Come attivare un certificato SSL sul proprio server

[box type=”warning”] Questa guida si applica a certificati SSL GeoTrust e RapidSSL; per altri certificati la procedura potrebbe differire in alcuni passaggi.[/box]

 

Cosa è necessario per attivare un certificato SSL sul proprio server?

Per attivare un certificato SSL è necessario:

  • un server abilitato alla gestione di servizi SSL
  • poter accedere e gestire le funzioni di configurazione dei servizi SSL del proprio server
  • un CSR (Certificate Signing Request)
  • acquistare un certificato SSL rilasciato da un’autorità riconosciuta (es. Geotrust o RapidSSL)

Perché durante l’attivazione risulta che il mio CSR non è valido?

I motivi per cui un CSR non risulta valido possono essere diversi.
Durante la creazione di un CSR, vengono richiesti diversi parametri e dati, e non averli specificati con correttezza e precisione può essere fonte di diversi errori.
In caso di errore, si consiglia di:

  1. verificare il campo “common name”
    E’ possibile che invece di un “common name” sia stato specificato un indirizzo IP (es. “92.60.66.120“) oppure un server name (es. “mywebserver“) invece di un “Fully Qualified Domain Name” (quale ad esempio www.miodominio.com o miodominio.com)
    Per registrare un certificato SSL, è necessario specificare come “common name” un “Fully Qualified Domain Name”
    [box type=”warning”] Verificare di non aver inserito nel “common name” caratteri non ammessi![/box]
    I caratteri non ammessi sono i seguenti:
    [! @ # $ % ^ ( ) ~ ? > < & / \ , . ” ‘]
  2. verificare il campo “country”
  3.  verificare di aver inserito correttamente il CSR nel modulo di registrazione; in particolare, verificare di aver inserito l’header ed il footer del CSR.
    L’header ed il footer del CSR sono del seguente tipo:

     ----BEGIN CERTIFICATE REQUEST-----
    encoded data
    -----END CERTIFICATE REQUEST------

    Verificare che ci siano cinque trattini (“-“) all’inizio ed alla fine delle due righe “BEGIN” ed “END”
    Verificare che non ci siano spazi all’inizio.

 

E’ possibile cambiare il CSR durante la registrazione di un certificato SSL?

Si, è possibile cambiare o correggere il CSR durante la registrazione di un certificato SSL.
Alla fine del processo di registrazione verrà richiesto di confermare tutti i dati forniti durante il processo. Solo dopo che sarà stata data questa conferma, non sarà più possibile correggere i dettagli del CSR.
Una volta che il certificato SSL è stato rilasciato, non sarà più possibile cambiare il “common name” dello stesso.

[box type=”warning”]Una volta che il certificato SSL è stato rilasciato, non sarà più possibile cambiare il “common name” dello stesso.[/box]

Cosa è il processo di verifica?

Successivamente alla registrazione di un certificato, prima dell’attivazione l’Authority (RapidSSL o GeoTrust) procederà ad una verifica dell’intestatario del certificato.
Questa verifica prevede al minimo l’invio di una email al Registrante del dominio, che dovrà rispondere alla stessa per confermare i dati e la genuinità della richiesta di certificato.
In alternativa all’indirizzo email del registrante (o quando questo non sia accessibile da un whois pubblico), è possibile indicare in fase di registrazione uno qualsiasi dei seguenti indirizzi email:

admin@miodominio.com
administrator@miodominio.com
webmaster@miodominio.com
hostmaster@miodominio.com
root@miodominio.com
ssladmin@miodominio.com

Per alcuni tipi di certificato (es. GeoTrust EV) è prevista anche una verifica telefonica.

In tutti i casi, è possibile che venga richiesto l’invio di documenti ufficiali che attestino p.es. lo stato di un’azienda o la effettiva titolarità di un dominio

Come si genera un CSR su APACHE SSL

 

[box type=”warning”] Questa guida si applica a certificati GeoTrust e RapidSSL; per altri certificati la procedura potrebbe differire in alcuni passaggi.[/box]

 

Per generare un CSR (CERTIFICATE SIGNING REQUEST) , è necessario creare una coppia di chiavi per il server, ovvero due chiavi digitali di certificato (una chiave “pubblica” e l’altra “privata”) che non possono essere separate.

Se si smarrisce il file di una delle due chiavi (pubblica oppure privata) o la relativa password e se ne generano di nuove, non corrisponderanno più al certificato SSL che dovrà quindi esser sostituito.

Passo 1: Generazione di una coppia di chiavi

Per generare la chiave e il CSR si usa la utility OpenSSL.
Questa utility viene fornita con il pacchetto OpenSSL e di solito è installata in /usr/local/ssl /bin.
Se è stato installato in altra directory, è necessario modificare in modo appropriato le successive istruzioni.

Digitare il seguente comando al prompt per una chiave non crittografata:

openssl genrsa -out www.yourdomain-example.com.key 2048

Per un uso con chiave crittografata utilizzare invece il seguente comando:

openssl genrsa -des3 -out www.yourdomain-example.com.key 2048

  SSL1

Questo comando genera un chiave privata RSA a 2048 bit e la memorizza nel file www.yourdomain-example.com.key.
Quando viene richiesta la pass phrase: immettere una password sicura e memorizzarla in modo efficace ed affidabile, in quanto questa password costituisce la protezione della chiave privata.
Sia la chiave privata che il certificato sono necessari per abilitare SSL.

[box type=”warning”] la versione Windows di OpenSSL non è compatibile con chiavi crittografate e quindi in questo caso non può esser utilizzata[/box]

[box type=”info”] Per bypassare il requisito di passphrase, omettere l’opzione -des3 durante la generazione della chiave privata.[/box]

[box type=”warning”]Se si lascia la chiave privata non protetta, si raccomanda che l’accesso al server sia protetto e limitato (anche fisicamente), in modo che solo gli amministratori autorizzati possano accedere o leggere il file della chiave privata.[/box]

Passo 2: Generazione del CSR

Al prompt, digitare il seguente comando:

openssl req -new -key www.yourdomain-example.com.key -out www.yourdomain-example.com.csr

SSL2
Questo comando richiederà per il certificato i seguenti attributi X.509:
SSL3

  • Country Name
    Utilizzare il codice di due lettere senza punteggiatura per la nazione, per esempio: IT o DE
  • State or Province
    Scrivere lo stato o la provincia per esteso, senza abbreviazioni
  • Locality or City
    Scrivere il nome della località per esteso, senza abbreviazioni
  • Company
    Se la vostra azienda o il reparto ha nel proprio nome un &, @, o un qualsiasi altro carattere speciale, è necessario sostituire o omettere il simbolo.
    Esempio: XY & Z Corporation va indicata come XYZ Corporation oppure XY e Z Corporation.
  • Organizational Unit
    Campo facoltativo, che può essere utilizzato per identificare i certificati registrati a un’organizzazione. Il campo Unità organizzativa (OU) è il nome del reparto o unità organizzativa che effettua la richiesta.
  • Common Name
    E’ l’host + nome di dominio. Dovrebbe essere qualcosa del tipo “www.company.com” o “company.com“.
    Nel caso di certificati wildcard, la sintassi è del tipo *.company.com

E’ necessario che il server impieghi il medesimo common name specificato durante la registrazione del certificato. Ad esempio, un certificato per il dominio “domain.com“, segnalerà un errore se si tenta l’accesso a un sito denominato “secure.domain.com“, perché “secure.domain.com” è diverso da “domain.com“.

[box type=”warning”]Durante la generazione del CSR si consiglia di non inserire i seguenti “attributi extra”:

  • il proprio indirizzo e-mail
  • challenge password
  • nome di società[/box]

A questo punto è stata creata la coppia di chiavi privata/pubblica.

La chiave privata (www.yourdomain-example.com.key) viene memorizzata in locale sulla macchina server e viene utilizzata per la decrittazione.

La chiave pubblica, nella forma di un Certificate Signing Request (certrequest.csr), servirà per l’attivazione del certificato.

[box type=”warning”] Per effettuare il copia/incolla del CSR nel modulo di attivazione, aprire il file con un semplice editor di testo come Notepad, oppure salvarlo come file txt.
Non utilizzare Microsoft Word, che potrebbe inserire caratteri nascosti che altererebbero il contenuto del CSR.[/box]

Una volta che il CSR è stato creato, procedere all’attivazione del certificato SSL, utilizzando il CSR appena generato.

Passo 3: Eseguire il backup della chiave privata

Si consiglia di eseguire il backup del file .key e la memorizzazione della corrispondente password.
Una buona scelta è quella di creare una copia di questo file su un dischetto o altro supporto rimovibile.

[box type=”info”]Effettuare il backup della chiave privata non è strettamente indispensabile, ma potrebbe essere utile nel caso di guasto del server.[/box]

 

migrazione programmata di server dedicati

La migrazione di un server dedicato si rende necessaria ogni qual volta si deve provvedere alla sostituzione del server, ad esempio a causa di:

  • obsolescenza, o necessità di revisione integrale del server dedicato
  • passaggio ad una piattaforma di caratteristiche differenti hardware (indifferentemente se superiori o inferiori alla precedente)

In questi casi la migrazione procederà secondo la seguente timeline:

  • giorno X: dal nostro servizio viene comunicato all’utente la necessità di procedere alla  migrazione del server, e viene comunicata la data proposta per la sotituzione (con un preavviso minimo di 15 gg. solari)
  • giorno x+10: il cliente comunica (attraverso ticket system) eventuali necessità di configurazione, o ogni dettaglio e preferenza relativa alla stessa: versione sistema operativo, librerie installate, tipo e caratteristiche dell’eventuale pannello di controllo
  • giorno x+15: viene messo a disposizione del cliente il nuovo server, con un IP provvisorio.
    il nuovo server avrà installato il sistema operativo nella versione precedentemente indicata dal cliente. Lo stesso vale per eventuali librerie e pannelli di controllo.
  • entro il giorno x+22 il cliente può procedere all’installazione di eventuali applicativi, alle personalizzazioni necessarie, alla migrazione dei dati e contenuti.
  • quando il cliente ha concluso la migrazione, si procede allo switch degli IP tra i due server.
    Al nuovo server viene assegnato l’IP ufficiale, ed al vecchio server viene assegnato l’IP provvisorio.
    NOTE:
    – a seconda del profilo di assistenza, tale operazione deve esser eseguita dal cliente (assistenza basic) oppure dal nostro personale (assistenza managed o global)
    – data la delicatezza dell’operazione, si consiglia comunque di preavvisare il nostro personale, e concordare la data con adeguato preavviso, in modo da assicurarsi la pronta disponibilità di personale in farm che possa intervenire in caso di difficoltà
    – per lo stesso motivo, si consiglia di effettuare l’operazione durante il normale orario lavorativo
  • il vecchio server viene lasciato a disposizione del cliente, con l’IP provvisorio, fino al giorno X+29.
    Durante questo periodo l’utente può completare la migrazione dei dati, effettuare risincronizzazione tra archivi, recuperare dati “dimenticati” sul vecchio server.
  • il giorno X+29 il vecchio server viene spento
  • il giorno X+31 il vecchio server viene cancellato

 

NOTE:

  • prima di eseguire le operazioni di migrazione, si consiglia di effettuare un backup straordinario di tutti i contenuti del server;
  • si consiglia altresì di potenziare la policy di backup, rendendola più conservativa, durante tutto il periodo della migrazione;
  • la eventuale collaborazione del nostro personale in farm (se necessaria per interventi “fisici” sul server) sarà gratuita nel normale orario lavorativo;
  • i titolari di piani di assistenza “global” possono concordare gratuitamente che l’intervento venga eseguito in fasce orarie “morbide” (notturna o in giorni festivi)

E’ possibile effettuare più di due connessioni RDP su un server con Windows Server?

Su Windows Server 2003 e Windows Server 2008, il numero massimo di connessioni RDP amministrative contemporanee è limitato a due (oltre, ovviamente, a quella da consolle)

E’ possibile aumentare il numero di connessioni attivando Terminal Server in application mode, ed acquistando il numero di licenze TS-CAL.

Gli accessi ulteriori però non saranno di tipo amministrativo: gli accessi amministrativi sono infatti sempre limitati a due.

Ci sono costi di installazione o startup?

Per le soluzioni standard presenti sul listino web normalmente non sono previsti costi di startup o installazione.

Nel caso ci siano costi di startup, sono comunque chiaramente specificati in fase di selezione del servizio.
E’ possibile la presenza di costi di startup per soluzioni studiate ad hoc con il Cliente.

Cosa comprende l’opzione Assistenza Estesa sui server dedicati?

Con la modalità “assistenza estesa” il Cliente conserva la piena autonomia e responsabilità nella gestione del proprio server, ma usufruisce di una serie di preziosi benefit:

  • riavvii del server, in modalità h24 / 365 gg all’anno
  • dieci interventi di assistenza di primo livello nel corso dell’anno (uno al mese sui piani mensili), per svolgere (sempre sotto la responsabilità del Cliente e dietro sue specifiche indicazioni) semplici interventi di manutenzione, senza carattere d’urgenza, effettuati in orario d’ufficio e della durata massima di 30′, quali ad esempio:
    • copie di backup di dati
    • collegamento o scollegamento di unità disco esterne per copie dati
    • installazione “plain” di software applicativi, senza alcun intervento di configurazione degli stessi nè alcun intervento sistemistico che si potesse rivelar conseguentemente necessario
    • installazione “plain” di aggiornamenti di software applicativi, senza alcun intervento di configurazione degli stessi nè alcun intervento sistemistico che si potesse rivelar conseguentemente necessario
    • scansioni antivirus ed antimalware che fosse eventualmente necessario svolgere da console locale
    • ogni altra operazione che fosse necessario svolgere da console locale, ma solo ed escusivamente dietro dettagliate istruzioni scritte da parte del Cliente

Per questioni di sicurezza l’Assistenza Estesa viene erogata escusivamente attraverso ticket system.
In casi eccezionali, può essere richiesta a mezzo email; mai, in nessun caso, può esser richiesta telefonicamente.

Cosa comprende l’opzione “full management” per i server dedicati?

Il servizio di “full management” è la soluzione ideale per le aziende che non dispongono al proprio interno del personale qualificato alla gestione di un server e per le quali, dovendo gestire un numero limitato di server (tipicamente, meno di dieci), non sarebbe giustificato il costo dell’assunzione di un sistemista senior.
Dopo che il cliente avrà esposto dettagliatamente le sue richieste e necessità, i nostri tecnici procederanno alla configurazione personalizzata del server.
Il server verrà dotato di un “pannello di controllo”, per mezzo del quale l’utente potrà svolgere in piena sicurezza tutte le operazioni di uso e manutenzione ordinaria.
Il nostro personale si occuperà, h24 / 365 gg all’anno, di:

  • monitorare proattivamente il server, intervendo tempestivamente in caso di malfunzionamento dei servizi presenti sul sistema consegnato. (Eventuale software installato dall’utente non potrà essere monitorato dai nostri sistemi);
  • mettere a punto una efficace policy di backup, e sovrintendere periodicamente alle operazioni di backup;
    (nota: soluzioni di backup su storage esterni alla macchina sono un servizio non incluso e quotato a parte in base allo spazio necessario)
  • curare l’installazione degli aggiornamenti del sistema operativo e dei principali software applicativi;
  • intervenire proattivamente nel caso dell’approssimarsi di criticità (es: esaurimento dello spazio su disco);
  • effettuare scansioni e bonifiche antivirus, quando ncessario;
  • in caso di crash del sistema, provvederà alla reinstallazione completa del sistma operativo, nonchè ad effettuare il restore dei dati da eventuali set di backup
    (nota: il restore dei dati non comprende riconfigurazioni di sistema o di eventuali applicativi, ricostruzione di indici, e tutte le operazoni di messa a punto che in tali situazioni si possno render necessarie; queste operazoni saranno empre a cura del Cliente);

Il Cliente ha comunque facoltà di richiedere servizi extracontrattuali (diversi da quelli contrattualmente previsti, oppure in fascia oraria diversa da quella prevista). Tali servizi verranno poi addebitati a consuntivo, secondo il tariffario corrente.
Per interventi extracontrattuali particolari, il Cliente può richiedere gratuitamente un preventivo preliminare.
Tra i servizi extracontrattuali che il cliente può richiedere citiamo, ad esempio:

  • produzione di estratti di log su richiesta del cliente
  • analisi del traffico email per individuazione di anomalie

L'”assistenza managed” è applicabile solo a server a noleggio e con sistema operativo Linux; non è applicabile a server in colocation.

Assistenza extracontrattuale per server dedicati, server virtuali ed in colocation

Le soluzioni di assistenza “a pacchetto” che offriamo (“assistenza basic”, “assistenza estesa”, “managed”. “global”) coprono la maggior parte delle possibili esigenze.

Esistono tuttavia delle situazioni nelle quali l’utente ha bisogno di contare sulla collaborazione di un professionista, per affrontare situazioni impreviste o straordinarie, o di particolare urgenza.

Alcuni esempi:

  • necessità di assistenza sistemistica specialistica su un server coperto solo da assistenza base o assistenza estesa
  • consulenza sistemistica per la progettazione di nuovi server o la modifica di server esistenti
  • assistenza notturna o festiva per operazioni di mnutenzione ordinaria (effettuate in fascia notturna o festiva per ridurre i tempi di down del servizio)

Anche in questo caso i nostri tecnici sono a vostra disposizione, per permettervi di gestire il vostro server nel migliore dei modi e con la massima soddisfazione de vostri utenti.

Pur trattandosi di personale specializzato, le tariffe del servizio sono molto contenute:


INTERVENTI IN FASCIA ORDINARIA (dal lunedì al venerdì, dalle 9:00 alle 18:00)
La tariffazione avviene a consuntivo, su base oraria, in base al tempo effettivo impiegato dal ns. personale a tranche di 30′ o frazioni; il minimo fatturabile è quindi di 30′, e le tranche successive sono 1h, 1h 30′, 2h ecc.
Non vi è nessun diritto fisso di intervento.
L’intervento va richiesto attraverso un ticket “assistenza extracontrattuale”, e viene preso in carico normalmente entro 8h dalla richiesta.
Vi è la possibilità di richiedere un intervento urgente, con presa in carico entro 1h dalla richiesta, ed addebito del relativo diritto.
Per “presa in carico” si intende che il ticket viene assegnato ad un tecnico con preparazione specifica al tipo di intervento richiesto.
Se durante la fase preliminare alla presa in carico verfichiamo di non disporre di personale preparato al tipo di intervento richiesto, o se l’intervento richiesto è di eccessiva difficoltà, o impossibile, il ticket verrà chiuso senza nessun addebito per il cliente. Il cliente sarà contattato per verificare anche la possibilità di soluzioni alternative.
Nel caso di interventi particolarmente onerosi, di costo totale presumibilmente superiore ad € 250,00+IVA, verrà prodotto al cliente un preventivo che dovrà approvare; in caso di non approvazione, verranno addebitate solo le attività eventualmente effettivamente compiute fino a quel momento, ed entro il sopra citato limite di € 250,00 + IVA

tariffe:
– sistemista junior                          30′             € 27,00 + IVA
– sistemista senior                          30′             € 42,00 + IVA

Diritto fisso di urgenza                    € 27,00 + IVA


INTERVENTI PIANIFICATI IN FASCIA STRAORDINARIA (notturni o festivi)
Si tratta di interventi, pianificati con adeguato anticipo con il cliente, effettuati in fascia notturna o festiva per esigenze proprie del cliente (es: se si tratta di intervenire su un server di produzione, si può decidere di effettuare l’intervento di notte per non causare interruzioni di servizio agli utenti).
Nel caso di interventi particolarmente onerosi, di costo totale presumibilmente superiore ad € 250,00+IVA, verrà prodotto al cliente un preventivo che dovrà approvare; in caso di non approvazione, verranno addebitate solo le attività eventualmente effettivamente compiute fino a quel momento, ed entro il sopra citato limite di € 250,00 + IVA
L’intervento va richiesto attraverso un ticket “assistenza extracontrattuale”, nel quale l’utente deve esporre le proprie esigenze ed indicare le date e gli orari preferiti per l’intervento; verrà successivamente contattato per gli accordi specifici.
Anche se siamo normalmente in grado di gestire queste situazioni con un preavviso minimo di un solo giorno lavorativo, consigliamo tuttavia di pianificarle con adeguato anticipo (minimo una settimana).
L’intervento minimo fatturabile è di due ore; nel caso di interventi di durata maggiore vengono addebitate le singole ore ulteriori (o frazione)

Tariffe:
– sistemista junior                    prime 2h           € 150,00 + IVA
– ogni ora successiva (o frazione)                      € 50,00 + IVA

– sistemista senior                     prime 2h          € 230,00 + IVA
–               ogni ora successiva (o frazione)        € 83,00 + IVA


ASSISTENZA SISTEMISTICA URGENTE IN FASCIA STRAORDINARIA (notturni o festivi)
Si tratta di interventi urgenti ed improvvisi, non pianificati, effettuati in fascia notturna o festiva, determinati ad esempio da un guasto o da un server che è stato violato da un hacker e va rimesso urgentemente in sicurezza.
L’intervento va richiesto attraverso un ticket “assistenza extracontrattuale” urgente, e viene preso in carico entro 1h.
Questo genere di intervento porta sempre all’addebito di un diritto fisso di urgenza.
La tariffazione avviene a consuntivo, su base oraria, in base al tempo effettivo impiegato dal ns. personale a tranche di 30′ o frazioni; il minimo fatturabile è quindi di 30′, e le tranche successive sono 1h, 1h 30′, 2h ecc.

Tariffe:
– diritto fisso di urgenza                                    € 75,00 + IVA
– sistemista junior                           30′              € 39,00 + IVA
– sistemista senior                           30′             € 63,00 + IVA


ASSISTENZA SEMPLICE URGENTE IN FASCIA STRAORDINARIA (notturni o festivi)
Semplici interventi di assistenza, che possano esser eseguiti dal personale tecnico di turno senza coinvolgere sistemisti (es. riavvii), verranno addebitati al prezzo del ticket ordinario (€ 27,00 + IVA ogni mezz’ora o frazione)

Cosa comprende l’opzione di assistenza “global” per i server dedicati?

L’opzione di assistenza “global” comprende tutte le attività presenti nell’opzione “full management”, con in più il supporto alla configurazione dei sistemi e degli applicativi utilizzati dal Cliente.
In fase di startup della soluzione i nostri tecnici saranno a disposizione del Cliente per la pianificazione e la realizzazione della stessa.
L’assistenza viene erogata tramite ticket system in modalità h24, ed in maniera prioritaria.
Comprende inoltre alcuni esclusivi servizi ed accorgimenti, tesi a minimizzare i disservizi in conseguenza di malfunzionamenti, ed è quindi destinato a quei sistemi “mission critical” per i quali è necessaria la massima continuità di servizio.

  • software di backup Idera
    compreso nel prezzo dell’assistenza global vi è una licenza del software di Idera Server Backup
    (è a carico del cliente solo lo spazio di storage necessario)
  • Assistenza al disaster recovery: comprende la reinstallazione completa del sistema operativo e restore completo dei dati e degli applicativi, nonchè assistenza nella riconfigurazione degli applicativi stessi, in conseguenza di crash di sistema o di guasti hardware, in modalità h24 (ovvero: tutte le operazioni di restore verranno eseguite senza interruzione, fino al completo ripristino del sistema, anche in fascia notturna o festiva).
  • Restore (integrale o parziale) di dati su richiesta del cliente
  • manutenzione hardware ordinaria effettuata in fascia morbida – tutte le operazioni di manutenzione hardware ordinarie verranno programmate in accordo con il cliente, in modo da minimizzare il disagio all’utenza (es. in fascia  notturna o in un giorno festivo)
  • Produzione di estratti di log su richiesta del cliente

L'”assistenza global” è applicabile a:

  • server a noleggio;
  • VPS

Di norma, NON è disponibile per server in colocati0n.

L’assistenza “global” viene fornita solo per server con sistema operativo Linux.