Utilizzo di certificati SSL Startcom in Debian: Difference between revisions

From RVM Wiki
Jump to navigation Jump to search
Newer edit →
VisualWikitext
m Created page with "==Iscrizione== * [https://www.startssl.com/id.ssl StartSSL™ Certificates & Public Key Infrastructure] offre gratuitamente dei certificati SSL utilizzabili sia per la firma di e…"
 
mNo edit summary
Line 120: Line 120:


==Riferimenti==
==Riferimenti==
*[http://webcache.googleusercontent.com/search?q=cache:qNZ6i4M7PhgJ:forum.startcom.org/viewtopic.php%3Ft%3D80+&cd=2&hl=it&ct=clnk&gl=it&client=ubuntu StartCom • View topic - SSL Certs and Postfix/SASL/TLS]

Revision as of 16:19, 27 November 2012

Iscrizione

  • Iscriversi nell'Express Lane con il proprio indirizzo email
  • Si riceverà un codice di attivazione con cui completare l'iscrizione
  • Installare il certificato client per l'autenticazione ai servizi. Farne una copia di backup esportandolo da Firefox. Senza questo certificato NON sarà possibile accedere ai servizi StartSSL.

Creazione certificato

  • Loggarsi, e creare il primo dominio che sarà di secondo livello
  • L'email con il codice di autorizzazione verrà inviata a postmaster@example.com: assicurarsi che questo indirizzo riceva email
  • Loggarsi e inserire il codice
  • Creare ora il primo certificato: creare la private key con una password: memorizzare la password r copiare la private key in locale nel file www.example.com-crypt.key.
  • SENZA PASSWORD O PRIVATE KEY, IL CERTIFICATO NON SARÀ UTILIZZABILE, E QUESTI DATI NONS ONO SALVATI DA NESSUNA PARTE NEL SITO STARTCOM. VANNOC ONSERVATI PRIVATAMENTE.
  • Copiare il certificato generato nel file www.example.com.crt, e scaricare il certificato intermedio di StartCom dal link nella pagina del certificato generato salvandolo come startcom-sub.class1.server.ca.pem
  • Si avranno quindi tre files:
www.example.com-crypt.key         : contiene la private key con password
www.example.com.crt               : contiene il certificato generato
startcom-sub.class1.server.ca.pem : contiene la ca intermedia

Sblocco private key

  • La private key per essere utilizzata con un server web o smtp o imap deve essere salvata senza password
  • Scegliere "Decrypt private key" dal Toolbox sul sito Startcom
  • Incollare il contenuto di www.example.com-crypted.key ed inserire la password
  • Copiare la private key decifrata nel file
www.example.com.key
  • Conservare gelosamente il file, perchè non è protetto da password

Installazione CA intermedia in Debian

  • Copiare sulla propria macchina il file
sudo cp startcom-sub.class1.server.ca.pem /usr/local/share/ca-certificates
  • Inserirlo nella catena CA
sudo update-ca-certificates
  • Controllare che sia al posto giusto:
ls /etc/ssl/certs/startcom-sub.class1.server.ca.pem.pem

lrwxrwxrwx 1 root root 70 Nov 27 14:06 /etc/ssl/certs/startcom-sub.class1.server.ca.pem.pem -> /usr/local/share/ca-certificates/startcom-sub.class1.server.ca.pem.crt

Installazione certificati server

  • Copiare il certificato:
sudo cp www.example.com.crt /etc/ssl/certs/

Installazione private key

  • Copiare la private key:
sudo cp www.example.com.key /etc/ssl/private
  • Cambiare owner:
sudo chown root:ssl-cert /etc/ssl/private/www.example.com.key
  • Cambiare permission:
sudo chmod 640 /etc/ssl/private/www.example.com.key
  • Controllare:
sudo ls -al /etc/ssl/private/www.example.com.key

-rw-r----- 1 root ssl-cert 1675 Nov 27 13:33 /etc/ssl/private/www.example.com.key
  • Rimuovere i files copiati
rm -f www.example.com.key www.example.com.crt

Utilizzo con Apache2

  • Bastano la private key e il certificato
  • Dichiararli nel virtual host:
sudoedit /etc/apache2/sites-available/default-ssl

	ServerName www.example.com
    ...
    SSLCertificateFile    /etc/ssl/certs/www.example.com.crt
    SSLCertificateKeyFile /etc/ssl/private/www.example.com.key
  • Riavviare Apache e controllare i log access.log e errors.log con un accesso ssl
sudo invoke-rc.d apache2 restart

Utilizzo con Dovecot

  • Generare un certificato con il nome corretto ed installarli come per i precedenti
mail.example.com.key
mail.example.com.crt
  • Dichiararlo:
sudoedit /etc/dovecot/dovecot.conf

ssl_cert_file = /etc/ssl/certs/mail.example.com.crt
ssl_key_file = /etc/ssl/private/mail.example.com.key
  • Riavviare dovecot e provare a connettersi con un client imaps: non dovrebbero esserci warning
sudo invoke-rc.d dovecot restart

Utilizzo con Postfix

  • Con postfix occorre dichiarare anche la CA intermedia, altrimenti il client SMTP riceve un errore di CA sconosciuta, rilevabile anche dia log di Postfix, che sconentteròà il client.
  • Dichiararli:
sudoedit /etc/postfix/main.cf

smtpd_tls_cert_file=/etc/ssl/certs/mail.example.com.crt
smtpd_tls_key_file=/etc/ssl/private/mail.example.com.key
smtpd_tls_CAfile = /etc/ssl/certs/startcom-sub.class1.server.ca.pem.pem
  • Riavviare e testare:
sudo invoke-rc.d postfix restart

Riferimenti

Retrieved from "https://kb.rvmgroup.it/index.php?title=Utilizzo_di_certificati_SSL_Startcom_in_Debian&oldid=8710"