Come si genera un CSR su Microsoft IIS7

Da “Start“, selezionare “Administrative Tools” e poi selezionare “Internet Information Services (IIS) Manager“.
Sul Connections panel a sinistra, cliccare sul server per il quale si vuole generare il CSR

Sul pannello centrale, fare doppio clic su “Server Certificates

Sul pannello “actions” a destra, cliccare su “Create Certificate Request

Inserire i seguenti campi e poi cliccare su “next“:

[box type=”warning”]I seguenti caratteri non sono ammessi:  < > ~ ! @ # $ % ^ * / \ ( ) ? &[/box]

  • Common Name
    E’ l’host + nome di dominio. Dovrebbe essere qualcosa del tipo “www.company.com” o “company.com“.
    Nel caso di certificati wildcard, la sintassi è del tipo *.company.com
    E’ necessario che il server impieghi il medesimo common name specificato durante la registrazione del certificato. Ad esempio, un certificato per il dominio “domain.com“, segnalerà un errore se si tenta l’accesso a un sito denominato “secure.domain.com“, perché “secure.domain.com” è diverso da “domain.com“.
  • Organization
    Se la vostra azienda o il reparto ha nel proprio nome un &, @, o un qualsiasi altro carattere speciale, è necessario sostituire o omettere il simbolo.
    Esempio: XY & Z Corporation va indicata come XYZ Corporation oppure XY e Z Corporation.
  • Organizational Unit
    Campo facoltativo, che può essere utilizzato per identificare i certificati registrati a un’organizzazione. Il campo Unità organizzativa (OU) è il nome del reparto o unità organizzativa che effettua la richiesta.
  • City/Locality
    Scrivere il nome della località per esteso, senza abbreviazioni
  • State or Province
    Scrivere lo stato o la provincia per esteso, senza abbreviazioni
  • Country Name
    Utilizzare il codice di due lettere senza punteggiatura per la nazione, per esempio: IT o DE
  • Bit length
    selezionare 2048 o superiore

 

 

Come attivare un certificato SSL sul proprio server

[box type=”warning”] Questa guida si applica a certificati SSL GeoTrust e RapidSSL; per altri certificati la procedura potrebbe differire in alcuni passaggi.[/box]

 

Cosa è necessario per attivare un certificato SSL sul proprio server?

Per attivare un certificato SSL è necessario:

  • un server abilitato alla gestione di servizi SSL
  • poter accedere e gestire le funzioni di configurazione dei servizi SSL del proprio server
  • un CSR (Certificate Signing Request)
  • acquistare un certificato SSL rilasciato da un’autorità riconosciuta (es. Geotrust o RapidSSL)

Perché durante l’attivazione risulta che il mio CSR non è valido?

I motivi per cui un CSR non risulta valido possono essere diversi.
Durante la creazione di un CSR, vengono richiesti diversi parametri e dati, e non averli specificati con correttezza e precisione può essere fonte di diversi errori.
In caso di errore, si consiglia di:

  1. verificare il campo “common name”
    E’ possibile che invece di un “common name” sia stato specificato un indirizzo IP (es. “92.60.66.120“) oppure un server name (es. “mywebserver“) invece di un “Fully Qualified Domain Name” (quale ad esempio www.miodominio.com o miodominio.com)
    Per registrare un certificato SSL, è necessario specificare come “common name” un “Fully Qualified Domain Name”
    [box type=”warning”] Verificare di non aver inserito nel “common name” caratteri non ammessi![/box]
    I caratteri non ammessi sono i seguenti:
    [! @ # $ % ^ ( ) ~ ? > < & / \ , . ” ‘]
  2. verificare il campo “country”
  3.  verificare di aver inserito correttamente il CSR nel modulo di registrazione; in particolare, verificare di aver inserito l’header ed il footer del CSR.
    L’header ed il footer del CSR sono del seguente tipo:

     ----BEGIN CERTIFICATE REQUEST-----
    encoded data
    -----END CERTIFICATE REQUEST------

    Verificare che ci siano cinque trattini (“-“) all’inizio ed alla fine delle due righe “BEGIN” ed “END”
    Verificare che non ci siano spazi all’inizio.

 

E’ possibile cambiare il CSR durante la registrazione di un certificato SSL?

Si, è possibile cambiare o correggere il CSR durante la registrazione di un certificato SSL.
Alla fine del processo di registrazione verrà richiesto di confermare tutti i dati forniti durante il processo. Solo dopo che sarà stata data questa conferma, non sarà più possibile correggere i dettagli del CSR.
Una volta che il certificato SSL è stato rilasciato, non sarà più possibile cambiare il “common name” dello stesso.

[box type=”warning”]Una volta che il certificato SSL è stato rilasciato, non sarà più possibile cambiare il “common name” dello stesso.[/box]

Cosa è il processo di verifica?

Successivamente alla registrazione di un certificato, prima dell’attivazione l’Authority (RapidSSL o GeoTrust) procederà ad una verifica dell’intestatario del certificato.
Questa verifica prevede al minimo l’invio di una email al Registrante del dominio, che dovrà rispondere alla stessa per confermare i dati e la genuinità della richiesta di certificato.
In alternativa all’indirizzo email del registrante (o quando questo non sia accessibile da un whois pubblico), è possibile indicare in fase di registrazione uno qualsiasi dei seguenti indirizzi email:

admin@miodominio.com
administrator@miodominio.com
webmaster@miodominio.com
hostmaster@miodominio.com
root@miodominio.com
ssladmin@miodominio.com

Per alcuni tipi di certificato (es. GeoTrust EV) è prevista anche una verifica telefonica.

In tutti i casi, è possibile che venga richiesto l’invio di documenti ufficiali che attestino p.es. lo stato di un’azienda o la effettiva titolarità di un dominio