Differences between revisions 1 and 11 (spanning 10 versions)
Revision 1 as of 2014-05-18 15:45:21
Size: 662
Editor: localhost
Comment: Creata pagina con 'A proposito di [http://en.wikipedia.org/wiki/Transport_Layer_Security TSL/SSL] (Transport Layer Security (TLS) and its predecessor, Secure Sockets Layer (SSL))... =Cosa serv...'
Revision 11 as of 2016-03-06 15:00:48
Size: 2597
Editor: risca
Comment:
Deletions are marked like this. Additions are marked like this.
Line 7: Line 7:
 1.  un certificato locale
 1.  firma della certification autority
 1. un certificato locale
 1. firma della certification autority
Line 16: Line 16:
{{{#!highlight
openssl req -nodes -newkey rsa:4096 -keyout dominio.it.key -out dominio.it.csr
openssl req -nodes -sha256 -newkey rsa:4096 -keyout private.risca.eu.key -out private.risca.eu.csr \
-subj "/C=US/ST=City/L=City/O=company/OU=SSLServers/CN=localhost/emailAddress="
}}}
Molto importante la corretta compilazione del ''Common Name (e.g. server FQDN or YOUR name) []:'', altrimenti il certificato non sarà riconosciuto dal browser. Riguardo al tipo di algoritmo di criptazione non usare nulla sotto i 2048. Consiglio inoltre di usare sha256 (sha1 è deprecato)

Usiamo il file .csr per la CERTIFICATE REQUEST.

Inviamo la richiesta di certificato (dominio.it.crt) alla nostra CA. Attenzione che con gli standard attuali se l'algoritmo di firma è inferiore al '''sha512''' alcuni browser potrebbero riportare errore<<FootNote(Da firefox 20 in avanti l'algoritmo sha256 è deprecato e non più abilitato, probabilmente tale discorso vale anche su altri browsers)>>. Su CAcert è necessario selezionare l'algoritmo sha512 nelle impostazioni avanzate.

Riavviamo il server web.

Per test:
{{{#!highlight
openssl verify -CAfile root.crt -purpose sslserver dominio.it.crt
openssl x509 -text -in dominio.it.crt
}}}
=== Riferimenti ===
 * [[http://wiki.cacert.org/SimpleApacheCert|guida cacert]]
 * [[http://guide.debianizzati.org/index.php/Apache,_SSL_e_CaCert.Org#Generazione_del_certificato|guida Debianizzati]]

= LetsEncrypt =
Ecco alcuni riferimenti utili:
 * breve [[https://letsencrypt.org/how-it-works/|introduzione al protocollo]].
 * manuale [[https://letsencrypt.readthedocs.org/en/latest/|client ufficiale]]
 * [[https://community.letsencrypt.org/t/list-of-client-implementations/2103|lista clients]]

= Alternative gratuite =
 * [[https://www.startssl.com/?app=1|startssl]]: offre un servizio gratuito ed è riconosciuto da tutti i browser e sistemi operativi.
Line 17: Line 48:
 *  [[http://guide.debianizzati.org/index.php/Apache,_SSL_e_CaCert.Org|Apache, SSL e CaCert - debianizzati.org]]  * [[http://guide.debianizzati.org/index.php/Apache,_SSL_e_CaCert.Org|Apache, SSL e CaCert - debianizzati.org]]

= Note =

A proposito di TSL/SSL (Transport Layer Security (TLS) and its predecessor, Secure Sockets Layer (SSL))...

Cosa serve

  1. un certificato locale
  2. firma della certification autority

CaCert

CaCert è un ente certificatore che si basa sul principio di web of trust. Al momento è supportato di default solo su qualche distribuzione GNU/linux.

Generazione di certificati con CaCert

Ecco come fare in breve:

   1 openssl req -nodes -newkey rsa:4096 -keyout dominio.it.key -out dominio.it.csr
   2 openssl req -nodes -sha256 -newkey rsa:4096 -keyout private.risca.eu.key -out private.risca.eu.csr \
   3 -subj "/C=US/ST=City/L=City/O=company/OU=SSLServers/CN=localhost/emailAddress="

Molto importante la corretta compilazione del Common Name (e.g. server FQDN or YOUR name) []:, altrimenti il certificato non sarà riconosciuto dal browser. Riguardo al tipo di algoritmo di criptazione non usare nulla sotto i 2048. Consiglio inoltre di usare sha256 (sha1 è deprecato)

Usiamo il file .csr per la CERTIFICATE REQUEST.

Inviamo la richiesta di certificato (dominio.it.crt) alla nostra CA. Attenzione che con gli standard attuali se l'algoritmo di firma è inferiore al sha512 alcuni browser potrebbero riportare errore1. Su CAcert è necessario selezionare l'algoritmo sha512 nelle impostazioni avanzate.

Riavviamo il server web.

Per test:

   1 openssl verify -CAfile root.crt -purpose sslserver dominio.it.crt
   2 openssl x509 -text -in dominio.it.crt

Riferimenti

LetsEncrypt

Ecco alcuni riferimenti utili:

Alternative gratuite

  • startssl: offre un servizio gratuito ed è riconosciuto da tutti i browser e sistemi operativi.

Sitografia

Note

  1. Da firefox 20 in avanti l'algoritmo sha256 è deprecato e non più abilitato, probabilmente tale discorso vale anche su altri browsers (1)

MyWiki: Certificati web (last edited 2016-03-06 15:00:48 by risca)