Iscrizione
- Iscriversi nell'Express Lane con il proprio indirizzo email
- Si riceverà un codice di attivazione con cui completare l'iscrizione
- Installare il certificato client per l'autenticazione ai servizi. Farne una copia di backup esportandolo da Firefox. Senza questo certificato NON sarà possibile accedere ai servizi StartSSL.
Creazione certificato
- Loggarsi, e creare il primo dominio che sarà di secondo livello
- L'email con il codice di autorizzazione verrà inviata a postmaster@example.com: assicurarsi che questo indirizzo riceva email
- Loggarsi e inserire il codice
- Creare ora il primo certificato: creare la private key con una password: memorizzare la password r copiare la private key in locale nel file www.example.com-crypt.key.
- SENZA PASSWORD O PRIVATE KEY, IL CERTIFICATO NON SARÀ UTILIZZABILE, E QUESTI DATI NONS ONO SALVATI DA NESSUNA PARTE NEL SITO STARTCOM. VANNOC ONSERVATI PRIVATAMENTE.
- Copiare il certificato generato nel file www.example.com.crt, e scaricare il certificato intermedio di StartCom dal link nella pagina del certificato generato salvandolo come startcom-sub.class1.server.ca.pem
- Si avranno quindi tre files:
www.example.com-crypt.key : contiene la private key con password
www.example.com.crt : contiene il certificato generato
startcom-sub.class1.server.ca.pem : contiene la ca intermedia
Sblocco private key
- La private key per essere utilizzata con un server web o smtp o imap deve essere salvata senza password
- Scegliere "Decrypt private key" dal Toolbox sul sito Startcom
- Incollare il contenuto di www.example.com-crypted.key ed inserire la password
- Copiare la private key decifrata nel file
www.example.com.key
- Conservare gelosamente il file, perchè non è protetto da password
- Copiare sulla propria macchina il file
sudo cp startcom-sub.class1.server.ca.pem /usr/local/share/ca-certificates/startcom-sub.class1.server.ca.crt
- Inserirlo nella catena CA
sudo update-ca-certificates
- Controllare che sia al posto giusto:
ls /etc/ssl/certs/startcom-sub.class1.server.ca.pem
lrwxrwxrwx 1 root root 70 Nov 27 14:06 /etc/ssl/certs/startcom-sub.class1.server.ca.pem -> /usr/local/share/ca-certificates/startcom-sub.class1.server.ca.crt
Installazione certificati server
sudo cp www.example.com.crt /etc/ssl/certs/
Installazione private key
sudo cp www.example.com.key /etc/ssl/private
sudo chown root:ssl-cert /etc/ssl/private/www.example.com.key
sudo chmod 640 /etc/ssl/private/www.example.com.key
sudo ls -al /etc/ssl/private/www.example.com.key
-rw-r----- 1 root ssl-cert 1675 Nov 27 13:33 /etc/ssl/private/www.example.com.key
- Rimuovere i files copiati
rm -f www.example.com.key www.example.com.crt
Utilizzo con Apache2
- Bastano la private key e il certificato
- Dichiararli nel virtual host:
sudoedit /etc/apache2/sites-available/default-ssl
ServerName www.example.com
...
SSLCertificateFile /etc/ssl/certs/www.example.com.crt
SSLCertificateKeyFile /etc/ssl/private/www.example.com.key
- Riavviare Apache e controllare i log access.log e errors.log con un accesso ssl
sudo invoke-rc.d apache2 restart
Utilizzo con Dovecot
- Generare un certificato con il nome corretto ed installarli come per i precedenti
mail.example.com.key
mail.example.com.crt
sudoedit /etc/dovecot/dovecot.conf
ssl_cert_file = /etc/ssl/certs/mail.example.com.crt
ssl_key_file = /etc/ssl/private/mail.example.com.key
- Riavviare dovecot e provare a connettersi con un client imaps: non dovrebbero esserci warning
sudo invoke-rc.d dovecot restart
Utilizzo con Postfix
- Con postfix occorre dichiarare anche la CA intermedia, altrimenti il client SMTP riceve un errore di CA sconosciuta, rilevabile anche dia log di Postfix, che sconentteròà il client.
- Dichiararli:
sudoedit /etc/postfix/main.cf
smtpd_tls_cert_file=/etc/ssl/certs/mail.example.com.crt
smtpd_tls_key_file=/etc/ssl/private/mail.example.com.key
smtpd_tls_CAfile = /etc/ssl/certs/startcom-sub.class1.server.ca.pem.pem
sudo invoke-rc.d postfix restart
Riferimenti