Docs
Application Delivery Controller
Certificate Management

Certificates management

Introduzione - certificati digitali e keystore

Certificati digitali

I certificati digitali sono documenti composti da una chiave privata e una chiave pubblica che permettono le comunicazioni cifrate tra client e server. La chiave pubblica cifra il messaggio che solo la chiave privata può decifrare. La chiave pubblica viene liberamente trasmessa dal server a un qualunque software la richieda, per esempio i browser, mentre le chiavi private sono segrete e protette da password.

I certificati digitali sono solitamente firmati da una Certification Authority, che certifica la validità dell'emittente della chiave pubblica. In questo modo il software che utilizza la chiave pubblica ha la certezza che l'emittente della chiave pubblica sia proprio chi dice di essere.

Un certificato digitale non firmato da nessuna autorità si dice self-signed. La comunicazione tra client e server è comunque criptata, ma il certificato non verrà considerato sicuro.

Con Oplon si possono generare automaticamente certificati digitali self-signed, generare le Certification Request, necessarie alle Autorità per firmare il certificato o generare automaticamente certificati validi utilizzando il protocollo ACME.

Keystore

I keystore sono file protetti da password che contengono i certificati digitali. Un singolo keystore può contenere uno o più certificati digitali. Certificati digitali all'interno dello stesso keystore, devono avere la stessa password di chiave privata, la cosiddetta alias password.

Oplon gestisce i seguenti i seguenti formati di keystore PKCS12, PFX, JKS.

Keystores

Per accedere alla maschera di gestione Keystore:

Menu Principale > Files > Keystores

Elimina un keystore esistente

Copia un keystore esistente in un altro nodo

Importa un keystore

Esporta un keystore

Modifica/visualizza il contenuto di un keystore

Crea un nuovo keystore

Quando si copia, si importa o si crea un keystore viene chiesto il nodo di destinazione. Durante la creazione è necessario inserire il nome del nuovo keystore e la sua password. Per modificare o visualizzare il contenuto di un keystore, è necessario inserire la password utilizzata per la creazione. Usare "defaultpwd" come password per i keystore preinstallati in Oplon.

Certificati digitali

Per accedere alla maschera di gestione dei certificati contenuti nel keystore:

Menu Principale > Files > Keystores

Selezionato il keystore premere il pulsante edit.

Inserire la password del keystore.

(usare "defaultpwd" come password per i keystore preinstallati e forniti a titolo di esempio)

Elimina un certificato esistente

Crea un nuovo keystore

Genera la certification request per la CA

Importa la risposta della CA

Salva le modifiche apportato al keystore

Certification request a Let's encrypt via protocollo ACME

Esporta un certificato

Importa un certificato

Creazione di un nuovo certificato

I dati richiesti durante la creazione di un certificato sono:

  1. Common name: il nome di dominio del certificato (obbligatorio).

  2. Subject alternative names: un elenco di eventuali altri domini per cui il certificato è valido,

  3. Organisation unit OU: Unita organizzativa.

  4. Organization: Nome della società,

  5. Locality: Città della società.

  6. State: stato.

  7. Country: Codice Paese. IT per Italia.

  8. Mail: mail di riferimento.

  9. Duration Days: durata del certificato ( default 365 gg).

  10. Alias password: password legata alla chiave privata (obbligatorio). I certificati all'interno di uno stesso keystore devono avere password uguale.

Certification request.

La certification request CSR, genera un testo in formato code64 necessario alla certification authority per firmare il certificato. Il CSR viene spedito alla certification authority che risponderà con un testo simile, CA reply, che deve essere importato nel certificato.

Import CA Reply.

È possibile importare la CA reply direttamente nel certificato. La CA reply deve contenere i certificati pubblici di tutte le CA coinvolte nel processo di firma.

Acme Certification Request.

In automatico viene generata la certification request ed importata la CA reply, attraverso il protocollo ACME.

Export

Esporta il certificato nei formati PKCS12/PFX o PEM. Nel caso di PKCS12/PFX viene richiesta una nuova password che sarà usata sia per il keystore, sia per l'alias.

Import

È possibile importare nel keystore un certificato nel formato PEM. Verrà richiesta una nuova alias password

Il pannello dei link di salvataggio e reinizializzazione segnalerà eventuali operazioni da eseguire, per rendere effettive le modifiche.

Link di segnalazione di salvataggio e reinizializzazione

ACME SSL (Let's Encrypt)Transizione IPv4 IPv6