Creazione di una chiave
Innanzitutto, andate alla directory /etc/httpd/conf usando il comando cd. Cancellate la chiave e il certificato creati durante l'installazione digitando i comandi seguenti:
rm ssl.key/server.key rm ssl.crt/server.crt |
Adesso create la vostra chiave di accesso digitando il comando:
make genkey |
Il sistema visualizza un messaggio simile a:
umask 77 ; \ /usr/bin/openssl genrsa -des3 1024 > /etc/httpd/conf/ssl.key/server.key Generating RSA private key, 1024 bit long modulus .......++++++ ................................................................++++++ e is 65537 (0x10001) Enter PEM pass phrase: |
Dovete digitare una password. Per maggiore sicurezza, la password deve contenere almeno otto caratteri, numeri e/o punteggiatura e non essere una parola che abbia senso. Ricordate che la vostra password riconosce le lettere minuscole da quelle maiuscole.
 | Nota Bene |
|---|---|
La password deve essere inserita ogni volta che avviate il vostro server sicuro, perciò non ve la dimenticate! |
Vi viene chiesto di ridigitare la password per verificare che sia corretta. Dopodiché viene creato un file contenente la chiave chiamato server.key.
Se non volete digitare la password ogni volta che avviate il server Web sicuro, non usate make genkey per creare la chiave, ma i due comandi seguenti. Entrambi i comandi devono essere digitati in modo da creare un'unica riga.
Digitate:
/usr/bin/openssl genrsa 1024 > /etc/httpd/conf/ssl.key/server.key |
per creare la chiave. Quindi usate questo comando:
chmod go-rwx /etc/httpd/conf/ssl.key/server.key |
perché le autorizzazioni siano impostate correttamente nella chiave.
Se usate questi comandi per creare la chiave, non dovete usare la password per avviare il server Web sicuro.
 | Attenzione |
|---|---|
La disattivazione della password è vivamente SCONSIGLIATA per motivi di sicurezza. |
I problemi associati all'assenza di password sono direttamente collegati alla sicurezza della macchina. Per esempio se qualcuno compromette la sicurezza UNIX della macchina host, tale persona potrebbe ottenere la vostra chiave privata (il contenuto del file server.key) e usarla per fornire pagine Web che sembreranno provenire dal vostro server Web.
Se le regole di sicurezza UNIX vengono rigorosamente rispettate sul computer host (tutte le patch e gli aggiornamenti del sistema operativo vengono installati appena sono disponibili, nessun servizio inutile o pericoloso è in funzione ecc.) la password può sembrare inutile. Tuttavia, poiché il server sicuro non deve essere riavviato spesso, l'ulteriore sicurezza fornita dalla password è nella maggior parte dei casi di grande aiuto.
Il file server.key deve appartenere all'utente root del sistema e non deve essere accessibile ad altri utenti. Create una copia di backup del file e conservatela in un luogo sicuro. La copia di backup è necessaria poiché se perdete il file server.key dopo averlo usato per formulare la richiesta di certificato, il vostro certificato smetterà di funzionare e la CA non vi potrà aiutare. In tal caso non vi resta che acquistare un nuovo certificato.
Se volete acquistare un certificato da una CA, andate alla la sezione Come richiedere un certificato a una CA. Se invece volete creare voi stessi il certificato, andate alla la sezione Creazione di un certificato "self-signed".