Come si genera un CSR su APACHE SSL

 

[box type=”warning”] Questa guida si applica a certificati GeoTrust e RapidSSL; per altri certificati la procedura potrebbe differire in alcuni passaggi.[/box]

 

Per generare un CSR (CERTIFICATE SIGNING REQUEST) , è necessario creare una coppia di chiavi per il server, ovvero due chiavi digitali di certificato (una chiave “pubblica” e l’altra “privata”) che non possono essere separate.

Se si smarrisce il file di una delle due chiavi (pubblica oppure privata) o la relativa password e se ne generano di nuove, non corrisponderanno più al certificato SSL che dovrà quindi esser sostituito.

Passo 1: Generazione di una coppia di chiavi

Per generare la chiave e il CSR si usa la utility OpenSSL.
Questa utility viene fornita con il pacchetto OpenSSL e di solito è installata in /usr/local/ssl /bin.
Se è stato installato in altra directory, è necessario modificare in modo appropriato le successive istruzioni.

Digitare il seguente comando al prompt per una chiave non crittografata:

openssl genrsa -out www.yourdomain-example.com.key 2048

Per un uso con chiave crittografata utilizzare invece il seguente comando:

openssl genrsa -des3 -out www.yourdomain-example.com.key 2048

  SSL1

Questo comando genera un chiave privata RSA a 2048 bit e la memorizza nel file www.yourdomain-example.com.key.
Quando viene richiesta la pass phrase: immettere una password sicura e memorizzarla in modo efficace ed affidabile, in quanto questa password costituisce la protezione della chiave privata.
Sia la chiave privata che il certificato sono necessari per abilitare SSL.

[box type=”warning”] la versione Windows di OpenSSL non è compatibile con chiavi crittografate e quindi in questo caso non può esser utilizzata[/box]

[box type=”info”] Per bypassare il requisito di passphrase, omettere l’opzione -des3 durante la generazione della chiave privata.[/box]

[box type=”warning”]Se si lascia la chiave privata non protetta, si raccomanda che l’accesso al server sia protetto e limitato (anche fisicamente), in modo che solo gli amministratori autorizzati possano accedere o leggere il file della chiave privata.[/box]

Passo 2: Generazione del CSR

Al prompt, digitare il seguente comando:

openssl req -new -key www.yourdomain-example.com.key -out www.yourdomain-example.com.csr

SSL2
Questo comando richiederà per il certificato i seguenti attributi X.509:
SSL3

  • Country Name
    Utilizzare il codice di due lettere senza punteggiatura per la nazione, per esempio: IT o DE
  • State or Province
    Scrivere lo stato o la provincia per esteso, senza abbreviazioni
  • Locality or City
    Scrivere il nome della località per esteso, senza abbreviazioni
  • Company
    Se la vostra azienda o il reparto ha nel proprio nome un &, @, o un qualsiasi altro carattere speciale, è necessario sostituire o omettere il simbolo.
    Esempio: XY & Z Corporation va indicata come XYZ Corporation oppure XY e Z Corporation.
  • Organizational Unit
    Campo facoltativo, che può essere utilizzato per identificare i certificati registrati a un’organizzazione. Il campo Unità organizzativa (OU) è il nome del reparto o unità organizzativa che effettua la richiesta.
  • Common Name
    E’ l’host + nome di dominio. Dovrebbe essere qualcosa del tipo “www.company.com” o “company.com“.
    Nel caso di certificati wildcard, la sintassi è del tipo *.company.com

E’ necessario che il server impieghi il medesimo common name specificato durante la registrazione del certificato. Ad esempio, un certificato per il dominio “domain.com“, segnalerà un errore se si tenta l’accesso a un sito denominato “secure.domain.com“, perché “secure.domain.com” è diverso da “domain.com“.

[box type=”warning”]Durante la generazione del CSR si consiglia di non inserire i seguenti “attributi extra”:

  • il proprio indirizzo e-mail
  • challenge password
  • nome di società[/box]

A questo punto è stata creata la coppia di chiavi privata/pubblica.

La chiave privata (www.yourdomain-example.com.key) viene memorizzata in locale sulla macchina server e viene utilizzata per la decrittazione.

La chiave pubblica, nella forma di un Certificate Signing Request (certrequest.csr), servirà per l’attivazione del certificato.

[box type=”warning”] Per effettuare il copia/incolla del CSR nel modulo di attivazione, aprire il file con un semplice editor di testo come Notepad, oppure salvarlo come file txt.
Non utilizzare Microsoft Word, che potrebbe inserire caratteri nascosti che altererebbero il contenuto del CSR.[/box]

Una volta che il CSR è stato creato, procedere all’attivazione del certificato SSL, utilizzando il CSR appena generato.

Passo 3: Eseguire il backup della chiave privata

Si consiglia di eseguire il backup del file .key e la memorizzazione della corrispondente password.
Una buona scelta è quella di creare una copia di questo file su un dischetto o altro supporto rimovibile.

[box type=”info”]Effettuare il backup della chiave privata non è strettamente indispensabile, ma potrebbe essere utile nel caso di guasto del server.[/box]