Questa guida spiega come…

1. … generare una CSR e una chiave privata per richiedere un certificato di terze parti presso un'autorità di certificazione (CA),
2. … importare questo certificato per il tuo sito Infomaniak, grazie al CRT ottenuto presso la CA.

Premessa

• Sebbene Infomaniak offra tutti i certificati SSL di cui potresti avere bisogno…
  • certificati gratuiti Let's Encrypt per i siti personali (possibile solo con i siti ospitati da Infomaniak),
  • certificati DV di Sectigo per i siti professionali/privati che non sono iscritti al registro delle imprese,
  • certificati EV di Sectigo per le aziende iscritte al registro delle imprese,
• … è anche possibile installare un certificato SSL ottenuto altrove (certificato intermedio di un ente di certificazione di tua scelta), certificati personalizzati o auto-firmati.

1. Generare una CSR (Certificate Signing Request)

Una CSR (Certificate Signing Request o Richiesta di Firma del Certificato) è un file codificato che contiene le informazioni necessarie per richiedere un certificato SSL/TLS.

Deve essere generata dal tuo lato, per garantire che la chiave privata rimanga sotto il tuo controllo, utilizzando ad esempio OpenSSL.

Adatta ed esegui il seguente comando da un'applicazione di tipo Terminal (interfaccia a riga di comando, CLI / Command Line Interface) sul tuo dispositivo:

openssl req -utf8 -nodes -sha256 -newkey rsa:2048 -keyout domain.xyz.key -out domain.xyz.csr -addext "subjectAltName = DNS:domain.xyz, DNS:www.domain.xyz"

Spiegazioni

• newkey rsa:2048: Genera una nuova chiave RSA da 2048 bit.
• keyout domain.xyz.key: Specifica il file in cui verrà salvata la chiave privata.
• out domain.xyz.csr: Specifica il file in cui verrà registrata la CSR.
• addext “subjectAltName = ...”: Aggiunge domini aggiuntivi tramite l'estensione SAN (Subject Alternative Name), necessaria per includere tutti i domini desiderati nel certificato (il dominio principale domain.xyz + qualsiasi altro dominio o sottodominio associato, come www.domain.xyz).

Dopo la generazione, puoi verificare il contenuto della CSR con il seguente comando:

openssl req -in domain.xyz.csr -noout -text

Questo permette di verificare che tutti i domini elencati in subjectAltName siano correttamente inclusi.

Una volta generata la CSR, puoi trasmetterla all'autorità di certificazione (CA) per ottenere il tuo certificato SSL/TLS.

2. Importare il certificato esterno

Una volta validata, la CA ti rilascia un certificato (domain.xyz.crt) e talvolta un certificato intermedio (ca_bundle.crt).

Per accedere alla gestione dei certificati SSL:

1. Clicca qui per accedere alla gestione del tuo sito sul Manager Infomaniak (hai bisogno di aiuto?).
2. Clicca direttamente sul nome assegnato al sito interessato:
   
3. Clicca su Certificati SSL nel menu laterale sinistro.
4. Clicca sul pulsante blu Installa un certificato:
   
5. Scegli il certificato personalizzato.
6. Clicca sul pulsante Avanti:
   
7. Importa il tuo certificato e chiave privata, tramite importazione dei file .crt e .key o tramite copia-incolla.
8. Clicca su Completa:
   

Comando alternativo per generare un certificato auto-firmato (facoltativo)

Se desideri un certificato locale solo per test o senza passare attraverso una CA (non raccomandato per la produzione), puoi utilizzare questo comando:

openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout domain.xyz.key -out domain.xyz.crt -addext “subjectAltName = DNS:domain.xyz, DNS:www.domain.xyz”

Questo genera sia un certificato auto-firmato (domain.xyz.crt) che una chiave privata (domain.xyz.key). Tuttavia, i certificati auto-firmati non sono riconosciuti come validi dai browser o dai sistemi pubblici. Sono adatti solo per ambienti interni o di sviluppo.

Importare un certificato intermedio

Durante l'aggiunta di un certificato SSL personalizzato, è possibile importare il certificato intermedio (tramite importazione del file .crt o copia-incolla dei dati forniti dall'organismo di certificazione):