Ottenere un certificato e una chiave privata SSL mediante OpenSSL
Questa procedura è una descrizione semplificata della modalità di creazione di un certificato e una chiave privata SSL mediante il toolkit OpenSSL.
Nota - Oracle ILOM non richiede l'uso di OpenSSL per generare certificati SSL. OpenSSL viene utilizzato in questa procedura solo a scopo dimostrativo. Per la generazione di certificati SSL sono disponibili altri strumenti.
La necessità di usare un certificato autofirmato temporaneo o un certificato firmato da un'autorità di certificazione deve essere stabilita dall'amministratore del sito o dal responsabile della sicurezza. Qualora non sia necessario ottenere un certificato SSL (autofirmato temporaneo o firmato da un'autorità di certificazione), è possibile seguire le istruzioni della riga di comando OpenSSL di esempio riportate di seguito.
Nota - Se sono necessarie ulteriori istruzioni OpenSSL per generare il certificato SSL, si consiglia di consultare la documentazione per l'utente fornita insieme al toolkit OpenSSL.
- Creare una condivisione di rete o una directory locale in cui memorizzare il certificato e la chiave privata.
- Per generare una nuova chiave privata RSA mediante il toolkit OpenSSL, digitare:
openssl genrsa -out <foo>.key 2048
Dove <foo> equivale al nome della chiave privata.
Nota - La chiave privata è una chiave RSA a 2048 bit memorizzata in formato PEM in modo da renderla leggibile come testo ASCII.
- Per generare una richiesta di firma certificato (CSR, Certificate Signing Request) mediante il toolkit OpenSSL, digitare:
openssl req -new -key <foo>.key -out <foo>.csr
Dove <foo> equivale al nome della richiesta di firma certificato.
Nota - Durante la generazione della richiesta CSR, verranno richieste diverse informazioni.
A questo punto, nella directory di lavoro corrente deve essere visualizzato un file <foo>.csr.
- Per generare un certificato SSL, eseguire una delle operazioni riportate di seguito.
- Generare un certificato autofirmato temporaneo (valido per 365 giorni).
Il certificato SSL autofirmato viene generato dalla chiave privata server.key e dai file server.csr.
Usando il toolkit OpenSSL digitare:
openssl x509 -req -days 365 -in <foo>.csr
-signkey <foo>.key -out <foo>.cert
Dove <foo> equivale al nome assegnato alla chiave privata (.key) o al certificato (.cert).
Nota - Questo certificato temporaneo genererà un errore nel browser client a dimostrazione del fatto che l'autorità che firma il certificato è sconosciuta e non trusted. Se questo errore è inaccettabile, si consiglia di richiedere all'autorità di certificazione di emettere un certificato firmato.
- Ottenere un certificato firmato ufficialmente da un provider CA (Certificate Authority).
Inviare la richiesta di firma certificato (<foo>.csr) a un provider CA di certificati SSL. La maggior parte dei provider CA richiedono che l'utente tagli e incolli l'output CSR in una schermata dell'applicazione Web. La ricezione del certificato firmato può in genere richiedere fino a sette giorni lavorativi.
- Caricare il nuovo certificato e la nuova chiave privata SSL in Oracle ILOM.
Vedere le seguenti istruzioni: Upload a Custom SSL Certificate and Private Key to Oracle ILOM.