Apache e CRL=== | ||
Questa sezione tratta della configurazione di ''apache-ssl'' per l'uso di ''CRL''. Riferirsi a [[#Revoca di un certificato | Revoca di un certificato]] e in particolare a [[#Creazione e aggiornamento di una CRL | Creazione e aggiornamento di una CRL]]. | Questa sezione tratta della configurazione di ''apache-ssl'' per l'uso di ''CRL''. Riferirsi a [[#Revoca di un certificato | Revoca di un certificato]] e in particolare a [[#Creazione e aggiornamento di una CRL | Creazione e aggiornamento di una CRL]]. | ||
Affinché ''apache-ssl'' sia informato sulla validità dei certificati, è necessario l'utilizzo delle direttive '''SSLCACertificatePath''' e '''SSLUseCRL'''. La prima indica il percorso in cui cercare la ''CRL'', la seconda istruisce il demone a fare uso della ''CRL''. | |||
La ''CRL'' deve essere puntata da un link simbolico della forma < | La ''CRL'' deve essere puntata da un link simbolico della forma <code><hash>.r<number></code> presente all'interno del percorso indicato dalla direttiva '''SSLCACertificatePath''' (p.e. <code>/etc/ssl</code>): | ||
<pre> | <pre> | ||
# cd /etc/ssl | # cd /etc/ssl | ||
Riga 127: | Riga 128: | ||
Tutte le direttive elencate nella sezione [[#Direttive apache-ssl|Direttive apache-ssl]] possono essere utilizzate nei contesti ''server config'' e ''virtual host''. | Tutte le direttive elencate nella sezione [[#Direttive apache-ssl|Direttive apache-ssl]] possono essere utilizzate nei contesti ''server config'' e ''virtual host''. | ||
La prima conseguenza | La prima conseguenza è che si possono specificare ''CA'', ''CRL'' e certificati distinti per ogni singolo host virtuale. | ||
La seconda conseguenza | La seconda conseguenza è che si può creare confusione tra le direttive nei contesti ''server config'' e ''virtual host''. Si consideri una configurazione del tipo seguente: | ||
<pre> | <pre> | ||
[...] | [...] | ||
Riga 142: | Riga 143: | ||
</VirtualHost> | </VirtualHost> | ||
</pre> | </pre> | ||
Quando | Quando è revocato un certificato client relativo al virtual host <code>x.y.z.w</code>, il risultato potrebbe non corrispondere a quanto voluto. Se si visitasse l'URL <code>https://x.y.z.w</code> con il browser in cui è installato il certificato revocato, si noterebbe che l'accesso non verrebbe impedito. Questo accade perché '''SSLOnRevocationSetEnv SSL_REVOKED''' non nega l'accesso ai certificati revocati, ma imposta la variabile '''SSL_REVOKED''' a "YES" e la direttiva posta nel contesto ''server config'' ha valore anche per gli host virtuali. | ||
La soluzione | La soluzione è quella di commentare la direttiva nel contesto ''server config'' e attivarla, se serve, per ogni singolo host virtuale. | ||
== | ==Certificato lato client== | ||
I passi da seguire per la creazione dei certificati lato client sono essenzialmente analoghi a quelli illustrati nella sezione [[#Certificato lato server | Certificato lato server]]. | I passi da seguire per la creazione dei certificati lato client sono essenzialmente analoghi a quelli illustrati nella sezione [[#Certificato lato server | Certificato lato server]]. | ||
===Creazione chiave (client)=== | ===Creazione chiave (client)=== | ||
Prima di tutto generiamo la chiave. La ''pass phrase'' utilizzata | Prima di tutto generiamo la chiave. La ''pass phrase'' utilizzata servirà all'utente finale per autenticarsi nelle zone protette del server web. | ||
<pre> | <pre> | ||
# openssl genrsa -des3 -out private/client1.key 1024 | # openssl genrsa -des3 -out private/client1.key 1024 | ||
Riga 169: | Riga 170: | ||
</pre> | </pre> | ||
a questo punto il file | a questo punto il file <code>client1.csr</code> non è più necessario. Infine <code>client1.crt</code> e <code>client1.key</code> vanno messi in un unico file: | ||
<pre> | <pre> | ||
# cat private/client1.key > private/client1.pem | # cat private/client1.key > private/client1.pem | ||
Riga 183: | Riga 184: | ||
</pre> | </pre> | ||
Ovviamente la pass phrase per | Ovviamente la pass phrase per <code>/etc/ssl/private/client1.pem</code> è la stessa di <code>/etc/ssl/private/client1.key</code>. La ''Export Password'' viene richiesta al momento dell'importazione del file ''PKCS'' nel client browser. | ||
===Importazione dei certificati=== | ===Importazione dei certificati=== | ||
I certificati da importare nel browser secondo quanto fin qui descritto sono: | I certificati da importare nel browser secondo quanto fin qui descritto sono: | ||
# | # <code>ca.crt</code> - certificato della ''CA'' locale, da importare nella sezione "Autorità". Serve per dare "fiducia" al sito web della LAN. | ||
# | # <code>client1.p12</code> - certificato dell'utente finale da importare nel browser. | ||
==Revoca di un certificato== | ==Revoca di un certificato== | ||
Un certificato | Un certificato può essere revocato per vari motivi, tra cui i seguenti: | ||
* '''unspecified''' motivazione non specificata. | * '''unspecified''' motivazione non specificata. | ||
* '''keyCompromise''' la chiave relativa al certificato | * '''keyCompromise''' la chiave relativa al certificato è stata compromessa (p.e. è giunta nelle mani sbagliate). | ||
* '''superseded''' il certificato | * '''superseded''' il certificato è stato rimpiazzato. | ||
Per un elenco esaustivo consultare la pagina del manuale ''openssl CA(1)''. | Per un elenco esaustivo consultare la pagina del manuale ''openssl CA(1)''. | ||
Riga 203: | Riga 204: | ||
Enter pass phrase for private/ca.key: | Enter pass phrase for private/ca.key: | ||
</pre> | </pre> | ||
Il rudimentale database | Il rudimentale database <code>/etc/ssl/index.txt</code> è aggiornato marcando il certificato come revocato. Risultano revocati tutti quei certificati che in <code>/etc/ssl/index.txt</code> presentano una lettera '''R''' come primo campo. | ||
===Creazione e aggiornamento di una CRL=== | ===Creazione e aggiornamento di una CRL=== | ||
Per conoscere quali certificati sono stati revocati, | Per conoscere quali certificati sono stati revocati, è necessario generare una ''CRL'' (''Certificate Revocation List''). Una ''CRL'' è una lista che dichiara quali certificati sono stati revocati e la motivazione della revoca. | ||
<pre># openssl ca -config openssl.cnf -gencrl -out crl/crl.pem</pre> | <pre># openssl ca -config openssl.cnf -gencrl -out crl/crl.pem</pre> | ||
Il comando precedente crea una ''CRL'' in base alle informazioni contenute in | Il comando precedente crea una ''CRL'' in base alle informazioni contenute in <code>/etc/ssl/index.txt</code> e deve essere impartito ogni volta che uno o più certificati sono revocati. | ||
Dopo aver aggiornato una ''CRL'', | Dopo aver aggiornato una ''CRL'', è sempre necessario riavviare ''apache-ssl'' per rendere effettivi i cambiamenti. | ||
Per la configurazione di ''apache-ssl'' relativa all'uso delle ''CRL'' vedere la sezione [[#Configurazione Web Server|Configurazione Web Server]]. | Per la configurazione di ''apache-ssl'' relativa all'uso delle ''CRL'' vedere la sezione [[#Configurazione Web Server|Configurazione Web Server]]. | ||
{{Autori | |||
|Autore = [[Utente:Nicsar|~ Nicsar]] 05:00, 1 Nov 2006 (CST) (Nicola Sarobba) | |||
}} | |||
[[Categoria:Web server]] | |||
[[Categoria:Crittografia]] |
Versione attuale delle 19:50, 12 mag 2015
Guida da adottare! |
Versioni Compatibili Tutte le versioni supportate di Debian |
Note sulla compatibilità
La guida è compatibile soltanto con Apache 1, la versione apache 2 non è idonea a questa guida.
Introduzione
L'utilizzo di un'autorità di certificazione locale (self signed CA) trova applicazione in tutti quei casi in cui non sia necessario che una root CA esterna firmi i nostri certificati.
Uno scenario tipico è quello in cui si voglia realizzare un sistema di autenticazione web basato su certificati: per autenticarsi i client devono presentare il certificato richiesto.
Illustrerò come generare una CA locale, come usarla per creare certificati lato server e lato client, infine mostrerò come revocare un certificato.
Installazione e Configurazione di Openssl
Per installare la libreria SSL e gli applicativi necessari alla creazione di chiavi e certificati dare il comando:
# apt-get install openssl
Per minimizzare la quantità di informazioni richieste durante la creazione di chiavi e certificati, può
essere utile modificare il file /etc/ssl/openssl.cnf
per esempio alla seguente sezione:
[ req_distinguished_name ] countryName = Country Name (2 letter code) countryName_default = IT ... stateOrProvinceName = State or Province Name (full name) stateOrProvinceName_default = Italy ... 0.organizationName = Organization Name (eg, company) 0.organizationName_default = Azienda SpA ...
Generazione di una CA locale
Per mezzo di questa autorità di certificazione saranno creati tutti gli altri certificati: quello del server e quelli dei client.
Creazione della chiave (root CA)
Prima del certificato è necessario creare una chiave. Il seguente comando genera nella directory /etc/openssl/private
la chiave privata ca.key
di 1024 bit criptata con algoritmo triple DES:
# openssl genrsa -des3 -out private/ca.key 1024 Enter pass phrase for private/ca.key: Verifying - Enter pass phrase for private/ca.key:
La chiave sarà generata dopo aver immesso la pass phrase.
ATTENZIONE vista l'importanza della chiave privata a livello sicurezza, dare gli opportuni permessi alla directory /etc/openssl/private e a ca.key .
|
Generazione del certificato (root CA)
Prima di procedere assicurarsi che /etc/ssl/index.txt
sia vuoto e che /etc/ssl/serial
contenga il valore 01.
Utilizziamo la chiave creata nella sezione Creazione della chiave (root CA), per generare un certificato root CA ca.crt
con validità di un anno:
# openssl req -config /etc/ssl/openssl.cnf -new -x509 -key private/ca.key -out ca.crt -days 365 Enter pass phrase for private/ca.key:
Il certificato appena creato sarà utilizzato esclusivamente per firmare tutti gli altri certificati generati in seguito.
Affinché i browser possano riconoscere come valida la root CA appena creata, gli utenti finali dovranno installare il certificato ca.crt
nei loro browser. Riferirsi alla sezione Certificazione lato client per ottenere maggiori informazioni.
Aggiungendo l'opzione -batch
al precedente comando potremmo automatizzare l'operazione utilizzando i valori predefiniti impostati nel file /etc/ssl/openssl.cnf
. Utile quando il comando è utilizzato in uno script.
Certificato lato server
Questo è il certificato che il server utilizza per cifrare i dati scambiati con i vari client. Un tipico esempio è un server https.
Creazione della chiave (server)
Il modo in cui creare la chiave e le osservazioni da fare sono le stesse viste nella sezione Creazione della chiave (root CA):
# openssl genrsa -des3 -out private/server.key 1024 Enter pass phrase for private/server.key: Verifying - Enter pass phrase for private/server.key:
È molto probabile che la chiave generata sia poi utilizzata insieme al relativo certificato nella configurazione di apache; in tal caso apache attenderà ad ogni avvio che venga inserita la pass phrase relativa alla chiave utilizzata. Vista la scomodità di tale soluzione, si può togliere la pass phrase dalla chiave:
# openssl rsa -in private/server.key -out private/server.key.unsecure Enter pass phrase for private/server.key: writing RSA key
ATTENZIONE la chiave priva di pass phrase non è protetta, quindi assicurarsi che abbia i permessi opportuni. |
Generazione di una Certificate Signing Request (CSR)
Con la chiave creata nella sezione Creazione della chiave (server) generiamo una richiesta di firma per il certificato lato server che stiamo creando:
# openssl req -config /etc/ssl/openssl.cnf -new -key private/server.key -out server.csr Enter pass phrase for private/server.key:
Impartito il comando, è richiesta in input una serie di informazioni tra cui la più importante è quella relativa all'opzione commonName
in cui va specificato l'FQDN
del server che utilizzerà il certificato, al fine di evitare problemi di "fiducia" coi client.
Firma della CSR
Quando disponiamo di una CSR è necessario spedirla alla CA scelta affinché la firmi, tuttavia se abbiamo provveduto, come spiegato nella sezione Generazione di una CA locale, alla creazione di una nostra CA , possiamo firmare noi la CSR ottenuta alla sezione Generazione di una Certificate Signing Request:
# openssl ca -config /etc/ssl/openssl.cnf -policy policy_anything -keyfile private/ca.key \ > -cert ca.crt -in server.csr -out certs/server.crt Enter pass phrase for private/ca.key:
Il risultato del precedente comando è il file /etc/ssl/certs/server.crt
, l'aggiornamento di /etc/ssl/index.txt
e di /etc/ssl/serial
. A questo punto il file server.csr
non è più necessario.
Il risultato dell'operazione è il certificato per mezzo del quale il server https cifrerà i dati scambiati con i client.
Configurazione Web Server
Prendo in considerazione solo la configurazione relativa ad apache , in particolare ad apache-ssl. Utilizzando apache con mod-ssl si dovrebbero ottenere risultati analoghi.
Direttive apache-ssl
Importanti sono le seguenti direttive:
- SSLCACertificatePath
- indica la directory dove sono contenuti certificati e CRL (Certificate Revocation List)
Esempio: SSLCACertificatePath /etc/ssl
- SSLCertificateFile
- indica il certificato lato server per mezzo del quale i dati vengono cifrati. Secondo quanto riportato in questa guida esso corrisponde al file
/etc/ssl/certs/server.crt
.
Esempio: SSLCertificateFile server.crt
- SSLCertificateKeyFile
- indica la chiave privata del certificato lato server. Secondo quanto qui riportato essa corrisponde al file
/etc/ssl/private/server.key
. Per maggiori informazioni vedere l'osservazione sulle chiavi private fatta nella sezione Certificato lato server.
Esempio: SSLCertificateKeyFile server.key
- SSLVerifyClient
- definisce la certificazione di cui i client necessitano per autenticarsi.
Esempio: SSLVerifyClient 2 #The client must present a valid certificate.
- SSLVerifyDepth
- nel nostro caso va impostata a 1 in quanto ci fidiamo solo di certificati firmati dalla nostra CA locale.
Esempio: SSLVerifyDepth 1
- SSLUseCRL
- i certificati client sono controllati basandosi sull'appropriata CRL. La CRL deve essere in formato PEM. è necessario un link simbolico alla CRL posto all'interno del percorso indicato dalla direttiva SSLCACerificatePath. Non prende argomenti. Il percorso della CRL è specificato da SSLCACertificatePath. I link simbolici alle CRL hanno la forma
<hash>.r<number>, dove <hash>
è l'hash del file contenente la CRL. La sezione Apache e CRL spiega come creare link simbolici di tale tipo.
Esempio: SSLUseCRL
- SSLOnRevocationSetEnv
- se il client presenta un certificato revocato, la sessione SSL è stabilita e la variabile indicata è impostata. L'idea è di gestire con uno script questo tipo d'errore. Per la descrizione delle altre direttive del tipo SSLOn*SetEnv riferirsi alla documentazione di apache.
Esempio: SSLOnRevocationSetEnv SSL_REVOKED
Apache e CRL
Questa sezione tratta della configurazione di apache-ssl per l'uso di CRL. Riferirsi a Revoca di un certificato e in particolare a Creazione e aggiornamento di una CRL.
Affinché apache-ssl sia informato sulla validità dei certificati, è necessario l'utilizzo delle direttive SSLCACertificatePath e SSLUseCRL. La prima indica il percorso in cui cercare la CRL, la seconda istruisce il demone a fare uso della CRL.
La CRL deve essere puntata da un link simbolico della forma <hash>.r<number>
presente all'interno del percorso indicato dalla direttiva SSLCACertificatePath (p.e. /etc/ssl
):
# cd /etc/ssl # hash=`openssl crl -hash -in crl/crl.pem -noout` # ln -sf crl/crl.pem $hash.r0 # ls -l $hash.r0 lrwxr-xr-x 1 root root 11 2004-09-24 10:41 bb6e3a6b.r0 -> crl/crl.pem
CA, certificati e CRL per virtual host
Tutte le direttive elencate nella sezione Direttive apache-ssl possono essere utilizzate nei contesti server config e virtual host.
La prima conseguenza è che si possono specificare CA, CRL e certificati distinti per ogni singolo host virtuale. La seconda conseguenza è che si può creare confusione tra le direttive nei contesti server config e virtual host. Si consideri una configurazione del tipo seguente:
[...] SSLOnRevocationSetEnv SSL_REVOKED [...] <VirtualHost x.y.z.w:443> SSLCACertificateFile /etc/ssl/virtual1/ca.crt SSLCertificateFile /etc/ssl/virtual1/certs/server.crt SSLCertificateKeyFile /etc/ssl/virtual1/private/server.key SSLCACertificatePath /etc/ssl/virtual1 SSLUseCRL [...] </VirtualHost>
Quando è revocato un certificato client relativo al virtual host x.y.z.w
, il risultato potrebbe non corrispondere a quanto voluto. Se si visitasse l'URL https://x.y.z.w
con il browser in cui è installato il certificato revocato, si noterebbe che l'accesso non verrebbe impedito. Questo accade perché SSLOnRevocationSetEnv SSL_REVOKED non nega l'accesso ai certificati revocati, ma imposta la variabile SSL_REVOKED a "YES" e la direttiva posta nel contesto server config ha valore anche per gli host virtuali.
La soluzione è quella di commentare la direttiva nel contesto server config e attivarla, se serve, per ogni singolo host virtuale.
Certificato lato client
I passi da seguire per la creazione dei certificati lato client sono essenzialmente analoghi a quelli illustrati nella sezione Certificato lato server.
Creazione chiave (client)
Prima di tutto generiamo la chiave. La pass phrase utilizzata servirà all'utente finale per autenticarsi nelle zone protette del server web.
# openssl genrsa -des3 -out private/client1.key 1024 Enter pass phrase for private/client1.key:
Generazione di una CSR per il client
# openssl req -config /etc/ssl/openssl.cnf -new -key private/client1.key -out client1.csr Enter pass phrase for private/client1.key:
Firma della CSR per il client
La CSR va firmata dalla nostra CA locale:
# openssl ca -config /etc/ssl/openssl.cnf -policy policy_anything -keyfile private/ca.key \ > -cert ca.crt -in client1.csr -out certs/client1.crt Enter pass phrase for private/ca.key:
a questo punto il file client1.csr
non è più necessario. Infine client1.crt
e client1.key
vanno messi in un unico file:
# cat private/client1.key > private/client1.pem # cat certs/client1.crt >> private/client1.pem
quindi generare il file PKCS da importare nel browser dell'utente finale:
# openssl pkcs12 -export -in private/client1.pem -out pkcs/client1.p12 -name "Certificato Client 1" Enter pass phrase for private/client1.pem: Enter Export Password: Verifying - Enter Export Password:
Ovviamente la pass phrase per /etc/ssl/private/client1.pem
è la stessa di /etc/ssl/private/client1.key
. La Export Password viene richiesta al momento dell'importazione del file PKCS nel client browser.
Importazione dei certificati
I certificati da importare nel browser secondo quanto fin qui descritto sono:
ca.crt
- certificato della CA locale, da importare nella sezione "Autorità". Serve per dare "fiducia" al sito web della LAN.client1.p12
- certificato dell'utente finale da importare nel browser.
Revoca di un certificato
Un certificato può essere revocato per vari motivi, tra cui i seguenti:
- unspecified motivazione non specificata.
- keyCompromise la chiave relativa al certificato è stata compromessa (p.e. è giunta nelle mani sbagliate).
- superseded il certificato è stato rimpiazzato.
Per un elenco esaustivo consultare la pagina del manuale openssl CA(1).
il seguente comando revoca il certificato certs/client1.crt:
# openssl ca -config openssl.cnf -revoke certs/client1.crt -crl_reason superseded Enter pass phrase for private/ca.key:
Il rudimentale database /etc/ssl/index.txt
è aggiornato marcando il certificato come revocato. Risultano revocati tutti quei certificati che in /etc/ssl/index.txt
presentano una lettera R come primo campo.
Creazione e aggiornamento di una CRL
Per conoscere quali certificati sono stati revocati, è necessario generare una CRL (Certificate Revocation List). Una CRL è una lista che dichiara quali certificati sono stati revocati e la motivazione della revoca.
# openssl ca -config openssl.cnf -gencrl -out crl/crl.pem
Il comando precedente crea una CRL in base alle informazioni contenute in /etc/ssl/index.txt
e deve essere impartito ogni volta che uno o più certificati sono revocati.
Dopo aver aggiornato una CRL, è sempre necessario riavviare apache-ssl per rendere effettivi i cambiamenti.
Per la configurazione di apache-ssl relativa all'uso delle CRL vedere la sezione Configurazione Web Server.
Guida scritta da: ~ Nicsar 05:00, 1 Nov 2006 (CST) (Nicola Sarobba) | Debianized 20% |
Estesa da: | |
Verificata da: | |
Verificare ed estendere la guida | Cos'è una guida Debianized |