Installazione del certificato SSL su
OpenSSL (Apache w/mod_ssl, NGINX, OS X)

Come installare il certificato SSL su
OpenSSL (Apache w/mod_ssl, NGINX, OS X)?

1. Estrarre tutto il contenuto del file .ZIP ricevuto e salvarlo nella directory del server Apache in cui si vuole archiviare il certificato. I file estratti sono solitamente chiamati: yourDomainName.crt e yourDomainName.ca-bundle

Configurazione Tipica:

• Spostare la chiave privata generata durante la creazione del CSR nella directory ssl.key, che solitamente si trova in /etc/ssl/ (è possibile accedervi solo con Apache).
• Spostare yourDomainName.crt e yourDomainName.ca-bundle nella ssl.crt directory, che solitamente si trova nella directory /etc/ssl/.
• Modificare il file che contiene la configurazione SSL con l'editor di testo preferito.
  Nota: la posizione di questo file può variare in base alla versione. Nel file di configurazione globale Apache, cercare le linee che iniziano con Include.

File di configurazione di Apache

• Fedora/CentOS/RHEL: /etc/httpd/conf/httpd.conf
• Debian and Debian based: /etc/apache2/apache2.conf

File di configurazione del certificato SSL (alcuni nomi possibili)

• httpd-ssl.conf
• ssl.conf
• Nella directory /etc/apache2/sites-enabled/.

Nota: se necessario, consultare le istruzioni originali per Apache ModSSL all'indirizzo http://httpd.apache.org/docs/2.0/mod/mod_ssl.html

2. Nella sezione VirtualHost, se non sono state create, aggiungere queste direttive.

• SSLEngine on
• SSLCertificateKeyFile /etc/ssl/ssl.key/server.key
• SSLCertificateFile /etc/ssl/ssl.crt/yourDomainName.crt
• SSLCertificateChainFile /etc/ssl/ssl.crt/yourDomainName.ca-bundle

Apache 1.3.x:

SSLEngine on
SSLCertificateKeyFile /etc/ssl/ssl.key/server.key
SSLCertificateFile /etc/ssl/ssl.crt/yourDomainName.crt
SSLCACertificateFile /etc/ssl/ssl.crt/yourDomainName.ca-bundle

Apache 2.x:

SSLEngine on
SSLCertificateKeyFile /etc/ssl/ssl.key/server.key
SSLCertificateFile /etc/ssl/ssl.crt/yourDomainName.crt
SSLCertificateChainFile /etc/ssl/ssl.crt/yourDomainName.ca-bundle

3. Salvare le modifiche e poi riavviare Apache. In alcuni casi può essere necessario arrestare e avviare Apache affinché l’installazione abbia effetto.

Note:
Se si è impostata una password nella chiave privata, bisognerà inserirla ogni volta che Apache viene avviato o riavviato. Apache non si avvierà completamente fino all'inserimento della password.

Il file di configurazione viene spesso chiamato httpd.conf o apache.conf, anche se a volte la sezione specifica SSL viene inserita in un file separato chiamato ssl.conf e collegata alla configurazione principale da un comando 'Include'.

A volte, la sezione VirtualHost si trova in un file specifico, in una sottodirectory chiamata sites-enabled/.

Come installare il certificato SSL su NGINX?

Prerequisiti associare il CAbundle e il file del certificato ricevuti da GlobalTrust utilizzando il seguente comando:

 cat domain_com.crt domain_com.ca-bundle > ssl-bundle.crt 

Se si utilizza un editor di testo (Ex: Blocco note):

• Per associare i file del certificato in un singolo file bundle, per prima cosa aprire i file domainname.crt e domainname.ca-bundle usando qualsiasi editor di testo.
• Ora copiare tutto il contenuto di domainname.crt e incollarlo nella parte superiore del file domainname.ca-bundle.
• Ora salvare il nome del file come "ssl-bundle.crt".

Nota: se non si possiede il file "ca-bundle", può essere richiesto al nostro supporto

Installazione:

1. Salvare i file ricevuti nella cartella ssl nginx appropriata
ES:

> mkdir -p /etc/nginx/ssl/example_com/
> mv ssl-bundle.crt /etc/nginx/ssl/example_com/

2. Archiviare la Chiave Privata nella cartella appropriata di ssl nginx
ES:

mv example_com.key /etc/nginx/ssl/example_com/

3. Assicurarsi che la configurazione di nginx punti correttamente ai file dei certificati e alla chiave privata generata in precedenza:

server {
listen 443;
server_name domainname.com;
ssl on;
ssl_certificate /etc/ssl/certs/ssl-bundle.crt;
ssl_certificate_key /etc/ssl/private/domainname.key;
ssl_prefer_server_ciphers on;
}

Nota: se si utilizza un certificato con più domini o wildcard (*), è necessario modificare i file di configurazione per ciascun dominio/sottodominio incluso nel certificato. È necessario specificare il dominio/sottodominio che si vuole proteggere e fare riferimento agli stessi file di certificato nel registro di VirtualHost, come descritto sopra.

4. Supporto per lo Stapling OCSP:
Sebbene sia facoltativo, si consiglia vivamente di abilitare lo Stapling (Pinzatura) OCSP che migliorerà la velocità di handshake SSL del sito web. NginX ha la funzionalità di Stapling OCSP abilitata dalla versione 1.3.7.

Per utilizzare lo Stapling OCSP in NginX, è necessario impostare quanto segue nella configurazione:

## OCSP Stapling
resolver 127.0.0.1;
ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate <file>;

Dove <file> è la posizione e il nome (percorso) del ca-bundle.

Nota: Affinché ssl_stapling_verify e ssl_stapling funzionino, è necessario assicurarsi che siano stati installati tutti i certificati intermedi e la root.

5. Dopo aver apportato le modifiche al file di configurazione, controllare il file per eventuali errori di sintassi prima di tentare di usarlo. Il seguente comando controllerà eventuali errori:

sudo nginx -t -c /etc/nginx/nginx.conf

6. Riavviare il server. Eseguire il seguente comando:

sudo /etc/init.d/nginx restart

Guide