27.5. Tipi di certificati

Se avete installato il vostro server sicuro utilizzando il pacchetto offerto da Red Hat, una chiave randomica e un certificato di prova vengono generati nelle directory appropriate. Tuttavia, prima di iniziare a usare il server sicuro, dovete generare la vostra chiave e ottenere un certificato che identifichi correttamente il vostro server.

Per usare il secure server dovete avere una chiave e un certificato — ciò significa che potete generare un certificato "self-signed" oppure acquistare un certificato da una CA. Quali sono le differenze tra questi due certificati?

Un certificato rilasciato da una CA fornisce due importanti aspetti al vostro server:

Se il vostro secure server è accessibile al grande pubblico, il relativo certificato deve essere rilasciato da una CA affinché le persone che visitano il vostro sito Web siano sicure che il sito appartiene all'organizzazione che dice di possederlo. Prima di firmare un certificato, la CA verifica se l'organizzazione è effettivamente quella che dice di essere.

Molti browser Web che supportano l'SSL hanno un elenco delle CA che rilasciano certificati da loro automaticamente accettati. Se un browser trova un certificato rilasciato da una CA che non fa parte di questo elenco, il browser chiede all'utente se accettare o rifiutare la connessione.

Potete creare un certificato 'self-signed' per il vostro server sicuro, ma sappiate che un certificato di questo tipo non fornisce le stesse funzionalità garantite dai certificati rilasciati dalle CA. Infatti, un certificato 'self-signed' non viene automaticamente riconosciuto dai browser degli utenti e non fornisce alcuna garanzia sull'identià dell'organizzazione. Un certificato rilasciato dalla CA al contrario, fornisce ad un server sicuro entrambe queste garanzie. Se il vostro server sicuroviene usato in un ambiente di produzione, vi servirà molto probabilmente un certificato CA.

Il processo per ottenere un certificato da una CA è abbastanza semplice. Di seguito è riportata una breve spiegazione della procedura da seguire:

  1. Create una chiave di cifratura privata e una pubblica.

  2. Create un certificato basato sulla chiave pubblica. La richiesta del certificato contiene informazioni sul server e sulla relativa società.

  3. Inviate la richiesta e i documenti di identità a una CA. Non vi possiamo indicare quale CA scegliere; la vostra decisione dipende dalle esperienze personali o da quelle di vostri amici o colleghi, o semplicemente da motivi economici.

    Una volta deciso quale CA usare, seguite le istruzioni fornite su come ottenere un certificato.

  4. Una volta che la CA ha verificato positivamente la vostra identità, vi sarà recapitato un ceritificato digitale.

  5. Installate il certificato sul vostro secure server, e iniziate a gestire transazioni sicure.

Il primo passo consiste nel creare una chiave, sia per il certificato CA sia per quello "self-signed". Per informazioni su come creare una chiave, consultate la Sezione 27.6.