27.6. Creazione di una chiave

Per generare una chiave occorre collegarsi come utente root.

Anzitutto, con il comando cd andate alla directory /etc/httpd/conf. Rimuovere la chiave finta e il certificato creati durante l'installazione, digitando i comandi seguenti:

rm ssl.key/server.key
rm ssl.crt/server.crt

Successivamente, dovete creare la vostra chiave randomica. Passate nella directory /usr/share/ssl/certs e digitate il seguente comando:

make genkey

Il sistema mostra un messaggio simile al seguente:

umask 77 ; \
/usr/bin/openssl genrsa -des3 1024 > /etc/httpd/conf/ssl.key/server.key
Generating RSA private key, 1024 bit long modulus
.......++++++
................................................................++++++
e is 65537 (0x10001)
Enter pass phrase:

Dovete digitare una password. Per maggiore sicurezza, la password deve contenere almeno otto caratteri, numeri e/o punteggiatura e non essere una parola che abbia senso. Ricordate che la vostra password distingue le lettere minuscole da quelle maiuscole.

NotaNota Bene
 

La password deve essere inserita ogni volta che avviate il vostro server sicuro, quindi non la dimenticate.

Vi viene chiesto di ridigitare la password per verificare che sia corretta. Dopodiché viene creato un file contenente la chiave, chiamato /etc/httpd/conf/ssl.key/server.key.

Se non volete digitare la password ogni volta che avviate il server sicuro, non usate make genkey per creare la chiave, ma i due comandi seguenti.

Usate il seguente comando per creare la vostra chiave:

/usr/bin/openssl genrsa 1024 > /etc/httpd/conf/ssl.key/server.key

Usate il seguente comando per assicurarvi che i permessi sono stati impostati correttamente:

chmod go-rwx /etc/httpd/conf/ssl.key/server.key

Dopo aver usato i sudetti comandi per creare la vostra chiave, non dovete usare la password per avviare il server sicuro.

CautelaAttenzione
 

La disattivazione della password per il vostro secure server è vivamente SCONSIGLIATA per motivi di sicurezza.

I problemi associati all'assenza di password sono strettamente legati alla sicurezza della macchina. Per esempio se qualcuno compromette la sicurezza UNIX della macchina host, tale persona potrebbe ottenere la vostra chiave privata (il contenuto del file server.key) e usarla per fornire pagine Web che sembreranno provenire dal vostro secure server.

Se le regole di sicurezza UNIX vengono rigorosamente rispettate sul computer host (tutte le correzioni e gli aggiornamenti del sistema operativo vengono installati appena sono disponibili, nessun servizio inutile o pericoloso è in funzione ecc.) la password può sembrare inutile. Tuttavia, poiché il secure server non deve essere riavviato spesso, l'ulteriore sicurezza fornita dalla password è, nella maggior parte dei casi, di grande aiuto.

Il file server.key deve appartenere all'utente root del sistema e non deve essere accessibile ad altri utenti. Create una copia di backup del file e conservatela in un posto sicuro. La copia di backup è necessaria, poiché se perdete il file server.key dopo averlo usato per creare la richiesta del vostro certificato, il vostro certificato smetterà di funzionare e la CA non vi potrà aiutare. In tal caso non vi resta che richiedere (e acquistare) un nuovo certificato.

Se volete acquistare un certificato da una CA, consultate la Sezione 27.7. Se invece volete creare voi stessi il certificato, consultate la Sezione 27.8.