Questa guida spiega come…

1. … generare una CSR e chiave privata per richiedere un certificato di terze parti presso un'autorità di certificazione (CA),
2. … importare questo certificato per il tuo sito Infomaniak, grazie al CRT ottenuto presso la CA.

Premessa

• Anche se Infomaniak offre tutti i certificati SSL di cui potresti avere bisogno…
  • certificati gratuiti Let's Encrypt per i siti personali (possibile solo con i siti ospitati da Infomaniak),
  • certificati DV di Sectigo per i siti professionali/privati che non sono iscritti al registro di commercio,
  • certificati EV di Sectigo per le aziende iscritte al registro di commercio,
• … è anche possibile installare un certificato SSL ottenuto altrove (certificato intermedio/intermediate di un'autorità di certificazione di vostra scelta), certificati personalizzati o auto-firmati.

1. Generare una CSR (Certificate Signing Request)

Una CSR (Certificate Signing Request o Richiesta di Firma del Certificato) è un file codificato che contiene le informazioni necessarie per richiedere un certificato SSL/TLS.

Deve essere generata dal tuo lato, per garantire che la chiave privata rimanga sotto il tuo controllo, utilizzando ad esempio OpenSSL.

Adatta e esegui il seguente comando da un'applicazione di tipo Terminal (interfaccia a riga di comando, CLI /Command Line Interface) sul tuo dispositivo:

openssl req -utf8 -nodes -sha256 -newkey rsa:2048 -keyout domain.xyz.key -out domain.xyz.csr -addext "subjectAltName = DNS:domain.xyz, DNS:www.domain.xyz"

Spiegazioni

• newkey rsa:2048: Genera una nuova chiave RSA da 2048 bit.
• keyout domain.xyz.key: Specifica il file in cui verrà salvata la chiave privata.
• out domain.xyz.csr: Specifica il file in cui verrà registrata la CSR.
• addext “subjectAltName = ...”: Aggiunge domini aggiuntivi tramite l'estensione SAN (Subject Alternative Name), necessaria per includere tutti i domini desiderati nel certificato (il dominio principale domain.xyz + qualsiasi altro dominio o sottodominio associato, come www.domain.xyz).

Dopo la generazione, è possibile verificare il contenuto della CSR con il seguente comando:

openssl req -in domain.xyz.csr -noout -text

Questo permette di verificare che tutti i domini elencati in subjectAltName siano correttamente inclusi.

Una volta generata la CSR, è possibile inviarla all'autorità di certificazione (CA) per ottenere il certificato SSL/TLS.

2. Importare il certificato esterno

Una volta validata, la CA ti rilascia un certificato (domain.xyz.crt) e, a volte, un certificato intermedio (ca_bundle.crt). Per accedere alla gestione dei certificati SSL:

1. Clicca qui per accedere alla gestione del tuo prodotto su Manager Infomaniak (hai bisogno di aiuto?).
2. Fai clic direttamente sul nome assegnato al prodotto interessato.
3. Clicca su Certificati SSL nel menu laterale sinistro.
4. Fai clic sul pulsante blu Installa un certificato:
   
5. Scegliete il certificato personalizzato.
6. Clicca sul pulsante Avanti:
   
7. Importa il tuo certificato e chiave privata, sia importando i file .crt e .key sia incollandoli.
8. Clicca su Completa:
   

Comando alternativo per generare un certificato auto-firmato (facoltativo)

Se desideri un certificato locale solo per i test o senza passare per una CA (non consigliato per la produzione), puoi utilizzare questo comando:

openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout domain.xyz.key -out domain.xyz.crt -addext “subjectAltName = DNS:domain.xyz, DNS:www.domain.xyz”

Questo genera sia un certificato auto-firmato (domain.xyz.crt) che una chiave privata (domain.xyz.key). Tuttavia, i certificati auto-firmati non sono riconosciuti come validi dai browser o dai sistemi pubblici. Sono adatti solo per ambienti interni o di sviluppo.

Importare un certificato intermedio

Durante l'aggiunta di un certificato SSL personalizzato, è possibile importare il certificato intermedio (tramite importazione del file .crt o incollando i dati forniti dall'autorità di certificazione):