| Red Hat Enterprise Linux 3: System Administration Guide | ||
|---|---|---|
| Indietro | Capitolo 27. Configurazione del server sicuro HTTP Apache | Avanti |
Una volta creata la chiave dovete formulare una richiesta di certificato da inviare a una CA. Assicuratevi di essere nella directory /usr/share/ssl/certs e poi digitate il comando seguente:
make certreq |
Il vostro sistema visualizza il seguente output e vi chiede di digitare la password (se non avete disattivato la funzione password):
umask 77 ; \ /usr/bin/openssl req -new -key /etc/httpd/conf/ssl.key/server.key -out /etc/httpd/conf/ssl.csr/server.csr Using configuration from /usr/share/ssl/openssl.cnf Enter pass phrase: |
Digitate la password che avete scelto durante la creazione della chiave. Il sistema visualizza alcune istruzioni e vi chiede delle informazioni. Gli input da voi forniti vengono incorporati nella richiesta del certificato. Il display con gli esempi di risposta, somiglia al seguente:
You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [GB]:US State or Province Name (full name) [Berkshire]:North Carolina Locality Name (eg, city) [Newbury]:Raleigh Organization Name (eg, company) [My Company Ltd]:Test Company Organizational Unit Name (eg, section) []:Testing Common Name (your name or server's hostname) []:test.example.com Email Address []:admin@example.com Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: An optional company name []: |
Le risposte di default compaiono fra parentesi quadre [] subito dopo ogni richiesta di informazione. Per esempio la prima informazione richiesta è il paese dove verrà usato il certificato:
Country Name (2 letter code) [GB]: |
La risposta di default, fra parentesi, è GB. Per accettarla, premete
Dovrete inserire il resto dei valori. La maggior parte di essi devono essere molto semplici, ma avrete comunque bisogno di seguire le seguenti regole:
Non abbreviate la località o lo stato. Scriveteli per esteso (per esempio Novi L. deve essere scritto Novi Ligure).
Se state inviando una CSR a una CA, fate attenzione a fornire informazioni corrette per tutti i campi, ma soprattutto per l' Organization Name e il Common Name. La CA controlla le informazioni fornite nella CSR per assicurarsi che la vostra organizzazione sia responsabile per ciò che avete fornito come Common Name. Le richieste CSR contenenti informazioni non valide vengono rifiutate dalle CA.
For Common Name, assicuratevi di inserire il vero nome del vostro secure server (un nome DNS valido) e non un eventuale alias del server.
L'Email Address deve corrispondere all'indirizzo e-mail del Webmaster o dell'amministratore di sistema.
Evitate caratteri speciali quali @, #, &, !, ecc. Alcune CA rifiutano il certificato contenente i suddetti caratteri speciali. Se il nome della vostra società contiene il carattere (&), sostituitelo con "e".
Non usate i campi A challenge password e An optional company name. Per continuare senza inserire dati in questi campi, premete
Quando avete finito di fornire le informazioni richieste, viene creato il file /etc/httpd/conf/ssl.csr/server.csr. Questo file contiene la richiesta ed è pronto per essere inviato alla vostra CA.
Quando avete deciso a quale CA rivolgervi, seguite le istruzioni fornite nel sito Web corrispondente. Tali istruzioni vi indicheranno come inviare la richiesta, se sono necessari altri documenti e quanto dovete pagare.
Una volta che avete eseguito tutte le operazioni richieste, la CA invia (solitamente tramite e-mail) il certificato. Salvatelo (oppure fate un copia e incolla) come /etc/httpd/conf/ssl.crt/server.crt. Assicuratevi di effettuare un back up di questo file.