Installare un certificato SSL personalizzato

Questa guida spiega come…

1. … generare una CSR e una chiave privata per richiedere un certificato di terze parti a un'Autorità di Certificazione (CA)
2. … importare tale certificato per il tuo sito Infomaniak, utilizzando il CRT fornito dalla CA

Premessa

• Nonostante Infomaniak offra tutti i certificati SSL di cui potresti avere bisogno…
  • Certificati gratuiti Let's Encrypt per siti personali (disponibili solo per i siti ospitati su Infomaniak)
  • Certificati DV di Sectigo per siti professionali/personali non registrati presso il registro delle imprese
  • Certificati EV di Sectigo per aziende registrate presso il registro delle imprese
• … è anche possibile installare un certificato SSL ottenuto da un'altra fonte (certificato intermedio/intermediate di un'organizzazione di certificazione a tua scelta), certificati personalizzati o auto-firmati.

1. Generare una CSR (Certificate Signing Request)

Una CSR (Certificate Signing Request) è un file codificato che contiene le informazioni necessarie per richiedere un certificato SSL/TLS. Deve essere generata da te, per garantire che la chiave privata rimanga sotto il tuo controllo, utilizzando ad esempio OpenSSL.

Adatta ed esegui questo comando in un terminale:

openssl req -utf8 -nodes -sha256 -newkey rsa:2048 -keyout domain.xyz.key -out domain.xyz.csr -addext "subjectAltName = DNS:domain.xyz, DNS:www.domain.xyz"

Spiegazioni

• newkey rsa:2048: Genera una nuova chiave RSA di 2048 bit.
• keyout domain.xyz.key: Specifica il file in cui verrà salvata la chiave privata.
• out domain.xyz.csr: Specifica il file in cui verrà salvata la CSR.
• addext “subjectAltName = ...”: Aggiunge domini aggiuntivi tramite l'estensione SAN (Subject Alternative Name), necessaria per includere tutti i domini desiderati nel certificato (il dominio principale domain.xyz + eventuali domini o sottodomini associati, come www.domain.xyz).

Dopo averla generata, puoi verificare il contenuto della CSR con il seguente comando:

openssl req -in domain.xyz.csr -noout -text

Questo permette di verificare che tutti i domini elencati in subjectAltName siano correttamente inclusi.

Una volta generata la CSR, puoi inviarla all'Autorità di Certificazione (CA) per ottenere il tuo certificato SSL/TLS.

2. Importare un certificato esterno

Dopo la validazione, la CA ti fornirà un certificato (domain.xyz.crt) e, in alcuni casi, un certificato intermedio (ca_bundle.crt). Per accedere alla gestione dei certificati SSL:

1. Fai clic qui per accedere alla gestione del prodotto nel Manager di Infomaniak (serve aiuto?).
2. Fai clic direttamente sul nome assegnato al prodotto interessato.
3. Fai clic su Certificati SSL nel menu laterale a sinistra.
4. Fai clic sul pulsante blu Installa un certificato:
   
5. Seleziona l'opzione certificato personalizzato.
6. Fai clic sul pulsante Avanti:
   
7. Importa il certificato e la chiave privata, caricando i file .crt e .key oppure tramite copia e incolla.
8. Fai clic su Completa:
   

Comando alternativo per generare un certificato auto-firmato (opzionale)

Se hai bisogno di un certificato locale solo per test o senza passare per una CA (non raccomandato per la produzione), puoi utilizzare questo comando:

openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout domain.xyz.key -out domain.xyz.crt -addext “subjectAltName = DNS:domain.xyz, DNS:www.domain.xyz”

Questo comando genera sia un certificato auto-firmato (domain.xyz.crt) che una chiave privata (domain.xyz.key). Tuttavia, i certificati auto-firmati non sono riconosciuti come validi dai browser o dai sistemi pubblici. Sono adatti solo per ambienti interni o di sviluppo.