Redirecting you to
Click if you are not redirected within 5 seconds
Cerca
USD
Italiano
Contattaci
Prova Gratuita
Post del blog ott 12, 2023

Come generare e inviare una CSR per certificati SSL/TLS

Una richiesta di firma del certificato (CSR) è cruciale per ottenere certificati SSL/TLS e garantire comunicazioni sicure. Contiene dettagli fondamentali come il FQDN, il nome dell’organizzazione e la chiave pubblica. Sectigo offre strumenti come OpenSSL e IIS Manager per creare e validare CSR, oltre a soluzioni di gestione del ciclo di vita dei certificati per proteggere i siti web.

Indice

1. Che cos'è una firma del certificato CSR?
2. What are the requirements?
3. Importanza delle richieste di firma dei certificati (CSR)
4. Come generare un CSR su diverse piattaforme
5. Problemi e suggerimenti comuni
6. Proteggete il vostro sito web con Sectigo

I certificati digitali sono indispensabili per garantire la sicurezza delle comunicazioni e dei dati online. I certificati SSL/TLS, in particolare, facilitano la fiducia degli utenti in quanto proteggono i siti web, assicurando che i dati degli utenti, come le informazioni personali o finanziarie, siano protetti.

È innegabile il valore dei certificati SSL nell'attuale panorama digitale pieno di minacce, ma il processo per ottenerne uno - e soprattutto quello giusto per le esigenze della vostra azienda - può sembrare a volte confuso o addirittura frustrante. Ciò deriva, in parte, dalla mole di dati spesso richiesti nel processo di emissione, soprattutto quando si tratta di affrontare l'aspetto più complicato ed essenziale dell'ottenimento di un certificato digitale: l'invio della richiesta di firma del certificato (CSR).

Una volta capito come funzionano le CSR e perché sono importanti, sarà molto più facile orientarsi nel processo di richiesta. Per aiutarvi, vi spiegheremo tutto quello che c'è da sapere sulle CSR: cosa sono, perché sono importanti e come inviarle per ottenere un certificato SSL/TLS.

Che cos'è una firma del certificato CSR?

Una richiesta di firma del certificato (CSR) è un messaggio crittografato che include informazioni fondamentali sulla persona o sull'organizzazione che desidera ottenere un certificato digitale. Rappresenta una soluzione standardizzata per l'invio di chiavi pubbliche alle autorità di certificazione (CA) tramite un file codificato.

Una CSR è un componente fondamentale dell'infrastruttura a chiave pubblica (PKI) e funge essenzialmente da primo passo nella richiesta di certificati SSL/TLS.

Requisiti della CSR

Quali sono i requisiti?

Ogni CSR deve includere alcuni elementi chiave, destinati a identificare il richiedente:

  • Il nome comune (CN) dell'organizzazione. Nello specifico, si tratta del Fully Qualified Domain Name (FQDN) o del nome di dominio assoluto. Questo rivela la posizione esatta all'interno del Domain Name System (DNS). Deve corrispondere esattamente a quello digitato nel browser web, altrimenti si potrebbe ricevere un errore di sicurezza.
  • Il nome dell'organizzazione (O). Da non confondere con il nome comune o FQDN, il nome dell'organizzazione si riferisce semplicemente al nome legale o al titolo ufficiale dell'azienda in questione. Se pertinente, dovrebbe includere gli identificatori aziendali. In caso di CSR, il nome dell'organizzazione non deve mai essere abbreviato.
  • Unità organizzativa (UO). L'unità o la divisione dell'azienda/organizzazione che gestisce il certificato.
  • Località (L). Il CSR deve includere il dettaglio della località, ovvero la città in cui si trova l'azienda.
  • Nome dello Stato o della Provincia (ST). Lo stato o la provincia in cui ci si trova.
  • Paese (C). Il Paese in cui ci si trova.
  • Indirizzo e-mail. Un indirizzo e-mail associato all'azienda.

Oltre ai nomi dell'organizzazione e ai dettagli sulla sede, ogni CSR contiene una chiave pubblica, che funge da metà dell'eventuale coppia di chiavi richiesta per i certificati SSL. Il processo stesso di creazione di un CSR comporta la creazione di questa chiave pubblica. Questa sarà inclusa nella CSR.

Durante questo processo, verrà creata anche una chiave privata. Questa, a differenza della chiave pubblica, non deve essere inclusa nella CSR o resa disponibile alla CA. Al contrario, deve essere conservata fino alla fase successiva del processo, quando sarà necessaria per l'installazione del certificato SSL.

Anche i dettagli sul tipo e sulla lunghezza della chiave sono importanti per il CSR. I principali tipi di chiavi sono RSA e DSA, che presentano entrambi vantaggi distinti e potenziali svantaggi. Mentre l'RSA (Rivest-Shamir-Adleman) è generalmente preferito per la verifica e la crittografia rapida, il DSA (Digital Signature Algorithm) sostituisce la fattorizzazione dei primi dell'RSA con il problema del logaritmo discreto. Il DSA è l'opzione più efficiente per la verifica e la decodifica. Quando si opta per RSA, è preferibile una lunghezza di bit di 2048. Il CA/Browser Forum definisce i requisiti di base attuali per le dimensioni delle chiavi supportate.

Esempio di CSR

I file CSR vengono tipicamente aperti con editor di testo. Includono intestazioni e piè di pagina per indicare l'inizio e la fine della richiesta. L'attuale gold standard prevede un formato PEM (Privacy Enhanced Mail) basato su Base-64. Classificato come schema di codifica da binario a testo, è ampiamente considerato il formato di fatto per l'invio di chiavi crittografiche.

Di seguito è riportato un esempio dettagliato di ciò che si può incontrare, dal punto di vista visivo, quando si invia un CSR:

-----RICHIESTA DI CERTIFICATO-----
MIIDGDCCAgACAQAwgakxCzAJBgNVBAYTAlVTMRMwEQYDVQQIEwpDYWxpZm9ybmlh
MRYwFAYDVQQHEw1Nb3VudGFpbiBWaWV3MRYwFAYDVQQKEw1Hb29nbGUsIEluYy4g
MRcwFQYDVQQLEw5JVCBEZXB0YXJ0bWVudDEXMBUGA1UEAxMOd3d3Lmdvb2dsZS5j
b20xIzAhBgkqhkiG9w0BCQEWFHdlYm1hc3RlckBnb29nbGUuY29tMIIBIjANBgkq
hkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAq3NT5DBBDql5gTB4/6Zsq/C1iwO4yBD2
nThaNfO1qHKUjnFz0oua+54x97TjmHItRH5H+jPJvmzzb4TUJ274CRFhquOOMZVM
dVIG9FUjogJstMqv4GtBC4C/ype0ilAcPEBjRi9bFiR/g43qPCnlRAJNo4cJko7n
W7erAJsRPNiQMr5UJN9h3GuQMPw6uaI/0OWuWjSTLzEBMujHhPySgZIv1SurVXDz
iFC6S6qvc9XQ1z6tkmrttdoOfDI+eT75QxysHmctgAvkZaFEoRASqcqf3iYyl9Qw
mh0xuLSoR9HTvaD9DhxAIa4/1+l6D9MGb/01+lip7AjqdnTTzSBfcQIDAQABoCkw
JwYJKoZIhvcNAQkOMRowGDAJBgNVHRMEAjAAMAsGA1UdDwQEAwIF4DANBgkqhkiG
9w0BAQsFAAOCAQEAZyMkFtElkS3vQoCPVHevrFcPgrx/Fqx0UdQdnf2RyoJ3jqiU
yPo5+5BHA9kY0TuJLhgMIq0QWAbzZYNL0+J8UUcx8EvMK6DqPpKteyYFCMw6GEzu
diq4RE/8Ea9UpGbw8GH1oEsUksBTwrs06OSOVgDXkJ1XY4VaRkMPflgQWGULgKYO
2P/zcFowENruGLJO7ynyUkm5idKdYzDqk7c7bqyLywOEPxSRKVyblmzqiFCOlCqp
HozZ9+5TmrMPD/hO1uHVECcL08RMGXoGMajojI8CE+cmkaWLq3PZt08Sv0F/Itop
O8XAZ2bYTK4HQfPm+Fud22SD+DkSwt8vN8Lu2g==
-----END CERTIFICATE REQUEST-----

Navigare in questi densi dati testuali può essere difficile, quindi forniamo l'accesso a un utile strumento di decodifica delle CSR. È possibile utilizzarlo facilmente per verificare se i dettagli contenuti nella CSR (come la sede o il nome dell'organizzazione) sono accurati.

Importanza delle richieste di firma dei certificati (CSR)

Il CSR rappresenta una delle prime e più importanti fasi del processo di ottenimento di un certificato SSL/TLS. Le informazioni contenute nella CSR consentono alla CA di creare i certificati richiesti.

Per molti versi, il ruolo della CSR si riduce alla fiducia: promuovendo e rivelando l'autenticità del sito web, questa risorsa stabilisce una necessaria base di fiducia tra due parti, la CA e l'organizzazione che richiede il certificato SSL. Le CA hanno il potere e la responsabilità della verifica e non prendono alla leggera questa autorità. È attraverso le CSR che le CA sono in grado di facilitare la fiducia collettiva nella PKI.

Da un punto di vista pratico, le CSR sono importanti perché, senza di esse, sarà praticamente impossibile ottenere i tanto necessari certificati SSL/TLS da CA fidate. Questi certificati sono fondamentali per sviluppare la fiducia dei clienti, che vogliono essere certi che le loro informazioni siano trasmesse in modo sicuro. La Certificate Signing Request costituisce la base di questo rapporto di fiducia.

Come generare un CSR su diverse piattaforme

Ora che avete capito il valore di una CSR, è il momento di fare il passo successivo: produrre e inviare la richiesta ufficiale. Questo può essere complicato, in parte, perché la generazione del codice CSR può essere diversa da una piattaforma all'altra. Ogni piattaforma presenta vantaggi e sfide diverse, ma di seguito abbiamo evidenziato alcune delle soluzioni più comuni:

OpenSSL

OpenSSL, uno strumento a riga di comando open-source, fornisce un quadro comune per la ricerca di CSR. È interessante non solo per il suo status di open-source, ma anche per la sua relativa facilità d'uso. Viene spesso utilizzato per produrre CSR attraverso gli ambienti di web hosting Nginx e Apache. Questa strategia è anche particolarmente valida per produrre CSR ECC (Elliptic Curve Cryptography Certificate Signing Requests).

Con l'approccio OpenSSL, spesso preferito, il comando necessario appare come segue:

openssl req -new -newkey rsa:2048 -nodes -keyout server.key -out server.csr

Una volta richiesto, è possibile inserire i dettagli del CSR di cui sopra, come la posizione e l'FQDN. Il codice di accesso non è obbligatorio, ma può essere una valida opzione per aumentare la sicurezza.

Gestore IIS

Un altro approccio comune riguarda Internet Information Services (IIS) Manager di Microsoft. Visitate la pagina Connessioni all'interno di IIS Manager, spostandovi accanto al menu Certificati del server e quindi alla pagina Azioni.

Da qui, la pagina Distinguished Name Properties fornirà uno strumento di richiesta del certificato, in cui è possibile inviare l'FQDN e altri elementi essenziali. Non dimenticate di indicare la lunghezza del bit e il provider crittografico.

Altre opzioni

Alcune organizzazioni preferiscono lavorare con piattaforme specifiche per generare CSR. Indipendentemente dalla piattaforma desiderata, siamo lieti di fornire assistenza e guida in ogni fase del processo. Le opzioni alternative su cui forniamo dettagli di generazione includono:

Problemi e suggerimenti comuni

Spesso, la sfida più grande nella creazione di un CSR riguarda la lettura e la comprensione della richiesta effettiva quando è nel formato PEM raccomandato. Altri problemi comuni sono:

  • Informazioni imprecise sul nome. L'attenzione ai dettagli è fondamentale quando si crea e si invia un CSR. Ciò è particolarmente importante per i dettagli del nome, compresi sia l'FQDN che il nome legale dell'azienda in questione. Da qui la necessità di un decodificatore per verificare che i nomi siano presentati in modo accurato.
  • Cercare certificati SSL multidominio. La generazione di CSR non deve necessariamente causare continui grattacapi quando si vuole proteggere più domini. In caso di dubbio, i file di configurazione di OpenSSL possono essere modificati per includere i nomi Alt o SAN. Come sempre, i requisiti variano in base al tipo di certificato e al livello di convalida desiderato.
  • Test e decodifica della CSR. Per assicurarsi che la CSR sia pronta per essere inviata alla CA desiderata, utilizzare uno strumento di decodifica per verificare che sia formattata correttamente. Sectigo offre gratuitamente l'accesso a un decodificatore di CSR, in modo che possiate sentirvi sicuri quando inviate il vostro CSR e fate uno dei passi più importanti per ottenere i certificati SSL/TLS.

Proteggete il vostro sito web con Sectigo

Ora che avete familiarità con il processo CSR, è il momento di determinare quali certificati utilizzare per proteggere il vostro sito web. Sectigo offre un processo CSR semplice e una serie di opzioni per ottenere e gestire i certificati digitali. Le nostre soluzioni di gestione del ciclo di vita dei certificati semplificano il processo, in modo che possiate proteggere con sicurezza le identità su scala.

Vi consigliamo anche di leggere la nostra risorsa sui vari tipi di certificati SSL, in modo da poter determinare il certificato giusto per le vostre esigenze. Non esitate a contattarci se desiderate saperne di più sui CSR e sul ruolo che svolgono nell'ottenimento dei certificati SSL.

Messaggi relativi: