20.6. Creazione di una chiave
Per generare una chiave occorre collegarsi come utente root.
Anzitutto, con il comando cd andate alla directory /etc/httpd/conf. Cancellate la chiave e il certificato creati durante l'installazione digitando i comandi seguenti:
rm ssl.key/server.key rm ssl.crt/server.crt |
Adesso dovete creare la vostra chiave random. Passate nella directory /usr/share/ssl/certs e digitando il comando:
make genkey |
Il sistema visualizza un messaggio simile a questo:
umask 77 ; \ /usr/bin/openssl genrsa -des3 1024 > /etc/httpd/conf/ssl.key/server.key Generating RSA private key, 1024 bit long modulus .......++++++ ................................................................++++++ e is 65537 (0x10001) Enter PEM pass phrase: |
Dovete digitare una password. Per maggiore sicurezza, la password deve contenere almeno otto caratteri, numeri e/o punteggiatura e non essere una parola che abbia senso. Ricordate che la vostra password distingue le lettere minuscole da quelle maiuscole.
 | Nota Bene |
|---|---|
La password deve essere inserita ogni volta che avviate il vostro secure server, perciò non ve la dimenticate! |
Vi viene chiesto di ridigitare la password per verificare che sia corretta. Dopodiché viene creato un file contenente la chiave, chiamato /etc/httpd/conf/ssl.key/server.key.
Se non volete digitare la password ogni volta che avviate il secure server, non usate make genkey per creare la chiave, ma i due comandi seguenti.
Usate il seguente comando per creare la vostra chiave:
/usr/bin/openssl genrsa 1024 > /etc/httpd/conf/ssl.key/server.key |
Usate il seguente comando per assicurarvi che i permessi sono stati impostati correttamente:
chmod go-rwx /etc/httpd/conf/ssl.key/server.key |
Se usate questi comandi per creare la chiave, non dovete usare la password per avviare il secure server.
 | Attenzione |
|---|---|
La disattivazione della password per il vostro secure server è vivamente SCONSIGLIATA per motivi di sicurezza. |
I problemi associati all'assenza di password sono strettamente legati alla sicurezza della macchina. Per esempio se qualcuno compromette la sicurezza UNIX della macchina host, tale persona potrebbe ottenere la vostra chiave privata (il contenuto del file server.key) e usarla per fornire pagine Web che sembreranno provenire dal vostro secure server.
Se le regole di sicurezza UNIX vengono rigorosamente rispettate sul computer host (tutte le correzioni e gli aggiornamenti del sistema operativo vengono installati appena sono disponibili, nessun servizio inutile o pericoloso è in funzione ecc.) la password può sembrare inutile. Tuttavia, poiché il secure server non deve essere riavviato spesso, l'ulteriore sicurezza fornita dalla password è, nella maggior parte dei casi, di grande aiuto.
Il file server.key deve appartenere all'utente root del sistema e non deve essere accessibile ad altri utenti. Create una copia di backup del file e conservatela in un luogo sicuro. La copia di backup è necessaria, poiché se perdete il file server.key dopo averlo usato per formulare la richiesta di certificato, il vostro certificato smetterà di funzionare e la CA non vi potrà aiutare. In tal caso non vi resta che acquistare un nuovo certificato.
Se volete acquistare un certificato da una CA, consultate la Sezione 20.7. Se invece volete creare voi stessi il certificato, consultate la Sezione 20.8.