SSLmentor

Certificati TLS/SSL di qualità per siti web e progetti su internet.

Accesso Clienti
OpenSSL

OpenSSL

Generazione di chiavi e richiesta di firma del certificato (CSR)

Creare una chiave privata e richiedere un certificato (chiave pubblica) può essere risolto in OpenSSL con un singolo comando e inserendo le informazioni necessarie. La richiesta di certificato (CSR) e la generazione di chiavi private possono essere facilmente eseguite anche nell'amministrazione del cliente SSLmentor.

OpenSSL

Per lavorare con i certificati, è necessario avere installata la libreria OpenSSL. Vedi la pagina OpenSSL per Windows e Mac OSX per istruzioni e link per il download.

Generazione di una richiesta di certificato (CSR) e chiave privata

Il comando crea una chiave privata e una richiesta di certificato. È necessario specificare un percorso per posizionare i file in un'altra directory.

openssl req -new -newkey rsa:2048 -nodes -out request.csr -keyout private.key

Per la generazione di chiavi e richieste di certificato, è importante che la richiesta contenga le informazioni corrette. La selezione di rsa: 2048 significa impostare la lunghezza della chiave. Per una maggiore sicurezza, è possibile impostare rsa: 3072 o rsa: 4096.
Importante! È sempre necessario compilare il nome di dominio e il codice del paese secondo lo standard ISO. Lasciare vuota la voce "Una password di sfida"!

OpenSSL - generování certifikátu

Verifica della richiesta di certificato (CSR)

Per verificare che la CSR (Certification Signing Request) sia corretta, è possibile eseguire il comando con il parametro "-verify" aggiunto. È consigliabile eseguire la verifica prima di inviare la richiesta all'autorità di certificazione. In alternativa, consigliamo di testare la CSR utilizzando lo strumento di DigiCert - Verifica la tua CSR.

openssl req -in request.csr -text -noout -verify

Informazioni inserite nella richiesta di certificato

Le seguenti informazioni vengono inserite durante la generazione delle chiavi (viene fornito un esempio di compilazione dopo la freccia).

  • Common name [CN]: nome di dominio -> www.sslmentor.com
  • Organization [O]: nome esatto dell'azienda, proprietario del dominio -> Web security s.r.o.
  • Organizational unit [OU]: dipartimento aziendale -> internet / eshop / it / ...
    Dal 1 settembre 2022, i certificati TLS pubblici non avranno un'OU e ignoreranno l'OU.
  • City/locality [L]: città -> Praga
  • State/province [S]: -> Repubblica Ceca
  • Country/region [C]: codice del paese secondo ISO -> CZ
  • Key Size: 2048 bit

Si consiglia di inserire il nome di dominio esattamente come è impostato sul server e come viene visualizzato nel browser. Anche se le autorità di certificazione inseriscono entrambe le varianti nel certificato (con e senza www prima del nome di dominio), entrambe le varianti non vengono inserite per i certificati multidominio.
Il numero massimo di caratteri per Nome comune [CN] e Organizzazione [O] è 64. Puoi trovare ulteriori regole su i Requisiti di base e le violazioni RFC 5280.

Paese/regione [C]:
  • IT - Italia
  • DE - Germania
  • AT - Austria
  • GB - Gran Bretagna
  • IE - Irlanda
  • US - Stati Uniti d'America
  • CZ - Repubblica Ceca
  • HU - Ungheria
  • PL - Polonia

Il codice del paese deve essere inserito esattamente secondo ISO in MAIUSCOLE.
Un'anteprima dei codici dei paesi ISO può essere trovata sul sito web dell'Organizzazione Internazionale per la Standardizzazione www.iso.org.

Cos'è una Challenge password?

Nella generazione del certificato, viene offerta l'opzione "A challenge password". Lasciare sempre vuoto, altrimenti l'AC rifiuterà l'ordine. La password di sfida è definita nel RFC 2985 come la password di revoca del certificato.

Informazioni minime per i certificati DV

I certificati di dominio (DV) contengono solo informazioni sul dominio e tutti gli altri dati inseriti nell'applicazione vengono eliminati dall'autorità di certificazione.
Ad esempio, le informazioni nel corpo SSL del certificato PositiveSSL sono solo:

  • CN = domain.com
  • OU = PositiveSSL
  • OU = Domain Control Validated

Le informazioni minime che devono essere inserite per i certificati di dominio al fine di ottenere un certificato sono Nome comune [CN] e Paese/regione [C]. Tuttavia, consigliamo di compilare tutte le informazioni a causa di un possibile rifiuto da parte di un'autorità di certificazione.

Dove andare dopo?

Torna alla Guida
Hai trovato un errore o non capisci qualcosa? Scrivici!

CA Sectigo
CA RapidSSL
CA Thawte
CA GeoTrust
CA DigiCert
CA Certum