Ri-emissione (reissue) di un certificato SSL GeoTrust True BusinessID SAN

Per riemettere (reissue) un certificato SSL GeoTrust True BusinessID SAN, bisogna innanzitutto generare un nuovo CSR.

Una volta generato il CSR, è necessario collegarsi al sito  https://products.geotrust.com/geocenter/reissuance/reissue.do

1 – Inserire i seguenti dati:

  • il ” fully qualified domain name” (FQDN) o il “common name” (CN) per il quale il certificato è stato emesso
    NOTA: per i certificati SAN specificare il “primary name” (PN) per il quale è stato emesso il certificato; non è possibile indicare i “Subject Alternate Names” (SAN) per identificare il certificato
  • l’indirizzo email usato per la validazione del certificato

Completare indicando il captcha e cliccare su “continue”

Reissuewithmultidomain1[1]

2 – Selezionare “Request Access” selezionando il relativo order ID

3 – a questo punto verrà inviato un email all’indirizzo email sopra specificato; sarà necessario cliccare sul link presente nell’email per poter accedere allo User Portal

4 – nella colonna a sinistra, cliccare su “Reissue Certificate”

Reissuemultidomain2[1]

5 – selezionare la funzione prescelta, scegliendo fra:

  • Reissue without changing the values of the Additional Domains (riemissione senza nessuna modifica ai SAN)
  • Edit & Add Additional Domains (riemissione modificando o aggiungendo i SAN)
  • Edit & Delete Additional Domains (riemissione modificando o cancellando i SAN)

[box]NOTA: se il numero di licenze SAN non fosse sufficiente, e fosse necessario aggiungerne delle ulteriori, prima della procedura contattare il nostro ufficio commerciale.[/box]

Reissuewithmultidomaincertificate[1]

 

6 – fornire il nuovo CSR e specificare ogni eventuale modifica ai SAN associati al certificato

8 – dopo la validazione ed approvazione di GeoTrust, il nuovo certificato verrà inviato per email all’indirizzo precedentemente indicato

 

 

Browser compatibili con certificati SSL GeoTrust

Web Browsers

Google Chrome
Microsoft IE 5.01+
Netscape Communicator 4.51+
Mozilla Firefox 1.0+
Mozilla Suite 1.0+
AOL 5+
Opera 7+
Apple Safari 1.0+
Red Hat Linux Konqueror
Sony Playstation
Microsoft WebTV

Email Clients (S/Mime)

Microsoft Outlook 99+
Netscape Communicator 4.51+
Mozilla Thunderbird 1.0+
Qualcomm Eudora 6.2+
Lotus Notes
Mulberry EMail 3.1.6+

Micro Browsers / Mobile Devices / Smartphone

(nota: i certificati wildcard spesso non sono totalmente supportati da device mobili)

Android***
Apple iPhone 2.0+
Windows Mobile 5 and 6**
Blackberry 4.0+
Netfront 3.0+
Opera 7.0+
Palm / Handspring Blazer 2.0+
Microsoft Windows CE 2003
Microsoft Internet Explorer Pocket PC 2003
Microsoft Internet Explorer Smartphone 2003
AT&T
Sony Playstation Portable
Sony Netjuke audio
Brew
Openwave
NTT Do Co Mo
Vodaphone

** I certificati wildcard possono essere utilizzati solo con Windows Mobile 6

*** Android v. 2.2 e precedenti possono richiedere un intermediate certificate cross root.

Come si genera un CSR su Microsoft IIS7

Da “Start“, selezionare “Administrative Tools” e poi selezionare “Internet Information Services (IIS) Manager“.
Sul Connections panel a sinistra, cliccare sul server per il quale si vuole generare il CSR

Sul pannello centrale, fare doppio clic su “Server Certificates

Sul pannello “actions” a destra, cliccare su “Create Certificate Request

Inserire i seguenti campi e poi cliccare su “next“:

[box type=”warning”]I seguenti caratteri non sono ammessi:  < > ~ ! @ # $ % ^ * / \ ( ) ? &[/box]

  • Common Name
    E’ l’host + nome di dominio. Dovrebbe essere qualcosa del tipo “www.company.com” o “company.com“.
    Nel caso di certificati wildcard, la sintassi è del tipo *.company.com
    E’ necessario che il server impieghi il medesimo common name specificato durante la registrazione del certificato. Ad esempio, un certificato per il dominio “domain.com“, segnalerà un errore se si tenta l’accesso a un sito denominato “secure.domain.com“, perché “secure.domain.com” è diverso da “domain.com“.
  • Organization
    Se la vostra azienda o il reparto ha nel proprio nome un &, @, o un qualsiasi altro carattere speciale, è necessario sostituire o omettere il simbolo.
    Esempio: XY & Z Corporation va indicata come XYZ Corporation oppure XY e Z Corporation.
  • Organizational Unit
    Campo facoltativo, che può essere utilizzato per identificare i certificati registrati a un’organizzazione. Il campo Unità organizzativa (OU) è il nome del reparto o unità organizzativa che effettua la richiesta.
  • City/Locality
    Scrivere il nome della località per esteso, senza abbreviazioni
  • State or Province
    Scrivere lo stato o la provincia per esteso, senza abbreviazioni
  • Country Name
    Utilizzare il codice di due lettere senza punteggiatura per la nazione, per esempio: IT o DE
  • Bit length
    selezionare 2048 o superiore

 

 

Cosa è il “site seal” e come installarlo

Una volta installato un certificato SSL sul proprio sito, è opportuno rendere evidente ai propri utenti che si utilizza un certificato per rendere i propri servizi più sicuri ed affidabili.

Chi installa un certificato RapidSSL oppure GeoTrust è autorizzato quindi ad esporre a piacimento sul proprio sito il relativo “site seal”.

Come installare il “Site Seal” RapidSSL

RapidSSL_SEAL-90x50[1]

  1. cliccare con il tasto destro sulla immagine sovrastante
  2. scegliere “salva immagine con nome…”
  3. inserire l’immagine all’interno delle pagine sicure del proprio sito

 

Come installare il “True Site Seal” GeoTrust True BusinessID

geotrustsiteseal[1]

Il “True BusinessID True Site Seal” Geotrust non è una semplice immagine, ma un “sigillo dinamico” che  può fornire al visitatore diverse informazioni sul sito ed il titolare dello stesso, ricavandole dagli archivi della Authority.

Per installare il “True BusinessID True Site Seal” Geotrust, inserire le seguenti righe di codice in ogni pagina in cui si desideri far apparire il True Site Seal

<!-- GeoTrust True Site [tm] Smart Icon tag. Do not edit. -->
<SCRIPT LANGUAGE="JavaScript" TYPE="text/javascript" 
SRC="//smarticon.geotrust.com/si.js"></SCRIPT>
<!-- end GeoTrust Smart Icon tag -->

 

Su quali server web/email è possibile installare un certificato SSL?

E’ possibile installare certificati SSL sulla maggior parte dei server, Windows oppure Linux, che utilizzino i seguenti software:

Web server:

  • Apache / Apache2 / ApacheSSL / ModSSL / OpenSSL / SSLEAY
  • Apache + Raven
  • C2Net Stronghold
  • Cobalt Series
  • cPanel / WHM
  • Ensim
  • HSPHERE
  • Helm
  • IBM HTTP
  • IBM Domino Go 4.6.2.6+
  • iPlanet Enterprise Server 4.1
  • Jakarta -Tomcat
  • Lotus Domino 4.6 – 5.x
  • Microsoft Internet Information Server (IIS) 4.x
  • Microsoft Internet Information Server (IIS) 5.x & 6.x
  • Netscape Enterprise 3.51
  • O’Reilly WebSite Professional 2.x
  • Deerfield (O’Reilly) Website Professional 3.x
  • Plesk
  • WebSTAR 4.x – 5.x
  • Zeus Web Server v3

Email server:

  • Exchange / Outlook Web Access (OWA)
  • CPPop (cPanel mail server) and other stunnel based mail servers
  • Postfix
  • Courier IMAP

Come acquistare un certificato SSL su DomainRegister.it

product-img-rapidssl1[1]icon-symantec1[1]icon-geot1[1] icon-thawte1[1] icon-comodo1[1]

Attraverso DomainRegister.it è possibile l’acquisto di certificati SSL da utilizzare:

  • su un proprio server virtuale (VPS Cronus), con qualsiasi livello di assistenza (“basic”, “managed” o “global”)
  • su server dedicati, con qualsiasi livello di assistenza
  • su server in colocation, oppure su propri server (fisici e virtuali), gestiti in proprio oppure da altro provider
  • su servizi di hosting shared “Hosting Pro”

In tutti i casi, se necessario, DomainRegister.it può fornire un servizio opzionale di assistenza e consulenza per la scelta e l’installazione del certificato SSL.

La gamma dei certificati SSL normalmente forniti (e che soddisfano la quasi totalità delle esigenze) è disponibile alla seguente pagina: http://domainregister.it/listino/listino-certificati-ssl/
Possiamo tuttavia fornire tutti i tipi di certificati SSL dei seguenti produttori: Symantec, GeoTrust, Thawte, Comodo.

Per ogni informazione necessaria o per procedere con l’ordine di acquisto, consigliamo di aprire un ticket di assistenza oppure – se non ancora nostra clienti – di contattarci.

Una volta individuato – eventualmente con la nostra consulenza – il certificato SSL più adatto, sarà possibile procedere all’acquisto ed alla successiva attivazione dello stesso.

 

 

Come si rinnova un certificato SSL?

Il processo di rinnovo di un certificato SSL è simile a quello dell’acquisto di un nuovo certificato.

Sarà quindi necessario creare un nuovo CSR e procedere alle successive fasi di registrazione e verifica.

Nel caso si tratti di certificati con procedure estese di verifica (es. EV), sarà necessario anche procedere nuovamente alla produzione di tutta la documentazione amministrativa eventualmente necessaria.

Un certificato SSL (GeoTrust, Symantec oppure RapidSSL) acquistato da un altro fornitore è in scadenza: è possibile rinnovarlo con DomainRegister.it?

Si, certamente: un certificato acquistato da un altro fornitore, prima della scadenza può essere rinnovato acquistando il servizio da DomainRegister.it anziché dal fornitore precedente.
Non solo: in tale occasioneè poissibile anche scegliere di cambiare tipo di certificato, per adottarne uno che meglio si adatta alle proprie esigenze.

[box type=”info”] Data l’onerosità della procedura di rinnovo di un certificato SSL, si consiglia di attivarlo (o rinnovarlo) direttamente per un periodo superiore ad un anno (la maggior parte dei certificati possono esser registrati o rinnovati per un periodo fino a quattro anni)[/box]

Come attivare un certificato SSL sul proprio server

[box type=”warning”] Questa guida si applica a certificati SSL GeoTrust e RapidSSL; per altri certificati la procedura potrebbe differire in alcuni passaggi.[/box]

 

Cosa è necessario per attivare un certificato SSL sul proprio server?

Per attivare un certificato SSL è necessario:

  • un server abilitato alla gestione di servizi SSL
  • poter accedere e gestire le funzioni di configurazione dei servizi SSL del proprio server
  • un CSR (Certificate Signing Request)
  • acquistare un certificato SSL rilasciato da un’autorità riconosciuta (es. Geotrust o RapidSSL)

Perché durante l’attivazione risulta che il mio CSR non è valido?

I motivi per cui un CSR non risulta valido possono essere diversi.
Durante la creazione di un CSR, vengono richiesti diversi parametri e dati, e non averli specificati con correttezza e precisione può essere fonte di diversi errori.
In caso di errore, si consiglia di:

  1. verificare il campo “common name”
    E’ possibile che invece di un “common name” sia stato specificato un indirizzo IP (es. “92.60.66.120“) oppure un server name (es. “mywebserver“) invece di un “Fully Qualified Domain Name” (quale ad esempio www.miodominio.com o miodominio.com)
    Per registrare un certificato SSL, è necessario specificare come “common name” un “Fully Qualified Domain Name”
    [box type=”warning”] Verificare di non aver inserito nel “common name” caratteri non ammessi![/box]
    I caratteri non ammessi sono i seguenti:
    [! @ # $ % ^ ( ) ~ ? > < & / \ , . ” ‘]
  2. verificare il campo “country”
  3.  verificare di aver inserito correttamente il CSR nel modulo di registrazione; in particolare, verificare di aver inserito l’header ed il footer del CSR.
    L’header ed il footer del CSR sono del seguente tipo:

     ----BEGIN CERTIFICATE REQUEST-----
    encoded data
    -----END CERTIFICATE REQUEST------

    Verificare che ci siano cinque trattini (“-“) all’inizio ed alla fine delle due righe “BEGIN” ed “END”
    Verificare che non ci siano spazi all’inizio.

 

E’ possibile cambiare il CSR durante la registrazione di un certificato SSL?

Si, è possibile cambiare o correggere il CSR durante la registrazione di un certificato SSL.
Alla fine del processo di registrazione verrà richiesto di confermare tutti i dati forniti durante il processo. Solo dopo che sarà stata data questa conferma, non sarà più possibile correggere i dettagli del CSR.
Una volta che il certificato SSL è stato rilasciato, non sarà più possibile cambiare il “common name” dello stesso.

[box type=”warning”]Una volta che il certificato SSL è stato rilasciato, non sarà più possibile cambiare il “common name” dello stesso.[/box]

Cosa è il processo di verifica?

Successivamente alla registrazione di un certificato, prima dell’attivazione l’Authority (RapidSSL o GeoTrust) procederà ad una verifica dell’intestatario del certificato.
Questa verifica prevede al minimo l’invio di una email al Registrante del dominio, che dovrà rispondere alla stessa per confermare i dati e la genuinità della richiesta di certificato.
In alternativa all’indirizzo email del registrante (o quando questo non sia accessibile da un whois pubblico), è possibile indicare in fase di registrazione uno qualsiasi dei seguenti indirizzi email:

admin@miodominio.com
administrator@miodominio.com
webmaster@miodominio.com
hostmaster@miodominio.com
root@miodominio.com
ssladmin@miodominio.com

Per alcuni tipi di certificato (es. GeoTrust EV) è prevista anche una verifica telefonica.

In tutti i casi, è possibile che venga richiesto l’invio di documenti ufficiali che attestino p.es. lo stato di un’azienda o la effettiva titolarità di un dominio

Come si genera un CSR su APACHE SSL

 

[box type=”warning”] Questa guida si applica a certificati GeoTrust e RapidSSL; per altri certificati la procedura potrebbe differire in alcuni passaggi.[/box]

 

Per generare un CSR (CERTIFICATE SIGNING REQUEST) , è necessario creare una coppia di chiavi per il server, ovvero due chiavi digitali di certificato (una chiave “pubblica” e l’altra “privata”) che non possono essere separate.

Se si smarrisce il file di una delle due chiavi (pubblica oppure privata) o la relativa password e se ne generano di nuove, non corrisponderanno più al certificato SSL che dovrà quindi esser sostituito.

Passo 1: Generazione di una coppia di chiavi

Per generare la chiave e il CSR si usa la utility OpenSSL.
Questa utility viene fornita con il pacchetto OpenSSL e di solito è installata in /usr/local/ssl /bin.
Se è stato installato in altra directory, è necessario modificare in modo appropriato le successive istruzioni.

Digitare il seguente comando al prompt per una chiave non crittografata:

openssl genrsa -out www.yourdomain-example.com.key 2048

Per un uso con chiave crittografata utilizzare invece il seguente comando:

openssl genrsa -des3 -out www.yourdomain-example.com.key 2048

  SSL1

Questo comando genera un chiave privata RSA a 2048 bit e la memorizza nel file www.yourdomain-example.com.key.
Quando viene richiesta la pass phrase: immettere una password sicura e memorizzarla in modo efficace ed affidabile, in quanto questa password costituisce la protezione della chiave privata.
Sia la chiave privata che il certificato sono necessari per abilitare SSL.

[box type=”warning”] la versione Windows di OpenSSL non è compatibile con chiavi crittografate e quindi in questo caso non può esser utilizzata[/box]

[box type=”info”] Per bypassare il requisito di passphrase, omettere l’opzione -des3 durante la generazione della chiave privata.[/box]

[box type=”warning”]Se si lascia la chiave privata non protetta, si raccomanda che l’accesso al server sia protetto e limitato (anche fisicamente), in modo che solo gli amministratori autorizzati possano accedere o leggere il file della chiave privata.[/box]

Passo 2: Generazione del CSR

Al prompt, digitare il seguente comando:

openssl req -new -key www.yourdomain-example.com.key -out www.yourdomain-example.com.csr

SSL2
Questo comando richiederà per il certificato i seguenti attributi X.509:
SSL3

  • Country Name
    Utilizzare il codice di due lettere senza punteggiatura per la nazione, per esempio: IT o DE
  • State or Province
    Scrivere lo stato o la provincia per esteso, senza abbreviazioni
  • Locality or City
    Scrivere il nome della località per esteso, senza abbreviazioni
  • Company
    Se la vostra azienda o il reparto ha nel proprio nome un &, @, o un qualsiasi altro carattere speciale, è necessario sostituire o omettere il simbolo.
    Esempio: XY & Z Corporation va indicata come XYZ Corporation oppure XY e Z Corporation.
  • Organizational Unit
    Campo facoltativo, che può essere utilizzato per identificare i certificati registrati a un’organizzazione. Il campo Unità organizzativa (OU) è il nome del reparto o unità organizzativa che effettua la richiesta.
  • Common Name
    E’ l’host + nome di dominio. Dovrebbe essere qualcosa del tipo “www.company.com” o “company.com“.
    Nel caso di certificati wildcard, la sintassi è del tipo *.company.com

E’ necessario che il server impieghi il medesimo common name specificato durante la registrazione del certificato. Ad esempio, un certificato per il dominio “domain.com“, segnalerà un errore se si tenta l’accesso a un sito denominato “secure.domain.com“, perché “secure.domain.com” è diverso da “domain.com“.

[box type=”warning”]Durante la generazione del CSR si consiglia di non inserire i seguenti “attributi extra”:

  • il proprio indirizzo e-mail
  • challenge password
  • nome di società[/box]

A questo punto è stata creata la coppia di chiavi privata/pubblica.

La chiave privata (www.yourdomain-example.com.key) viene memorizzata in locale sulla macchina server e viene utilizzata per la decrittazione.

La chiave pubblica, nella forma di un Certificate Signing Request (certrequest.csr), servirà per l’attivazione del certificato.

[box type=”warning”] Per effettuare il copia/incolla del CSR nel modulo di attivazione, aprire il file con un semplice editor di testo come Notepad, oppure salvarlo come file txt.
Non utilizzare Microsoft Word, che potrebbe inserire caratteri nascosti che altererebbero il contenuto del CSR.[/box]

Una volta che il CSR è stato creato, procedere all’attivazione del certificato SSL, utilizzando il CSR appena generato.

Passo 3: Eseguire il backup della chiave privata

Si consiglia di eseguire il backup del file .key e la memorizzazione della corrispondente password.
Una buona scelta è quella di creare una copia di questo file su un dischetto o altro supporto rimovibile.

[box type=”info”]Effettuare il backup della chiave privata non è strettamente indispensabile, ma potrebbe essere utile nel caso di guasto del server.[/box]