Installazione del certificato TLS sul server Apache

Le seguenti istruzioni ti spiegheranno come creare una chiave pubblica sul server Apache con lo strumento OpenSSL che può essere usato su qualsiasi server, e come eseguire la successiva installazione del nuovo certificato.

Procedura per creare la CSR su Apache (OpenSSL)

Per creare la richiesta CSR (richiesta di una chiave pubblica) e la chiave privata si utilizza lo strumento OpenSSL che solitamente troverai all'indirizzo: /usr/local/ssl/bin.

Passaggio 1: crea la coppia di chiavi (key pair). Dopo l'avvio, inserisci nella riga di comando:

openssl genrsa –des3 –out www.mydomain.com.key 2048

Il parametro -des3 garantisce l'uso di una passphrase per la chiave privata; se non utilizzi questo parametro, la chiave privata non viene protetta.

Passaggio 2: crea una richiesta di CSR. Puoi creare la CSR con la chiave privata anche nell'amministrazione dell'SSLmarket e salvare la chiave privata per una successiva installazione.

openssl req –new –key www.mydomain.com.key –out www.mydomain.com.csr

Se sulla piattaforma Windows verrà segnalato l'avviso Unable to load config info from /usr/local/ssl/openssl.cnf, inserisci nella riga di comando il comando set OPENSSL_CONF=C:/.../openssl.cnf, con il quale definirai la posizione del file.

Inserito il comando, ti verrà chiesto di precisare i dati per la CSR. Inserisci i dati senza usare i segni diacritici.

Common Name: Common Name è il nome completo del dominio per il quale viene rilasciato il certificato.
Company / Organization: Inserisci il nome completo dell'organizzazione/società come risulta nel Registro delle imprese, ivi compresa la sua forma legale.
Organizational Unit: Questo campo è opzionale e serve per indicare l'unità organizzativa dell'organizzazione, per esempio una filiale o un reparto.
Locality / City: Nome della città
State / Province: Inserisci Italia
Country Name: codice del Paese composto di due lettere, IT

Esempio di una CRS compilata correttamente

CN: www.sslmarket.it
OU: Software
O: ZONER a.s.
ST: Empty
C: CZ
L: Brno

Non inserire nella CSR altre informazioni aggiuntive, quali indirizzo di posta elettronica, password oppure optional company name. OpenSSL creerà il file con il suffisso CSR che inserirai nell'ordine del certificato all'indirizzo sslmarket.it.

Installazione del certificato emesso sul server

Passi iniziali

Se vuoi installare il certificato su un server la cui configurazione Apache non ha ancora subito modifiche, devi innanzitutto abilitare l'HTTPS e il sito predefinito per le connessioni TLS. Il mancato compimento di questi due passaggi fondamentali comporta il mancato funzionamento dell'HTTPS.

Digita sul terminale: sudo a2enmod ssl per abilitare il protocollo HTTPS.
Successivamente abilita il sito predefinito per la connessione protetta, altrimenti Apache utilizzerà solo il sito predefinito con l'HTTP: sudo a2ensite default-ssl Riavvia Apache che sarà in grado di utilizzare sia l'HTTP che l'HTTPS. systemctl restart apache2

Memorizzazione del certificato TLS e di quello Intermediate

Una volta emesso, il certificato TSL viene recapitato per posta elettronica, sotto forma di testo e crittografato in formato Base64. Salva o copia sul server il file linux_cert+ca.pem che ti abbiamo inviato.

Il file linux_cert+ca.pem contiene il certificato di dominio e il certificato Intermediate insieme. Il loro abbinamento in un unico file serve per risparmiarti lavoro perché i server web richiedono che i due certificati costituiscano un'unità. Il certificato Intermediate è indispensabile ai fini dell'affidabilità del certificato emesso sui dispositivi client ma non tocca a te cercarlo e aggiungerlo alla configurazione.

Per Apache, utilizza come SSLCertificateFile il file linux_cert+ca.pem in cui sono uniti il certificato stesso e quello Intermediate. Non utilizzare le direttive SSLCertificateChainFile né SSLCACertificateFile perché non sono necessarie.

Configurazione del vhost

Per poter utilizzare il certificato fornito, è necessario modificare la configurazione del vhost per il dominio in questione. Apri il file di configurazione default-ssl.conf (o domain-ssl.conf) per modificarlo (dovrebbe trovarsi in /etc/apache2/sites-enabled; in caso contrario, torna alla sezione Passi iniziali) e modifica la posizione della chiave privata e del file contenente il certificato da usare nelle due seguenti direttive:

SSLCertificateFile /etc/ssl/private/linux_cert+ca.pem
SSLCertificateKeyFile /etc/ssl/private/private.key

Le versioni precedenti di Apache supportavano la direttiva SSLCertificateChainFile (che non viene più utilizzata a partire dalla versione 2.4.8); è possibile eliminarla o disattivarla. Il certificato Intermediate si trova nel file del certificato, come indicato in precedenza. La direttiva SSLCACertificateFile che serve per i certificati client, va ignorata ai fini dei certificati TLS.

Salva il file. Prima di riavviare il sistema puoi verificare la correttezza della configurazione con il comando: sudo apache2ctl configtest Infine, riavvia Apache:


sudo systemctl restart apache2

Esempio di configurazione del server

Il server web Apache memorizza le configurazioni abilitate e utilizzate nella cartella /etc2/apache2/sites-enabled. Ecco un esempio tipico di configurazione del server nel file default-ssl.conf. SSLEngine on SSLCertificateFile /etc/ssl/private/domain.pem SSLCertificateKeyFile /etc/ssl/private/domain.key

Se vuoi facilitare la configurazione del tuo server web, utilizza moz://a SSL Configuration Generator. Il configuratore ti consiglierà direttamente le impostazioni corrette per proteggere il server web.

Puoi verificare la corretta installazione del certificato SSL nel nostro verificatore.

È troppo per te?

Scrivici una e-mail
info@sslmarket.it
Modulo di Contatto

Ti è stato utile questo articolo?

Aiuto