Capitolo 11. Ottenere un Certificato per il Secure Server

Questo capitolo vi guiderà attraverso il processo che renderà sicuro il vostro server Web ottenendo ed installando un certificato.

Il Secure server utilizza il protocollo Secure Sockets Layer (SSL) che cifra i dati trasmessi tra i server ed il client. Quando il browser comunica con il protocollo SSL, vedrete il prefisso https: prima dell'indicativo dell'Uniform Resource Locator (URL).

Un secure server è utilizzato per trasmettere dati che devono essere mantenuti segreti.

Un secure server utilizza un certificato per identificarsi presso i browser Web. Potete generare il vostro proprio certificato (chiamato certificato "self-signed") o potete richiederlo al Certificate Authority o CA. Un certificato ottenuto da un organizzazione CA garantisce che il sito Web è associato ad una particolare associazione o azienda.

Se il vostro server verrà utilizzato per l'e-commerce, probabilmente vorrete ottenere un certificato da un CA. Il certificato del CA offre due vantaggi: (di solito) i browser lo riconoscono automaticamente ed il CA garantisce l'identità dell'organizzazione responsabile del sito Web. I certificati Self-signed non vengono automaticamente accettati dai browser — il browser chiede all'utente se vuole accettare il certificato e creare una connessione sicura.

Quando utilizzate un certificato CA-signed, garantite l'identità dell'organizzazione che gestisce il server. Per esempio, se il certificato dice che il sito Web è di Red Hat e l'utente crede al CA, non ci sono motivi per dubitare che i documenti o i programmi che scarichiamo dal sito non siano realmente provenienti da Red Hat.

Il primo passo è creare una chiave pubblica ed una privata. Quindi avrete bisogno di creare una richiesta di certificato (certificate request CSR) per inviarla ad un CA. Questo capitolo fornisce informazioni su come ottenere i certificati da VeriSign (http://www.verisign.com o http://www.verisign.com/offer/redhat/) e da Thawte (http://www.thawte.com), e su come generare il certificato.

NotaNota Bene
 

Potete ottenere certificati da qualunque CA scegliate e non solo dai CA elencati in questo manuale. Comunque VeriSign offre uno sconto sui certificati ai clienti Red Hat. Si veda http://www.verisign.com/offer/redhat per maggiori dettagli su VeriSign.

Quando avete ottenuto il certificato self-signed o da un CA imparerete come installarli sul vostro Red Hat Linux Apache/SSL Server.

Utilizzare la chiave ed il Certificato Pre-esistente

Se avete già una key o un certificato sarete probabilmente in grado di usarli con Red Hat Linux Apache/SSL Server. Nelle seguenti due situazioni, non sarete in grado di utilizzare la vostra key ed il certificato esistenti.

Non potete usare la vostra vecchia chiave ed il certificato se modificate l'indirizzo IP o il nome del dominio. I certificati sottostanno ad un particolare indirizzo IP o ad un dominio. Avrete qundi bisogno di richiedere un nuovo certificato.

VeriSign è il CA più usato. Se avete un certificato VeriSign per un altro scopo, potreste considerare l'utilizzo di questo certificato VeriSign per il vostro nuovo Red Hat Linux Apache/SSL Server. Ma non ve lo consigliamo in quanto VeriSign rilascia certificati per un particolare indirizzo IP e relativo dominio.

Se modificate uno dei parametri (se per esempio usate il certificato per un altro Web server product e adesso volete usare Red Hat Linux Apache/SSL Server), il certificato che avete ottenuto da VeriSign per la precedente configurazione non funzionerà, avrete bisogno di un altro certificato.

Se avete già una key ed un certificato esistenti non dovrete seguire le istruzioni contenute in questo capitolo.

Spostate i file esistenti in:

/etc/httpd/conf/ssl.key/server.key

Spostate i vostri certificati esistenti in:

/etc/httpd/conf/ssl.crt/server.crt

Dopo aver spostato la vostra key ed il certificato, andate a la sezione Provare il vostro Certificato.

Se state aggiornando il Red Hat Secure Web Server versione 1.0 e 2.0 la vostra vecchia chiave (httpsd.key) ed il certificato (httpsd.crt) verranno posizionati in /etc/httpd/conf/. Avrete bisogno di spostarli e rinominarli in modo tale da poter essere usati da Red Hat Linux Apache/SSL Server. Utilizzate i seguenti comandi :

mv /etc/httpd/conf/httpsd.key /etc/httpd/conf/ssl.key/server.key
mv /etc/httpd/conf/httpsd.crt /etc/httpd/conf/ssl.crt/server.crt

Quindi avviate il vostro Red Hat Linux Apache/SSL Server come descritto nella la sezione Avvio e Terminazione di Apache. Non avrete bisogno di richiedere un nuovo certificato se state aggiornando una versione precedente di Red Hat Linux Apache/SSL Server.