Panoramica
Alla fine di questo articolo, imparerai come aggiungere un certificato Cross Signed (" CN =Sectigo Public Server Authentication Root R46/E46 firmato da " Issuer =USERTrust RSA Certification Authority") su Windows e rimuovere il certificato autofirmato (" CN -Sectigo Public Server Authentication Root R46/E46" " Issuer =Sectigo Public Server Authentication Root R46/E46") e associare correttamente il tuo certificato SSL a un sito Web utilizzando Microsoft IIS . Questa procedura serve a garantire che la catena di certificati sia completa e considerata attendibile dalla maggior parte dei browser.
Che cos'è un certificato Cross-Sign?
Le CA spesso controllano più certificati radice e, in genere, più vecchio è il certificato radice, più è ampiamente distribuito sulle piattaforme meno recenti. Per sfruttare questo vantaggio, le CA generano certificati a firma incrociata per garantire che i loro certificati siano il più ampiamente supportati possibile. Un certificato a firma incrociata si verifica quando un certificato radice viene utilizzato per firmarne un altro.
Passaggio 1: importare il certificato di firma incrociata
Per iniziare a configurare la catena di certificati SSL in IIS Windows, è necessario importare il certificato intermedio con firma incrociata corretto nell'archivio delle Autorità di certificazione intermedie.
Per importare il certificato intermedio con firma incrociata, seguire questi passaggi:
- Premere Win + R, digitare certlm.msc (per Macchina corrente) e premere Invio .
Nel Gestore certificati, vai su Autorità di certificazione intermedie → Certificati
Fare clic con il tasto destro del mouse su Certificati e scegliere Tutte le attività → Importa
Seguire la procedura guidata di importazione dei certificati:
- Fare clic su Avanti
- Fare clic su Sfoglia e selezionare il Certificato intermedio scaricato
- Scegli Metti tutti i certificati nel seguente archivio
- Conferma che le autorità di certificazione intermedie sono selezionate
- Fare clic su Fine
Scarica il certificato di firma incrociata appropriato qui sotto:
- RSA Intermedio: R46 (https://crt.sh/?d=11405654893)
- ECC Intermedio: E46 (https://crt.sh/?d=11405664274)
Una volta importato, il certificato apparirà in Autorità di certificazione intermedie → Certificati
Passaggio 2: rimuovere il certificato radice autofirmato R46/E46
Per mantenere una catena di certificati SSL sicura e affidabile, assicurarsi di rimuovere i certificati autofirmati
Certificati R46/E46 (se presenti).
Fare riferimento alle seguenti schermate per identificare i certificati R46/E46 autofirmati (se presenti).
Autenticazione del server pubblico Root R46 - Autofirmato:
Autenticazione del server pubblico Root E46 - Autofirmata:
Istruzioni da seguire per garantire la rimozione del certificato:
- Aprire il Gestore certificati (certlm.msc)
- Vai a Autorità di certificazione radice attendibili → Certificati
- Cercare:
- Autenticazione del server pubblico Sectigo Root R46
- AND / OR Sectigo Public Server Autenticazione Root E46
- Fare clic con il pulsante destro del mouse sul certificato e selezionare Elimina
Conferma quando richiesto
Passaggio 3: esportare il certificato SSL Leaf come file PFX
Il tuo certificato SSL (chiamato anche certificato di dominio/ foglio) con la sua chiave privata come file .pfx , necessario per l'importazione in IIS.
Istruzioni:
- Apri Certificate Manager, solitamente è certmgr.msc o certlm.msc (a seconda di quale abbia il certificato e la chiave privata)
- Vai a Personale → Certificati
- Trova il certificato rilasciato (solitamente denominato in base al tuo dominio)
- Fare clic con il tasto destro del mouse e selezionare Tutte le attività → Esporta
- Nella procedura guidata di esportazione:
- Scegli Sì, esporta la chiave privata
- Selezionare .PFX e spuntare le seguenti caselle:
- Includi tutti i certificati nel percorso di certificazione
- Esporta tutte le proprietà estese
- Abilita la privacy del certificato
- Imposta una password sicura quando richiesto
- Selezionare Sfoglia e scegliere la directory, assegnare un nome al file e salvare il file .pfx in una posizione sicura
Per saperne di più sull'esportazione del certificato come file PFX da Windows in dettaglio: Esportazione del certificato come file PFX da Windows
Passaggio 4: importare e associare il certificato in IIS
Dopo aver esportato il file PFX da Certmgr.msc , sarà necessario importare il file PFX appena creato e associare il certificato al sito utilizzando IIS Manager seguendo questi passaggi:
- Aprire Gestione IIS
- Seleziona il nome del tuo server nel pannello di sinistra
- Fare doppio clic su Certificati del server
Nel riquadro Azioni, fare clic su Importa
Scegli il file .pfx, inserisci la password e fai clic su OK
- Una volta importato, vai su:
- Siti → Il tuo sito web
- Fare clic su Associazioni nel pannello di destra
- Nella finestra Associazioni sito:
- Fai clic su Aggiungi o Modifica
- In Tipo, scegli https
- Indirizzo IP : seleziona Tutti non assegnati o scegli un indirizzo IP specifico
- Porta : Scegli 443
- Certificato SSL : scegli il nome descrittivo del tuo certificato
Fare clic su OK per associare il certificato SSL
Passaggio 5: riavviare IIS (questo passaggio è facoltativo)
Per applicare immediatamente le modifiche di associazione, riavviare IIS.
Istruzioni:
- Apri il prompt dei comandi come amministratore
- Eseguire il comando: iisreset. Questo riavvierà IIS e applicherà immediatamente le modifiche al binding del certificato.
- In alternativa, è possibile riavviare IIS tramite la console Servizi.
Passaggio 6: verificare la catena di certificati
Dopo aver completato i passaggi precedenti, verificare che la catena di certificati sia configurata correttamente utilizzando il seguente collegamento: https://globaltrust.ssllabs.com/
Lo strumento SSL Checker verifica se l'intera catena di certificati, inclusi eventuali certificati intermedi o con firma incrociata, è installata correttamente e considerata attendibile.
Nota: l'aggiunta del certificato di firma incrociata dovrebbe aiutare a ristabilire la fiducia per il certificato sui dispositivi legacy che potrebbero non riconoscere i nuovi certificati radice.
