Importa un certificato SSL personalizzato

Questa guida spiega come...

1. ... generare una CSR e una chiave privata per richiedere un certificato di terze parti presso un'autorità di certificazione (CA)
2. … importare questo certificato per il tuo sito Infomaniak, grazie al CRT ottenuto dalla CA

Preambolo

• Anche se Infomaniak Offre tutti i certificati SSL Di cui potresti aver bisogno...
  • Certificazioni gratuite Let's Encrypt per gli siti personali (solo con i siti ospitati in Infomaniak)
  • Certificazioni DV di Sectigo per le Siti professionali/particolari che non sono iscritti nel registro di commercio
  • Certificazioni EV di Sectigo per le imprese iscritte nel registro di commercio
• ... è anche possibile installare un certificato SSL ottenuto altrove (certificato intermedio/intermediato da un organismo di certificazione di vostra scelta), certificati personalizzati o autofirmati.

1 . Generare un CSR (Certificate Signing Request)

Un CSR (Certificate Signing Request oppure Richiesta di firma del certificato) è un file codificato contenente le informazioni necessarie per richiedere un certificato SSL/TLS. Deve essere generata dalla tua parte, per garantire che la chiave privata rimanga sotto il tuo controllo, utilizzando p.ex OpenSSL

Adatta e inserisci questo comando in un terminale:

openssl req -utf8 -nodes -sha256 -newkey rsa:2048 -keyout domain.xyz.key -out domain.xyz.csr -addext "subjectAltName = DNS:domain.xyz, DNS:www.domain.xyz"

Spiegazioni

• newkey rsa:2048Genera una nuova chiave RSA a 2048 bit.
• keyout domain.xyz.keySpecifica il file in cui verrà salvata la chiave privata.
• out domain.xyz.csrSpecifica il file in cui verrà salvata la CSR.
• addext “subjectAltName = ...”: Aggiunge domini aggiuntivi tramite l'estensione SAN (Subject Alternative Name), necessaria per includere tutti i domini desiderati nel certificato (il dominio principale domain.xyz + qualsiasi altro dominio o sottodominio associato, come www.domain.xyz. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Dopo la generazione, è possibile controllare il contenuto della CSR con il seguente comando:

openssl req -in domain.xyz.csr -noout -text

Ciò consente di verificare che tutti i domini elencati in subjectAltName siano correttamente inclusi.

Una volta generata la CSR, è possibile trasmetterla all'autorità di certificazione (CA) per ottenere il certificato SSL/TLS.

2. Importa certificato esterno

Una volta convalidata, la CA rilascia un certificato (domain.xyz.crt) e talvolta un certificato intermedio (ca_bundle.crt. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Per accedere alla gestione dei certificati SSL:

1. Clicca qui per accedere alla gestione del prodotto sul Manager Infomaniak (Hai bisogno di aiuto?).
2. Clicca direttamente su il nomeattribuito al prodotto in questione.
3. Clicca su Certificati SSL nel menu laterale sinistro.
4. Clicca sul pulsante blu Installare un certificato:
   
5. Scegli il certificato Personalizzato.
6. Clicca sul pulsante Avanti:
   
7. Importa il tuo certificato e chiave privata o importa i file .crt e .key oppure copia-incolla.
8. Clicca su Completa:
   

Comando alternativo per generare un certificato autofirmato (facoltativo)

Se si desidera un certificato locale solo per i test o senza passare attraverso un CA (non raccomandato per la produzione), è possibile utilizzare questo comando:

openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout domain.xyz.key -out domain.xyz.crt -addext “subjectAltName = DNS:domain.xyz, DNS:www.domain.xyz”

Questo genera sia un certificato autofirmato (domain.xyz.crt) e una chiave privata (domain.xyz.key.  Tuttavia, i certificati autofirmati non sono riconosciuti come validi dai browser o dai sistemi pubblici. Sono adatti solo per ambienti interni o di sviluppo.