27.7. Come richiedere un certificato a una CA

Una volta creata la chiave dovete formulare una richiesta di certificato da inviare a una CA. Assicuratevi di essere nella directory /usr/share/ssl/certs e poi digitate il comando seguente:

make certreq

Il vostro sistema visualizza il seguente output e vi chiede di digitare la password (se non avete disattivato la funzione password):

umask 77 ; \
/usr/bin/openssl req -new -key /etc/httpd/conf/ssl.key/server.key 
-out /etc/httpd/conf/ssl.csr/server.csr
Using configuration from /usr/share/ssl/openssl.cnf
Enter pass phrase:
	

Digitate la password che avete scelto durante la creazione della chiave. Il sistema visualizza alcune istruzioni e vi chiede delle informazioni. Gli input da voi forniti vengono incorporati nella richiesta del certificato. Il display con gli esempi di risposta, somiglia al seguente:

You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a
DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [GB]:US
State or Province Name (full name) [Berkshire]:North Carolina
Locality Name (eg, city) [Newbury]:Raleigh
Organization Name (eg, company) [My Company Ltd]:Test Company
Organizational Unit Name (eg, section) []:Testing
Common Name (your name or server's hostname) []:test.example.com
Email Address []:admin@example.com
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

Le risposte di default compaiono fra parentesi quadre [] subito dopo ogni richiesta di informazione. Per esempio la prima informazione richiesta è il paese dove verrà usato il certificato:

Country Name (2 letter code) [GB]:

La risposta di default, fra parentesi, è GB. Per accettarla, premete [Invio], altrimenti digitate le lettere corrispondenti al vostro paese.

Dovrete inserire il resto dei valori. La maggior parte di essi devono essere molto semplici, ma avrete comunque bisogno di seguire le seguenti regole:

Quando avete finito di fornire le informazioni richieste, viene creato il file /etc/httpd/conf/ssl.csr/server.csr. Questo file contiene la richiesta ed è pronto per essere inviato alla vostra CA.

Quando avete deciso a quale CA rivolgervi, seguite le istruzioni fornite nel sito Web corrispondente. Tali istruzioni vi indicheranno come inviare la richiesta, se sono necessari altri documenti e quanto dovete pagare.

Una volta che avete eseguito tutte le operazioni richieste, la CA invia (solitamente tramite e-mail) il certificato. Salvatelo (oppure fate un copia e incolla) come /etc/httpd/conf/ssl.crt/server.crt. Assicuratevi di effettuare un back up di questo file.