Come richiedere un certificato a una CA

Una volta creata la chiave dovete formulare una richiesta di certificato da inviare a una CA. Assicuratevi di essere nella directory /usr/share/ssl/certs e poi digitate il comando seguente:

make certreq

Il sistema visualizza il seguente messaggio e vi chiede di digitare la password (se non avete disattivato la funzione password):

umask 77 ; \
/usr/bin/openssl req -new -key /etc/httpd/conf/ssl.key/server.key 
-out /etc/httpd/conf/ssl.csr/server.csr
Using configuration from /usr/share/ssl/openssl.cnf
Enter PEM pass phrase:
	

Digitate la password che avete scelto durante la creazione della chiave. Il sistema visualizza alcune istruzioni e vi chiede delle informazioni. Le informazioni fornite vengono incorporate nella richiesta. Il messaggio, al quale sono state aggiunte risposte di esempio, � simile a:

You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a
DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [GB]:US
State or Province Name (full name) [Berkshire]:North Carolina
Locality Name (eg, city) [Newbury]:Raleigh
Organization Name (eg, company) [My Company Ltd]:Test Company
Organizational Unit Name (eg, section) []:Testing
Common Name (your name or server's hostname) []:test.example.com
Email Address []:[email protected]
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

Le risposte di default compaiono fra parentesi quadre [] subito dopo ogni richiesta di informazione. Per esempio la prima informazione richiesta � il paese dove verr� usato il certificato:

Country Name (2 letter code) [GB]:
      

La risposta di default, fra parentesi, � GB. Per accettarla, premete [Invio], altrimenti digitate le lettere corrispondenti al vostro paese.

Adesso inserite le altre informazioni (State or Province Name, Locality Name, Organization Name, Organizational Unit Name, Common Name, e Email address). Per farlo, seguite le istruzioni riportate qui di seguito:

• Non abbreviate la localit� o lo stato. Scriveteli per esteso (per esempio Novi L. deve essere scritto Novi Ligure).

• Se mandate questa richiesta a una CA, fate attenzione a fornire informazioni corrette per tutti i campi, ma soprattutto per l' Organization Name e il Common Name. La CA controlla le informazioni fornite. Le richieste contenenti informazioni non valide vengono rifiutate dalle CA.

• In Common Name, assicuratevi di inserire il vero nome del vostro server sicuro (un nome DNS valido) e non un eventuale alias del server.

• L'Email Address deve corrispondere all'indirizzo e-mail del Webmaster o dell'amministratore di sistema.

• Evitate caratteri speciali quali @, #, &, !, ecc. Alcune CA rifiutano le richieste che contengono caratteri speciali. Se il nome della vostra societ� contiene il carattere (&), sostituitelo con "e".

• Non usate i campi A challenge password e An optional company name. Per continuare senza inserire dati in questi campi, premete [Invio] in modo che vengano accettate le informazioni di default.

Quando avete finito di fornire le informazioni richieste, viene creato il file /etc/httpd/conf/ssl.csr/server.csr. Questo file contiene la richiesta ed � pronto per essere inviato alla vostra CA.

Quando avete deciso a quale CA rivolgervi, seguite le istruzioni fornite nel sito Web corrispondente. La CA vi dice come inviare la richiesta, se sono necessari altri documenti e quanto dovete pagare.

Una volta che avete eseguito tutte le operazioni richieste, la CA invia (solitamente via e-mail) il certificato. Salvatelo (oppure fate un taglia e incolla) come /etc/httpd/conf/ssl.crt/server.crt.