Guida all'installazione del certificato SSL

I certificati Secure Sockets Layer (SSL) / Transport Layer Security (TLS), essendo il protocollo moderno, proteggono la comunicazione digitale attraverso la crittografia e l'autenticazione. Questi certificati possono essere ottenuti tramite un'autorità di certificazione (CA), che è responsabile della verifica delle identità e, in ultima analisi, dell'emissione dei certificati richiesti.

Una volta emessi da una CA, i certificati SSL/TLS devono essere installati per diventare attivi. Questo processo di installazione fa passare il certificato dalla fase di registrazione alla fase di provisioning del ciclo di vita del certificato, abilitandolo all'uso attivo. Una volta installati, i certificati abilitano la crittografia sicura dei dati e passano alla fase di monitoraggio, garantendo una sicurezza continua fino al rinnovo.

Sebbene l'installazione dei certificati sia un processo tecnico, non deve essere un'operazione eccessiva. Questa guida fornisce una descrizione completa dell'installazione dei certificati SSL, con istruzioni dettagliate per i vari server e piattaforme, oltre a informazioni sul ruolo delle richieste di firma dei certificati (CSR) e delle chiavi pubbliche nel processo di installazione.

Cosa è necessario fare prima dell'installazione?

Le richieste di firma del certificato (CSR) svolgono un ruolo fondamentale nelle prime fasi del ciclo di vita del certificato SSL, tra cui la richiesta, l'iscrizione e l'emissione. Devono essere create e inviate all'inizio del processo e, senza di esse, l'installazione non sarà possibile. Questi messaggi criptati contengono informazioni cruciali sulle persone o sulle organizzazioni che richiedono i certificati SSL/TLS.

Gli elementi essenziali per l'identificazione del richiedente sono:

• Uno o più nomi alternativi del soggetto (SAN), che rivelano una posizione specifica all'interno del sistema dei nomi di dominio (DNS).
  
• Il nome dell'organizzazione, ad esempio la ragione sociale ufficiale, per i certificati OV ed EV L'indirizzo legale in cui ha sede l'organizzazione.
  
• (facoltativamente) L'indirizzo e-mail utilizzato o associato all'organizzazione richiedente.
  

La creazione di un CSR genera automaticamente una chiave pubblica, che funge da metà della coppia di chiavi necessaria per i certificati SSL. Una volta ricevute le informazioni del CSR, la CA dovrebbe essere pronta a creare il certificato richiesto.

Un altro passo fondamentale prima dell'installazione? Determinare il tipo di certificato SSL da installare. Ci sono diverse opzioni disponibili, ma la decisione si riduce al livello di convalida necessario. Oltre ad esaminare i certificati EV (Extended Validation), che offrono il massimo livello di convalida, OV (Organization Validation) e DV (Domain Validation), è necessario conoscere le altre opzioni, tra cui i certificati SSL a dominio singolo, wildcard e multidominio.

Come installare un certificato SSL

Prima di poter installare il certificato SSL, è necessario inviare il CSR alla CA, che può fornire istruzioni specifiche per completare la convalida del dominio.

Una volta completata la convalida, la CA invierà i file del certificato SSL. Questi possono includere più file, come il certificato stesso e il certificato intermedio che collega il certificato principale ai certificati degli utenti finali, stabilendo la fiducia senza esporre direttamente il certificato principale. Per la maggior parte dei server, la fase successiva prevede il caricamento dei file del certificato e la modifica dei file di configurazione, se necessario.

Istruzioni per l'installazione di SSL per diversi server/piattaforme

Il processo di installazione SSL può svolgersi in modo diverso con vari servizi e piattaforme. A tal fine, è necessario seguire le istruzioni specifiche del server per assicurarsi che il certificato sia installato correttamente. Di seguito sono riportati alcuni esempi di procedure di installazione:

• Zimbra. Accedere alla console amministrativa di Zimbra e selezionare Configura, quindi Certificato. Quindi, selezionare Installa certificato. Utilizzare la procedura guidata di installazione del certificato per selezionare il server di destinazione e l'opzione di installazione del “certificato con firma commerciale”. Caricare i file prima di fare clic su Installa.
  
• Nginx Webserver. Riceverete un file “ca-bundle” via ZIP. Utilizzare il comando cat domain_com.crt domain_com.ca-bundle > ssl-bundle.crt per concatenare il file del certificato e il CAbundle. Quindi, memorizzare il bundle e la chiave privata nella cartella ssl di nginx. Considerare l'utilizzo di OCSP Stapling per aumentare la velocità dell'handshake SSL. Verificare la presenza di errori di sintassi e riavviare il server.
  
• Tomcat KeyStore. Iniziare con il comando keytool -import -trustcacerts -alias server -file your_site_name.p7b -keystore your_site_name.jks. Una conferma dovrebbe rivelare che il certificato di risposta è stato installato. Confermare la fiducia nel certificato. Per configurare, aprire il file Tomcat server.xml in un editor di testo. Individuare il connettore che il keystore dovrà proteggere. Specificare il nome del file del keystore e la password. Salvare le modifiche nel file server.xml e riavviare Tomcat.
  
• Outlook Web Access. Aprire Gestione servizi Internet e poi Proprietà. Selezionare Sicurezza directory e Certificati server. In Richiesta di certificato in sospeso, selezionare l'opzione per elaborare la richiesta in sospeso. Individuare il certificato ricevuto in precedenza in Elabora una richiesta in sospeso. Visualizzate il riepilogo del certificato e fate clic su Avanti. Installare il certificato intermedio e abilitare l'SSL per Outlook Web Access. Questa operazione coinvolge la directory di Exchange e in particolare la scheda Sicurezza della directory. Fare clic su Modifica in Comunicazione sicura. Selezionate la casella relativa a Richiedi canale sicuro (SSL).
  

Questo è solo un piccolo esempio dei diversi processi che possono essere seguiti per l'installazione dei certificati SSL/TLS. Sectigo consente di accedere facilmente a una serie di istruzioni specifiche per server e piattaforme, tra cui le seguenti:

• Apache OpenSSL
  
• Citrix Netscaler VPX
  
• FreeIPA
  
• Microsoft IIS 8.x
  
• Fortigate SSL VPN
  
• SAP Web Dispatcher e applicazione Web
  
• QNAP NAS
  
• GLASSFISH
  
• OS X Apple Mail e Outlook
  
• cPanel 11

Passi successivi

Quando si scelgono i certificati SSL, bisogna tenere presente cosa succede dopo la loro distribuzione: dovranno essere testati e, eventualmente, rinnovati.

Diversi strumenti a riga di comando (come OpenSSL) possono confermare che i certificati SSL/TLS sono stati installati correttamente. Questi strumenti possono anche verificare la presenza di vulnerabilità. Dopo un test riuscito, è consigliabile un monitoraggio per garantire che eventuali nuove vulnerabilità vengano prontamente rivelate e affrontate.

L'attuale durata dei certificati SSL si estende in genere a 397 giorni; tuttavia, i browser e le CA si stanno preparando a ridurre i periodi di validità, potenzialmente fino a 47 giorni entro il 2028, come proposto da Apple. Per questo motivo, è necessario sapere esattamente per quanto tempo il vostro certificato rimarrà valido e cosa dovrete fare per rinnovarlo.

Se si riscontrano problemi durante o dopo l'installazione, consultare l'autorità di certificazione per ottenere assistenza. Oltre a fornire il certificato SSL vero e proprio, la CA offre una guida che comprende non solo istruzioni dettagliate per l'installazione dei certificati, ma anche la risoluzione dei problemi e altri servizi di assistenza.

Affidatevi a Sectigo per le vostre esigenze di certificati SSL

La scelta della CA giusta è fondamentale per garantire un processo di installazione senza intoppi e per sfruttare al meglio i certificati SSL/TLS una volta installati. Scegliete una CA affidabile che abbia una solida esperienza e la reputazione di lavorare a stretto contatto con i clienti.

Sectigo offre certificati digitali adatti a ogni tipo di organizzazione. Offriamo di tutto, dai singoli certificati SSL alle opzioni wildcard e multidominio. Inoltre, possiamo offrire diversi livelli di convalida. Non esitate a consultare i nostri prodotti o a contattarci per scoprire come i vari tipi di certificati SSL/TLS possono migliorare la vostra strategia di sicurezza.

Messaggi relativi:

7 diversi tipi di certificati SSL spiegati

Spiegazione dei livelli di convalida dei certificati SSL DV, OV ed EV

L'evoluzione del ciclo di vita dei certificati SSL/TLS e come gestire i cambiamenti