Creazione di una chiave
Per generare una chiave occorre collegarsi come root.
Anzitutto, con il comando cd andate alla directory /etc/httpd/conf. Cancellate la chiave e il certificato creati durante l'installazione digitando i comandi seguenti:
rm ssl.key/server.key rm ssl.crt/server.crt |
Adesso dovete creare la vostra chiave random. Passate nella directory /usr/share/ssl/certs e digitando il comando:
make genkey |
Il sistema visualizza un messaggio simile a questo:
umask 77 ; \ /usr/bin/openssl genrsa -des3 1024 > /etc/httpd/conf/ssl.key/server.key Generating RSA private key, 1024 bit long modulus .......++++++ ................................................................++++++ e is 65537 (0x10001) Enter PEM pass phrase: |
Dovete digitare una password. Per maggiore sicurezza, la password deve contenere almeno otto caratteri, numeri e/o punteggiatura e non essere una parola che abbia senso. Ricordate che la vostra password distingue le lettere minuscole da quelle maiuscole.
 | Nota Bene |
|---|---|
La password deve essere inserita ogni volta che avviate il vostro server Web sicuro, perci� non ve la dimenticate! |
Vi viene chiesto di ridigitare la password per verificare che sia corretta. Dopodich� viene creato un file contenente la chiave, chiamato /etc/httpd/conf/ssl.key/server.key.
Se non volete digitare la password ogni volta che avviate il server Web sicuro, non usate make genkey per creare la chiave, ma i due comandi seguenti.
Digitate:
/usr/bin/openssl genrsa 1024 > /etc/httpd/conf/ssl.key/server.key |
per creare la chiave. Quindi usate questo comando:
chmod go-rwx /etc/httpd/conf/ssl.key/server.key |
perch� le autorizzazioni siano impostate correttamente nella chiave.
Se usate questi comandi per creare la chiave, non dovete usare la password per avviare il server Web sicuro.
 | Attenzione |
|---|---|
La disattivazione della password � vivamente SCONSIGLIATA per motivi di sicurezza. |
I problemi associati all'assenza di password sono strettamente legati alla sicurezza della macchina. Per esempio se qualcuno compromette la sicurezza UNIX della macchina host, tale persona potrebbe ottenere la vostra chiave privata (il contenuto del file server.key) e usarla per fornire pagine Web che sembreranno provenire dal vostro server Web.
Se le regole di sicurezza UNIX vengono rigorosamente rispettate sul computer host (tutte le correzioni e gli aggiornamenti del sistema operativo vengono installati appena sono disponibili, nessun servizio inutile o pericoloso � in funzione ecc.) la password pu� sembrare inutile. Tuttavia, poich� il server Web sicuro non deve essere riavviato spesso, l'ulteriore sicurezza fornita dalla password �, nella maggior parte dei casi, di grande aiuto.
Il file server.key deve appartenere all'utente root del sistema e non deve essere accessibile ad altri utenti. Create una copia di backup del file e conservatela in un luogo sicuro. La copia di backup � necessaria, poich� se perdete il file server.key dopo averlo usato per formulare la richiesta di certificato, il vostro certificato smetter� di funzionare e la CA non vi potr� aiutare. In tal caso non vi resta che acquistare un nuovo certificato.
Se volete acquistare un certificato da una CA, consultate la sezione Come richiedere un certificato a una CA. Se invece volete creare voi stessi il certificato, consultate la sezione Creazione di un certificato "self-signed".