|
|||||||
|
|
|
 |
|
|
Strumenti |
20-06-2012, 13:38
|
#1 |
|
Member
Iscritto dal: Jul 2008
Messaggi: 41
|
Generare una domanda di certificato su server web
Ciao a tutti, ho necessità di generare sul mio server web un "Certificate Signing Request - CSR", per rinnovare il nostro certificato di sicurezza.
Purtroppo non ho nessunissima idea su come procedere...    Qualcuno puó darmi un suggerimento sulla strada da seguire? Si tratta di un server Linux. Per farmi capire meglio (so di essermi spiegato come un libro strappato) aggiungo la pagina delle informazioni preliminari di Luxtrust per il rinnovo del certificato: https://www.luxtrust.lu/fr/commande/ssl Grazie a tutti per la disponibilità!!! Buona giornata!! Guallio |
|
|
|
25-06-2012, 12:02
|
#2 |
|
Member
Iscritto dal: Jul 2008
Messaggi: 41
|
Grazie a tutti per il non aiuto!!!
 mi rispondo da solo..... questo articolo è tratto dal blog di Alessio Cecchi - alessice Blog a carattere tecnico gestito da Alessio Cecchi, sistemista in ambiente Unix e Linux da quasi 10 anni. Certificati SSL e generazione del CSR con openssl Per lavoro mi trovo spesso ad acquistare Certificati SSL per i miei server o per conto dei miei clienti. L’acquisto di un certificato SSL è diventato ormai molto economico (a patto di acquistarne uno che prevede la sola validazione on‐line come quelli di RapidSSL (http://www.rapidssl.com)) ma la procedura on‐line che spesso i siti di vendita richiedono può essere un po complessa nel momento in cui ci è richiesto di fornire un CSR ovvero un Certificate Signing Request. Cosa è esattamente un CSR? Da Wikipedia: http://en.wikipedia.org/wiki/Certifi...igning_request (http://en.wikipedia.org /wiki/Certificate_signing_request) , si tratta in sostanza di un file di testo generato da openssl (http://www.openssl.org), almeno in ambito Linux/Unix, contenente le informazioni che la CA (Certification Authority, ovvero colei che ci rilascerà il nostro certificato) necessità di sapere per associare l’identità del certificato digitale al suo richiedente. La generazione di un CSR comprende anche la generazione di una chiave privata che non sarà inclusa nel CSR stesso ma servirà solo a “firmare” la nostra richiesta di certificato. Questa chiave andrà poi conservata con molta cura e segretezza e sarà necessaria in fase di configurazione del nostro server (sia esso Apache, IIS, qmail, postfix o altro). Ma vediamo adesso come generare un CSR con Linux/Unix. E’ richiesto di avere installato il software openssl sul nostro PC/Server quindi: per sistemi Debian/Ubuntu: # aptitute install openssl per sistemi RedHat/CentOS/Fedora: # yum install openssl una volta installato openssl procediamo alla vera e propria generazione del CSR, anzitutto creiamoci una directory di lavoro nella nostra home (non è necessario ed anzi è sconsigliato lavorare come utente root per svolgere queste operazioni): Come si genera un CSR (Certificate Signing Request) « Blog di Alessio... http://alessice.wordpress.com/2008/1...-un-csr-certif... 1 sur 4 22/06/2012 17:04 $ mkdir ~/test‐csr $ cd test‐csr/ Vediamo adesso quali saranno i dati che openssl ci chiederà per generare il nostro CSR: Common Name: l’hostname a cui dovrà appoggiarsi il certificato (esempio www.cecchi.biz o *.cecchi.biz nel caso di certificato wildcard) Organization: Il nome dell’organizzazione o dell’azienda (Cecchi Business Solutions) Organization Unit: L’unità organizzativa dell’azienda (Area CED cecchi.biz) City or Locality: La città dove l’organizzazione ha sede (esempio Prato) State or Province: Lo stato o la provincia dove ha sede l’organizzazione (esempio Prato) Country: Il paese dove ha sede l’organizzazione (esempio IT) impostiamo, ma solo per comodità, una variabile che contiene il Common Name del nostro certificato, supponiamo di generarne uno per www.cecchi.biz $ export CommonName=www.cecchi.biz $ echo $CommonName www.cecchi.biz Ok, la variabile è impostata correttamente se dopo echo esce il nome che del nostro CN, procediamo con la generazione della nostra chiave pubblica: $ openssl genrsa ‐out $CommonName.key 1024 Generating RSA private key, 1024 bit long modulus …..++++++ ………………….++++++ e is 65537 (0×10001) $ ls www.cecchi.biz.key la nostra chiave privata apparirà piò o meno così: $ cat www.cecchi.biz.key —–BEGIN RSA PRIVATE KEY—– MIICXgIBAAKBgQC6nquvjBCGYqu9nHybtryar4334vqvVvZYiB74qGWOuQZBr yR81hOvkKgjnUOQ99DO+dBgLc02I5zcHjtttfZKd06jAI8DzK0DiFxA36Jdn294C f4sy9FmhdE54D0uEJwUqSnFiFQNeI16A7itzknuim7i8i7unr6nbuydrydruS1wIDAQAB AoGAAsDqmZmAeOsly5NuWxeaIjyTDKRR5VZ/+JRmjbP9i1N6lAylm+GI01pVvLUe EoOwCnX6+XlvDWQzJaz7s+HYvPtjgX6ZnKnxKZqZzOeblykDogVYb8msK7oqZWQ9 +91FOothHv+Jw7oSVsFSW7W4T7z/8VY+N5mZkEoPM2tTFgECQQDkXBFB/6tpcoqT J01VdfJ4ajKyBhKLWiK4SDBp9eZ2k5Ty9HIUE7hF2yRL4WF9wOMcmNwSG3tjTkZq 6RsuLMHXAkEA0TVBnt584x8kFxD5xwfu+V1hYVEmubImHmKRbxxyBo82yTNM0dQx vtrbtrynryntunntuytuyfguhtyu56yu6u8n7moit8urtttrsrydX2Vwr7RGFfQ8gHPPYYDB74 4gZPvAyrQM4iEm1aNhjTIcdej7ueFbKv6nJxkQflp2Mf+rbQd842chQcjy8CQQCu rytFvjzFYEFASVpmiAdQjFo9agdN0vt4twtb5ne5fvtDgWlHnD0SsjWgzXKtJX Hdt6pBTczaf464jSEm4BAkEAq3n3oAaOIcWuHn8EqmlVt4koO9uxYGCadMmuDZJP u2nznBOIlSBJAb4/IpcNUMB5rbPP4FXkNVdgWS6FctFoGg== Come si genera un CSR (Certificate Signing Request) « Blog di Alessio... http://alessice.wordpress.com/2008/1...-un-csr-certif... 2 sur 4 22/06/2012 17:04 —–END RSA PRIVATE KEY—– Passiamo ora alla vera e propria generazione del CSR: $ openssl req ‐new ‐key $CommonName.key ‐out $CommonName.csr You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter ‘.’, the field will be left blank. —– Country Name (2 letter code) [AU]:IT State or Province Name (full name) [Some‐State]:Prato Locality Name (eg, city) []:Prato Organization Name (eg, company) [Internet Widgits Pty Ltd]:Cecchi Business Solutions Organizational Unit Name (eg, section) []:Area CED cecchi.biz Common Name (eg, YOUR name) []:www.cecchi.biz Email Address []:[email protected] INUTILE CHE MI MANDATE SPAM, NON ESISTE QUESTA CASELLA Please enter the following ‘extra’ attributes to be sent with your certificate request A challenge password []: LASCIARE VUOTO An optional company name []: LASCIARE VUOTO $ ls www.cecchi.biz.csr www.cecchi.biz.key Perfetto, il nostro CSR è generato ed è pronto per essere inviato alla nostra CA o meglio al nostro rivenditore di certificati SSL! Se avete ancora difficoltà nella generazione di un CSR oppure volete maggiore supporto tecnico e consulenza per l’acquisto di un certificato SSL il mio consiglio è quello di rivolgersi a dei professionisti del mestiere per l’acquisto di un Certificato SSL con generazione CSR ed installazione compresa. (http://www.cecchi.biz/prodotti/certificati_ssl.html) This entry was posted on ottobre 28, 2008 at 7:39 pm and is filed under Gestione Server. Segui i commenti a questo post con il feed RSS 2.0. Puoi lasciare una risposta, o mandare un trackback dal tuo sito. Alessio Cecchi Dice: settembre 1, 2009 alle 9:05 am | Replica Aggiungo una nota, per veirifcare il contentuto del file CSR appena generato: openssl req ‐text ‐noout ‐in $CommonName.csr 1. Come si genera un CSR (Certificate Signing Request) « Blog di Alessio... http://alessice.wordpress.com/2008/1...-un-csr-certif... 3 sur 4 22/06/2012 17:04 Ciao Tema: Kubrick. Blog su WordPress.com. Articoli (RSS) e Commenti (RSS). Come si genera un CSR (Certificate Signing Request) « Blog di Alessio... http://alessice.wordpress.com/2008/1...-un-csr-certif... 4 sur 4 22/06/2012 17:04 |
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 16:46.
