[Linux-Biella] certificati digitali https e (blear) IIS...

Marco Ermini markoer a markoer.org
Ven 14 Gen 2005 16:45:41 CET 

<quota chi="LeOS">
>
> buongiorno
>
> se ipoteticamente io avessi un cliente che ha un server merdows con IIS
> e se volessi realizzare per lui un simpatico certificato digitale, ma
> non avessi voglia di rivolgermi a un'autority a pagamento, potrei?
>
> la risposta e' teoricamente si...

E anche praticamente - però il client, come ben sai, viene avvertito del
fatto che il certificato non è firmato da un'authority riconosciuta.


> infatti mi dovrebbe essere sufficiente da merdoz usare il wizard che
> formula la richiesta e che crea un simpatico file chiamato certreq.txt
> da inviare ai signori certificatocreatori

Esatto.


> questi si spippolano un po' il file e ti restituiscono un qualcosa che
> buttato dentro sempre al wizard che ha lasciato il discorso in sospeso
> ti consente di importare il nuovo oggetto e terminare cosi'
> l'operazione.
>
> io ho provato a spippolare cosi' il file:
>
> openssl genrsa -out rsa.key 2048
>
> e mi genero una chiave rsa da 2048

ti conviene chiamarla "miodominio.it.key" così fai meno casino

> openssl x509 -req -days 365 -in certreq.txt -signkey rsa.key -out
> server-crt.cer
>
> con questo prendo la richiesta, e grazie alla chiave mi genero il mio
> certificato server-crt.cer
[...]
</quota>

A parte il fatto che a me risulta che invece dovresti fare "openssl req
-new -key miodominio.it.key -out domainname.csr" (e poi devi validare il
csr per ottenere il .crt o come lo chiami tu, .cer - almeno così io faccio
con Apache. Ma non sono un grande esperto di 'sta roba), se non sbaglio e
non dico sciocchezze, queste tue due prime operazioni sono quelle che GIA'
FAI con il wizard di IIS, ovvero generi il file .csr. Quindi non c'è
bisogno di rifarle a linea di comando.

Inoltre, credo che ciascun web server abbia un proprio formato, quindi la
procedura da seguire è diversa per ogni web server.

La cosa più facile da fare è andare su http://freessl.com e fai
l'enrollment per un certificato gratuito di 30 giorni; per 30 giorni sarà
valido come un certificato qualsiasi a pagamento, e dopo i 30 giorni sarà
semplicemente scaduto (e quindi sarà visualizzato al client un warning
simile a quello che vedresti se te lo fossi firmato da solo).

Ma soprattutto, non ti rompi tanto le p...e con merdos :-)


Ciao!
-- 
Marco Ermini
http://www.markoer.org
Dubium sapientiae initium. (Descartes)
root a human # mount -t life -o ro /dev/dna /genetic/research
<< This message is for the designated recipient only and may contain
privileged or confidential information. If you have received it in
error, please notify the sender immediately and delete the original.
Any other use of the email by you is prohibited. >>

Maggiori informazioni sulla lista Linux