3 581
contributi
Apache, SSL e CaCert.Org: differenze tra le versioni
Vai alla navigazione
Vai alla ricerca
m
rimossa Jessie e Stretch/Sid
S3v (discussione | contributi) mNessun oggetto della modifica |
m (rimossa Jessie e Stretch/Sid) |
||
| (8 versioni intermedie di 4 utenti non mostrate) | |||
| Riga 1: | Riga 1: | ||
{{Versioni compatibili}} | {{Versioni compatibili|Squeeze|Wheezy}} | ||
= Introduzione = | |||
Chi avrà provato ad installare Apache (o Apache2) con supporto SSL si sarà trovato davanti al problema del certificato: come generarlo? Che valore ha? Dove posso ottenere un certificato valido? Esistono soluzioni gratuite? | Chi avrà provato ad installare Apache (o Apache2) con supporto SSL si sarà trovato davanti al problema del certificato: come generarlo? Che valore ha? Dove posso ottenere un certificato valido? Esistono soluzioni gratuite?<br /> | ||
Queste sono le domande normali che si pone un utente, soprattutto guardando i prezzi esorbitanti proposti per l'acquisto di certificati [http://it.wikipedia.org/wiki/Transport_Layer_Security SSL]. | |||
Il vantaggio di avere un certificato firmato da terzi è la possibilità, per chi accede alla nostra risorsa web per la prima volta, di avere certificato il proprio dominio, evitando quindi attacchi Man In the Middle. Altrimenti potremmo benissimo ricorrere ad un certificato autogenerato e non firmato. | |||
==Note sui certificatori SSL== | |||
In questo articolo si fa riferimento esplicito a '''CaCert.org'''. Trattasi di una associazione che certifica, sullo stile di GPG, sul principio di [http://it.wikipedia.org/wiki/Web_of_trust Web of Trust].<br /> | |||
Pur non essendo necessario il riconoscimento per usare i servizi di CaCert questo è consigliato per usufruire di alcuni vantaggi (quali ad esempio la durata del certificato). Il principale problema di cui soffre ''CaCert'' è il fatto di non essere globalmente riconosciuto ed essere presente quindi solo in alcune distibuzioni, tra cui Debian. Questo significa che chi accede da altri sistemi operativi probabilmente non sarà in grado di verificare tramite l'ente certificatore l'autenticità del certificato, proprio siccome non dispone del certificato di CaCert all'interno del proprio browser. | |||
Al momento l'unica soluzione gratuita riscontrata e presente su tutti i browser e sistemi operativi è l'offerta di [https://www.startssl.com/?app=1 StartSSL free], ma sarei ben felice di conoscerne di altre. | |||
Molti certificatori SSL offrono soluzioni a costi sostenuti anche perché allegano al servizio polize assicurative sulla sicurezza offerta dal proprio certificato. | |||
== Generazione del certificato == | == Generazione del certificato == | ||
| Riga 18: | Riga 27: | ||
* All'arrivo dell'email, confermiamo l'aggiunta del dominio. | * All'arrivo dell'email, confermiamo l'aggiunta del dominio. | ||
=== Generazione | === Generazione CSR === | ||
Per poter ottenere un certificato è necessario avere una Richiesta di Sottoscrizione del Certificato (Certificate Signing Request, CSR). Per crearla usiamo il seguente comando: | Per poter ottenere un certificato è necessario avere una Richiesta di Sottoscrizione del Certificato (Certificate Signing Request, CSR). Per crearla usiamo il seguente comando: | ||
<pre> | <pre> | ||
| Riga 55: | Riga 64: | ||
{{Box|Nota:|i dati inseriti sono fittizi, è d'obbligo sostituirli con quelli reali}} | {{Box|Nota:|i dati inseriti sono fittizi, è d'obbligo sostituirli con quelli reali}} | ||
Per dare una durata di tempo al certificato aggiungere al comando openssl, <code> -days xxx </code> | Per dare una durata di tempo al certificato aggiungere al comando openssl, <code> -days xxx </code> dove xxx è il numero di giorni di validità dello stesso. | ||
dove xxx è il numero di giorni di validità dello stesso. | |||
Ricordate però che il certificato durerà solo 6 mesi, qualsiasi numero venga immesso nel campo <code>-days xxx</code>, al termine della scadenza occorrerà rinnovare il certificato che sarà nuovamente valido per altri 6 mesi. | Ricordate però che il certificato durerà solo 6 mesi, qualsiasi numero venga immesso nel campo <code>-days xxx</code>, al termine della scadenza occorrerà rinnovare il certificato che sarà nuovamente valido per altri 6 mesi. | ||
| Riga 90: | Riga 98: | ||
In tal caso occorre creare una chiave più robusta con il comando : | In tal caso occorre creare una chiave più robusta con il comando : | ||
<pre># openssl req -nodes -newkey rsa:4096 -keyout dominio .it.key -out dominio .it.csr</pre> | <pre># openssl req -nodes -newkey rsa:4096 -keyout dominio.it.key -out dominio.it.csr</pre> | ||
Il valore 4096 può essere modificato a piacere a partire da 2048 secondo gli attuali standard. | Il valore 4096 può essere modificato a piacere a partire da 2048 secondo gli attuali standard. | ||
<pre>Generating a 4096 bit RSA private key | <pre>Generating a 4096 bit RSA private key | ||
| Riga 146: | Riga 154: | ||
Copiate il testo da BEGIN CERTIFICATE a END CERTIFICATE e andate a sostituirlo nel file <code>apache2/ssl/vostro-certificato.crt</code> e riavviate Apache2 | Copiate il testo da BEGIN CERTIFICATE a END CERTIFICATE e andate a sostituirlo nel file <code>apache2/ssl/vostro-certificato.crt</code> e riavviate Apache2 | ||
<pre> | <pre> | ||
# /etc/init.d/apache2 restart | |||
</pre> | |||
Ora tornate alla finestra ''certificati server/visualizza'', e verificate che la data del certificato da voi rinnovato sia cambiata. | Ora tornate alla finestra ''certificati server/visualizza'', e verificate che la data del certificato da voi rinnovato sia cambiata. | ||
| Riga 154: | Riga 163: | ||
== Apache == | == Apache == | ||
=== Installazione === | === Installazione === | ||
''Apache-ssl'' rappresenta il [[demone]] Apache con il supporto per SSL abilitato. L'installazione è semplice, rappresentando un pacchetto ''separato'' da | ''Apache-ssl'' rappresenta il [[demone]] Apache con il supporto per SSL abilitato. L'installazione è semplice, rappresentando un pacchetto ''separato'' da Apache ''normale'': | ||
<pre> | <pre> | ||
# apt-get install apache-ssl | # apt-get install apache-ssl | ||
| Riga 160: | Riga 169: | ||
=== Configurazione === | === Configurazione === | ||
Prima di installare i certificati è consigliabile mettere mano alla configurazione generica del server, in modo da sistemare quei parametri relativi al dominio, all'amministratore e alla directory radice utilizzata da | Prima di installare i certificati è consigliabile mettere mano alla configurazione generica del server, in modo da sistemare quei parametri relativi al dominio, all'amministratore e alla directory radice utilizzata da Apache. | ||
==== Modifica impostazioni base ==== | ==== Modifica impostazioni base ==== | ||
| Riga 166: | Riga 175: | ||
; ServerName : indica il dominio al quale dovrà rispondere il server. Nel nostro caso sarà ''esempio.it''. | ; ServerName : indica il dominio al quale dovrà rispondere il server. Nel nostro caso sarà ''esempio.it''. | ||
; ServerAdmin : l'email dell'amministratore del server. Nel nostro caso ''sysadmin@esempio.it''. | ; ServerAdmin : l'email dell'amministratore del server. Nel nostro caso ''sysadmin@esempio.it''. | ||
; DocumentRoot : indica la directory radice in cui si trovano le pagine che verranno mostrate da | ; DocumentRoot : indica la directory radice in cui si trovano le pagine che verranno mostrate da Apache. Nel nostro esempio verrà mantenuto il valore di default. | ||
==== Aggiunta del Certificato ==== | ==== Aggiunta del Certificato ==== | ||
| Riga 252: | Riga 261: | ||
In alternativa è possibile inserire tali direttive all'interno del file di configurazione stesso del sito < | In alternativa è possibile inserire tali direttive all'interno del file di configurazione stesso del sito <code>/etc/apache2/site-available/mio-sito</code>. | ||
== Test di funzionamento == | == Test di funzionamento == | ||
| Riga 262: | Riga 271: | ||
=== Diffusione di CaCert === | === Diffusione di CaCert === | ||
CaCert inizia ad essere inserito, come certificato root, anche nei vari browser, evidenziando che l'attenzione verso questo progetto sta salendo. Non resta che adottarlo ed, eventualmente, fare richiesta agli sviluppatori del nostro browser preferito | CaCert inizia ad essere inserito, come certificato root, anche nei vari browser, evidenziando che l'attenzione verso questo progetto sta salendo. Non resta che adottarlo ed, eventualmente, fare richiesta agli sviluppatori del nostro browser preferito affinché CaCert venga inclusa. | ||
== Link == | == Link == | ||
[http://www.cacert.org '''CaCert.Org'''] | [http://www.cacert.org '''CaCert.Org'''] | ||
{{Autori | |||
|Autore =[[Utente: MaXeR|MaXeR]] | |||
|Estesa_da = | |||
: risca 18:56, 20 apr 2014 (CEST) | |||
|Verificata_da = | |||
: mm-barabba | |||
: risca 21:26, 11 apr 2014 (CEST) | |||
|Numero_revisori = 2 | |||
}} | |||
[[Categoria:Web server]] | [[Categoria:Web server]] | ||
[[Categoria:Crittografia]] | [[Categoria:Crittografia]] | ||