Ciao a tutti, ho necessità di generare sul mio server web un "Certificate Signing Request - CSR", per rinnovare il nostro certificato di sicurezza.
Purtroppo non ho nessunissima idea su come procedere... :mc: :muro: :cry:
Qualcuno puó darmi un suggerimento sulla strada da seguire? Si tratta di un server Linux.
Per farmi capire meglio (so di essermi spiegato come un libro strappato) aggiungo la pagina delle informazioni preliminari di Luxtrust per il rinnovo del certificato:
https://www.luxtrust.lu/fr/commande/ssl
Grazie a tutti per la disponibilità!!!
Buona giornata!!
Guallio
Grazie a tutti per il non aiuto!!! :D
mi rispondo da solo.....
questo articolo è tratto dal blog di Alessio Cecchi - alessice
Blog a carattere tecnico gestito da Alessio Cecchi, sistemista in ambiente Unix e Linux da quasi 10
anni.
Certificati SSL e generazione del CSR con openssl
Per lavoro mi trovo spesso ad acquistare Certificati SSL per i miei server o per conto dei miei
clienti. L’acquisto di un certificato SSL è diventato ormai molto economico (a patto di acquistarne
uno che prevede la sola validazione on‐line come quelli di RapidSSL (http://www.rapidssl.com))
ma la procedura on‐line che spesso i siti di vendita richiedono può essere un po complessa nel
momento in cui ci è richiesto di fornire un CSR ovvero un Certificate Signing Request.
Cosa è esattamente un CSR?
Da Wikipedia: http://en.wikipedia.org/wiki/Certificate_signing_request (http://en.wikipedia.org
/wiki/Certificate_signing_request) , si tratta in sostanza di un file di testo generato da openssl
(http://www.openssl.org), almeno in ambito Linux/Unix, contenente le informazioni che la CA
(Certification Authority, ovvero colei che ci rilascerà il nostro certificato) necessità di sapere per
associare l’identità del certificato digitale al suo richiedente.
La generazione di un CSR comprende anche la generazione di una chiave privata che non sarà
inclusa nel CSR stesso ma servirà solo a “firmare” la nostra richiesta di certificato. Questa chiave
andrà poi conservata con molta cura e segretezza e sarà necessaria in fase di configurazione del
nostro server (sia esso Apache, IIS, qmail, postfix o altro).
Ma vediamo adesso come generare un CSR con Linux/Unix.
E’ richiesto di avere installato il software openssl sul nostro PC/Server quindi:
per sistemi Debian/Ubuntu: # aptitute install openssl
per sistemi RedHat/CentOS/Fedora: # yum install openssl
una volta installato openssl procediamo alla vera e propria generazione del CSR, anzitutto
creiamoci una directory di lavoro nella nostra home (non è necessario ed anzi è sconsigliato
lavorare come utente root per svolgere queste operazioni):
Come si genera un CSR (Certificate Signing Request) « Blog di Alessio... http://alessice.wordpress.com/2008/10/28/come-si-genera-un-csr-certif...
1 sur 4 22/06/2012 17:04
$ mkdir ~/test‐csr
$ cd test‐csr/
Vediamo adesso quali saranno i dati che openssl ci chiederà per generare il nostro CSR:
Common Name: l’hostname a cui dovrà appoggiarsi il certificato (esempio
www.cecchi.biz o *.cecchi.biz nel caso di certificato wildcard)
Organization: Il nome dell’organizzazione o dell’azienda (Cecchi Business
Solutions)
Organization Unit: L’unità organizzativa dell’azienda (Area CED cecchi.biz)
City or Locality: La città dove l’organizzazione ha sede (esempio Prato)
State or Province: Lo stato o la provincia dove ha sede l’organizzazione
(esempio Prato)
Country: Il paese dove ha sede l’organizzazione (esempio IT)
impostiamo, ma solo per comodità, una variabile che contiene il Common Name del nostro
certificato, supponiamo di generarne uno per www.cecchi.biz
$ export CommonName=www.cecchi.biz
$ echo $CommonName
www.cecchi.biz
Ok, la variabile è impostata correttamente se dopo echo esce il nome che del nostro CN,
procediamo con la generazione della nostra chiave pubblica:
$ openssl genrsa ‐out $CommonName.key 1024
Generating RSA private key, 1024 bit long modulus
…..++++++
………………….++++++
e is 65537 (0×10001)
$ ls
www.cecchi.biz.key
la nostra chiave privata apparirà piò o meno così:
$ cat www.cecchi.biz.key
—–BEGIN RSA PRIVATE KEY—–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Come si genera un CSR (Certificate Signing Request) « Blog di Alessio... http://alessice.wordpress.com/2008/10/28/come-si-genera-un-csr-certif...
2 sur 4 22/06/2012 17:04
—–END RSA PRIVATE KEY—–
Passiamo ora alla vera e propria generazione del CSR:
$ openssl req ‐new ‐key $CommonName.key ‐out $CommonName.csr
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter ‘.’, the field will be left blank.
—–
Country Name (2 letter code) [AU]:IT
State or Province Name (full name) [Some‐State]:Prato
Locality Name (eg, city) []:Prato
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Cecchi Business Solutions
Organizational Unit Name (eg, section) []:Area CED cecchi.biz
Common Name (eg, YOUR name) []:www.cecchi.biz
Email Address []:sslcert@cecchi.biz INUTILE CHE MI MANDATE SPAM, NON ESISTE
QUESTA CASELLA
Please enter the following ‘extra’ attributes
to be sent with your certificate request
A challenge password []: LASCIARE VUOTO
An optional company name []: LASCIARE VUOTO
$ ls
www.cecchi.biz.csr www.cecchi.biz.key
Perfetto, il nostro CSR è generato ed è pronto per essere inviato alla nostra CA o meglio al nostro
rivenditore di certificati SSL!
Se avete ancora difficoltà nella generazione di un CSR oppure volete maggiore supporto tecnico e
consulenza per l’acquisto di un certificato SSL il mio consiglio è quello di rivolgersi a dei
professionisti del mestiere per l’acquisto di un Certificato SSL con generazione CSR ed
installazione compresa. (http://www.cecchi.biz/prodotti/certificati_ssl.html)
This entry was posted on ottobre 28, 2008 at 7:39 pm and is filed under Gestione Server. Segui i
commenti a questo post con il feed RSS 2.0. Puoi lasciare una risposta, o mandare un trackback
dal tuo sito.
Alessio Cecchi Dice:
settembre 1, 2009 alle 9:05 am | Replica
Aggiungo una nota, per veirifcare il contentuto del file CSR appena generato:
openssl req ‐text ‐noout ‐in $CommonName.csr
1.
Come si genera un CSR (Certificate Signing Request) « Blog di Alessio... http://alessice.wordpress.com/2008/10/28/come-si-genera-un-csr-certif...
3 sur 4 22/06/2012 17:04
Ciao
Tema: Kubrick. Blog su WordPress.com.
Articoli (RSS) e Commenti (RSS).
Come si genera un CSR (Certificate Signing Request) « Blog di Alessio... http://alessice.wordpress.com/2008/10/28/come-si-genera-un-csr-certif...
4 sur 4 22/06/2012 17:04
vBulletin® v3.6.4, Copyright ©2000-2025, Jelsoft Enterprises Ltd.