IBM Cloud Docs
Gestione dei certificati di origine

Gestione dei certificati di origine

I certificati di origine sono certificati TLS gratuiti emessi da IBM Cloud® Internet Services che criptano il traffico tra il server di origine e gli utenti. Ordina certificati TLS gratuiti da installare sul tuo server di origine.

I certificati di origine CIS sono validi solo per l'utilizzo in CIS.

Ordinazione di un certificato di origine

Per ordinare un certificato di origine, fornisci una richiesta di firma del certificato (CSR) oppure seleziona un tipo di chiave privata affinché CIS generi una chiave e una CSR.

Specifica massimo 100 nomi host (inclusi i caratteri jolly) nella tua origine protetta dal certificato. I caratteri jolly forniscono solo un livello di copertura. Utilizzare più caratteri jolly sullo stesso certificato per una copertura più ampia (ad esempio *.yourdomain.com e *.yoursubdomain.yourdomain.com). CIS Origine Certificati non consentono indirizzi IP.

Specifica la scadenza. La scadenza del certificato predefinito è di 15 anni; la scadenza più breve è di sette giorni.

La chiave privata è disponibile solo immediatamente dopo aver ordinato un certificato se la chiave privata e la CSR sono state generate da CIS.

Installazione di un certificato di origine sul tuo server

Apache httpd

  1. Ordina un certificato di origine.

  2. Copia la chiave privata e il certificato di origine in formato PEM in file separati nella directory sul server in cui sono conservati i file della chiave e del certificato.

  3. Individua il tuo file di configurazione Apache. In genere, i nomi dei file sono httpd.conf o apache2.conf e le posizioni sono /etc/httpd/ o /etc/apache2/. Tuttavia, il file di configurazione potrebbe variare, soprattutto se si utilizza un'interfaccia speciale per gestire il server. Fare riferimento a Apache 's DistrosDefaultLayout per un elenco completo dei layout di installazione predefiniti. Il seguente comando è un modo per ricercare il file di configurazione SSL su linux.

    grep -i -r "SSLCertificateFile" /etc/httpd/
    
  4. Individuare il blocco dell' <VirtualHost> e da configurare. Facoltativamente, copiare l'host virtuale non protetto esistente per rendere disponibile il sito tramite HTTP e HTTPS, poiché ogni tipo di connessione richiede un host virtuale.

  5. Configurare il blocco dell' <VirtualHost> e per SSL. Il seguente esempio rappresenta una configurazione semplice per SSL. Usa le riprese per il tuo certificato e chiave privata. SSLCertificateFile è il tuo nome file certificato di origine CA e SSLCertificateKeyFile è il tuo nome file chiave privato CA.

    <VirtualHost 192.168.0.1:443>
      DocumentRoot             /var/www/html2
      ServerName               www.mydomain.com
      SSLEngine                on
      SSLCertificateFile       /path/to/your_domain_name.crt
      SSLCertificateKeyFile    /path/to/your_private.key
    </VirtualHost>
    
  6. Verifica la tua configurazione. Prima di riavviare Apache, verificare che i file di configurazione non abbiano errori. Esegui il seguente comando per verificare la tua configurazione.

    apachectl configtest
    
  7. Riavvia Apache. Esegui i seguenti comandi per riavviare Apache con il supporto SSL.

    apachectl stop
    apachectl start
    

Se il supporto SSL non viene caricato con apache start, esegui il comando apachectl startssl. Se Apache inizia con il solo supporto SSL utilizzando apachectl startssl, si consiglia di regolare la configurazione di avvio di Apache per includere il supporto SSL nel comando apachectl start. In caso contrario, se un server viene riavviato, potrebbe essere necessario riavviare manualmente Apache con apachectl startssl. Questo riavvio comporta in genere la rimozione dei tag " <IfDefine SSL> " e " </IfDefine SSL> " che racchiudono la configurazione.

NGINX

  1. Ordina un certificato di origine.

  2. Copia la chiave privata e il certificato di origine nel formato PEM in file separati nella directory sul tuo server in cui conservi la chiave e i file certificato.

  3. Aggiorna il tuo file degli host virtuali NGINX. Modifica il file dell'host virtuale NGINX per il tuo sito web. Il seguente esempio rappresenta un blocco di server per il supporto SSL. Abilita il parametro " ssl " sulle prese di ascolto nel blocco server affinché il tuo sito sia disponibile tramite HTTP e HTTPS.

    server {
      listen    80;
      listen    443;
    
      ssl       on;
      ssl_certificate         /path/to/your_certificate.pem;
      ssl_certificate_key     /path/to/your_private.key;
      location / {
        root    /home/www/public_html/yourdomain.com/public/;
        index   index.html;
      }
    }
    
  4. Riavvia NGINX. Esegui uno dei seguenti comandi per riavviare NGINX.

    sudo /etc/init.d/nginx restart
    sudo systemctl restart nginx
    

Apache Tomcat

  1. Ordina un certificato di origine.

  2. Copia la chiave privata e il certificato di origine nel formato PKCS #7 (cert.p7b) in file separati nella directory sul tuo server dove conservi la chiave e i file certificato.

    È necessario installare il file del certificato SSL nello stesso archivio delle chiavi e con lo stesso alias (o "server") utilizzato per generare la richiesta di firma del certificato. L'installazione nella fase successiva non funziona se il file del certificato SSL è installato in un archivio chiavi diverso.

  3. Installa il certificato. Esegui il seguente comando per installare il file certificato SSL nel tuo keystore.

    keytool -import -trustcacerts -alias server -file cert.p7b -keystore your_site_name.jks
    

    Appare un messaggio di conferma: "La risposta del certificato è stata installata nella memorizzazione chiave" Immetti y o yes se ti viene chiesto di rendere attendibile il certificato. Il file keystore ( your_site_name.jks ) è ora pronto per essere utilizzato sul server Tomcat.

  4. Configura il tuo connettore SSL. Configurare un connettore SSL per consentire a Tomcat di accettare connessioni sicure.

    1. Apri il file server.xml di Tomcat in un editor di testo. Di norma, il file server.xml si trova nella cartella conf della directory home del tuo Tomcat.
    2. Identifica il connettore da utilizzare per proteggere il nuovo keystore. Di norma viene utilizzato un connettore con la porta 443 o 8443.
    3. Rimuovere eventuali tag di commento che potrebbero essere intorno al connettore.
    4. Aggiorna il nome file keystore corretto e la password nella configurazione del tuo connettore.

    Il seguente esempio rappresenta un blocco connettore SSL configurato.

    <Connector port="443" maxHttpHeaderSize="8192" maxThreads="150"
    minSpareThreads="25" maxSpareThreads="75" enableLookups="false"
    disableUploadTimeout="true" acceptCount="100" scheme="https"
    secure="true" SSLEnabled="true" clientAuth="false" sslProtocol="TLS"
    keyAlias="server" keystoreFile="/home/user_name/your_site_name.jks"
    keystorePass="your_keystore_password" />
    

    Se la versione di Tomcat è precedente alla 7, cambiare keystorePass con keypass.

  5. Salva il tuo file server.xml.

  6. Riavvia Tomcat.

Microsoft Internet Information Services (IIS) 7.0

  1. Creare un CSR in IIS Manager ed esportarlo come file .pem. IIS Manager si trova in Administrative Tools.

  2. Ordina un certificato di origineCIS utilizzando la tua CSR.

  3. Copia il certificato di origine sul desktop del tuo server.

  4. Apri IIS Manager e seleziona il nome host del tuo server in Connections.

  5. Seleziona Server Certificates dalla sezione IIS nel menu centrale.

  6. Seleziona l'azione Complete Certificate Request dal menu Actions. Nella pagina Specify Certificate Authority Response in File name containing the certification authority's response, fai clic ... per passare al file certificato .cer che è stato copiato sul desktop, seleziona il file e fai clic su Open.

  7. Immetti un nome descrittivo per il certificato. Il nome descrittivo identifica il certificato.

  8. Seleziona OK per completare l'installazione del certificato nel tuo server.

  9. Collega il certificato al tuo sito web. Seleziona il tuo sito web espandendo Sites sotto il nome del tuo server nel menu in Connections in IIS Manager. Seleziona Bindings in Edit Site dal menu Actions. Seleziona Add dalla finestra Site Bindings e inoltra le seguenti informazioni.

    Type              https
    IP Address        All Unassigned
    Port              443
    SSL Certificate   your_cert_friendly_name
    
  10. Ora il tuo sito web è configurato per accettare connessioni sicure.

Microsoft Internet Information Services (IIS) 8.0 e 8.5

  1. Creare un CSR in IIS Manager ed esportarlo come file .pem. IIS Manager si trova in Administrative Tools.

  2. Ordina un certificato di origineCIS utilizzando la tua CSR.

  3. Copia il certificato di origine sul desktop del tuo server.

  4. Apri IIS Manager e seleziona il nome host del tuo server in Connections.

  5. Seleziona Server Certificates dalla sezione IIS nel menu centrale.

  6. Seleziona l'azione Complete Certificate Request dal menu Actions. Nella pagina Specify Certificate Authority Response in File name containing the certification authority's response, fai clic ... per passare al file certificato .cer che è stato copiato sul desktop, seleziona il file e fai clic su Open.

  7. Immetti un nome descrittivo per il certificato. Il nome descrittivo identifica il certificato.

  8. Seleziona OK per completare l'installazione del certificato nel tuo server.

  9. Collega il certificato al tuo sito web. Seleziona il tuo sito web espandendo Sites sotto il nome del tuo server nel menu in Connections in IIS Manager. Seleziona Bindings in Edit Site dal menu Actions. Seleziona Add dalla finestra Site Bindings e inoltra le seguenti informazioni.

    Type              https
    IP Address        All Unassigned
    Port              443
    SSL Certificate   your_cert_friendly_name
    
  10. Se si dispone di più siti che utilizzano SSL associato allo stesso indirizzo IP, è possibile configurare il certificato SSL per utilizzare l'indicazione del nome del server (SNI). Seleziona la casella Require Server Name Indication.

  11. Ora il tuo sito web è configurato per accettare connessioni sicure.

Catene di certificati

In alcuni casi, i server web di origine richiedono il caricamento della catena di certificati. Utilizzare questi link per scaricare una versione ECC o RSA e quindi caricare la catena di certificati sul server web di origine.

Revoca di un certificato di origine

Elimina il tuo certificato di origine CIS. Questo processo non può essere annullato.