Come ottenere un certificato per IIS 5.0 per Windows 2000 e IIS 5.0 dalla CA INFN



Documenti analoghi
IPSec VPN Client VPN vs serie ZyWALL con PSK e Certificati digitali

GateManager. 1 Indice. tecnico@gate-manager.it

Gestione di una rootca con OpenSSL

Il web server Apache Lezione n. 3. Introduzione

Servizio di Posta elettronica Certificata (PEC)

Gli step previsti per portare a termine la configurazione della casella PEC sono:

Gli step previsti per portare a termine la configurazione della casella PEC sono:

Guida rapida di installazione e configurazione

LA GESTIONE DELLE VISITE CLIENTI VIA WEB

Gli step previsti per portare a termine la configurazione della casella PEC sono:

Servizio di Posta elettronica Certificata (PEC)

Dal sito: Articolo recensito da Paolo Latella

ATOLLO BACKUP GUIDA INSTALLAZIONE E CONFIGURAZIONE

Configuration Managment Configurare EC2 su AWS. Tutorial. Configuration Managment. Configurare il servizio EC2 su AWS. Pagina 1

Gli step previsti per portare a termine la configurazione della casella PEC sono:

INFN Sezione di Perugia Servizio di Calcolo e Reti Fabrizio Gentile Enrico Becchetti

Gli step previsti per portare a termine la configurazione della casella PEC sono:

Schede ADI ADP ADEM Prestazioni aggiuntive MMG. - Manuale - Data Solution Provider s.r.l.

Configurazione account per libreria MXOutlook

CERTIFICATI DIGITALI. Manuale Utente

SmoothWall Support : Setting up Greenbow VPN Client Wednesday, January 5, 2005

SPSS Statistics per Windows - Istruzioni di installazione per (Licenza per utenti singoli)

Utilizzo di Certificati SSL e relative implicazioni

Istruzioni di installazione di IBM SPSS Modeler Text Analytics (licenza per sito)

1 Introduzione Installazione Configurazione di Outlook Impostazioni manuali del server... 10

Guida all accesso sicuro al sito dberw.univr.it

Console di Amministrazione Centralizzata Guida Rapida

AGENDA.. Mission. Componenti SMC. Security Environment. Report. Eventi. Update prodotti. Faq. Achab 2009 pagina 1

Manuale di Admin Tools/ Admin Viewer per autenticazione proxy

MANUALE PORTALE UTENTE IMPRENDITORE

Come creare un certificato SSL per IIS utilizzando la CA Privata di W indow s Server

Sistema di gestione Certificato MANUALE PER L'UTENTE

Guida di accesso a Grep Rainbow

TS-CNS. Tessera Sanitaria Carta Nazionale dei Servizi. Manuale di installazione e configurazione. Versione del

Manuale Utente PEC e Client di Posta tradizionale

NAS 206 Usare il NAS con Active Directory di Windows

BACKUP APPLIANCE. User guide Rev 1.0

TERMINALE. Creazione e gestione di una postazione terminale di Eureka

Direzione Centrale per le Politiche dell Immigrazione e dell Asilo

BMSO1001. Virtual Configurator. Istruzioni d uso 02/10-01 PC

Configurazione Client di Posta Elettronica

BREVE GUIDA ALL ATTIVAZIONE DEL SERVIZIO DDNS PER DVR SERIE TMX

Istruzioni di installazione di IBM SPSS Modeler Text Analytics (utente singolo)

Procedura installazione del software per la visualizzazione del fascicolo sanitario elettronico

Istruzioni di installazione di IBM SPSS Modeler Text AnalyticsServer per Windows

Manuale configurazione caselle di posta elettronica HME Standard

Windows 2000, Windows XP e Windows Server 2003

Servizio di Posta elettronica Certificata (PEC)

Che cos'è un modulo? pulsanti di opzione caselle di controllo caselle di riepilogo

Servizio di Posta elettronica Certificata (PEC)

Servizio di Posta elettronica Certificata (PEC)

GUIDA ALLA CONFIGURAZIONE LEGALMAIL MOZILLA THUNDERBIRD. Gli step previsti per portare a termine la configurazione della casella PEC sono:

Il sofware è inoltre completato da una funzione di calendario che consente di impostare in modo semplice ed intuitivo i vari appuntamenti.

Posta elettronica certificate (PEC)

STRUMENTO PER LA COMPRESSIONE E LA CRIPTAZIONE DI FILE

Overview su Online Certificate Status Protocol (OCSP)

Backup di Windows Server 2012 su Windows Azure

TS-CNS. Tessera Sanitaria Carta Nazionale dei Servizi. Manuale di installazione e configurazione. Versione del

Servizio di backup dei dati mediante sincronizzazione

Installazione di GFI Network Server Monitor

Installazione di GFI MailArchiver

Servizio di Posta elettronica Certificata (PEC)

Interfaccia KNX/IP Wireless GW Manuale Tecnico

Windows 98 e Windows Me

Gui Gu d i a d ra r p a i p d i a V d o a d f a one Int fone In e t r e net rnet Box Key Mini

GUIDA ALLA CONFIGURAZIONE DEL SERVIZIO INTERNET E DELLA POSTA ELETTRONICA V2.2

Medici Convenzionati

COME CONFIGURARE UN CLIENT DI POSTA

Installazione e utilizzo di Document Distributor 1

Consiglio regionale della Toscana. Regole per il corretto funzionamento della posta elettronica

Università Degli Studi dell Insubria. Centro Sistemi Informativi e Comunicazione (SIC) Rete Wireless di Ateneo UninsubriaWireless

Corso basi di dati Installazione e gestione di PWS

SISTEMA INFORMATIVO AGRICOLO REGIONALE

Windows 2000, Windows XP e Windows Server 2003

1. Manuale d uso per l utilizzo della WebMail PEC e del client di posta tradizionale

Manuale configurazione caselle di posta elettronica HME Standard

SOSEBI PAPERMAP2 MODULO WEB MANUALE DELL UTENTE

Manuale per la configurazione di un account di PEC in Outlook 2003.

Università Degli Studi dell Insubria. Centro Sistemi Informativi e Comunicazione (SIC) Rete Wireless di Ateneo UninsubriaWireless

GUIDA ALLA REGISTRAZIONE DI UN DVR SU

SIEMENS GIGASET C450 IP GUIDA ALLA CONFIGURAZIONE EUTELIAVOIP

Installazione di GFI WebMonitor

Configurazione di Windows Mail in modalita sicura

Abilitazione e uso del protocollo EtherTalk

Manuale servizio SMTP autenticato

Programma di configurazione di reti NetWare

Servizio on-line di Analisi e Refertazione Elettrocardiografica

11/02/2015 MANUALE DI INSTALLAZIONE DELL APPLICAZIONE DESKTOP TELEMATICO VERSIONE 1.0

NOTA: NON PROVARE A INSTALLARE IL SOFTWARE PRIMA DI AVERE LETTO QUESTO DOCUMENTO.

I.N.A.I.L. Certificati Medici via Internet. Manuale utente

IBM SPSS Statistics per Windows - Istruzioni di installazione (Licenza per sito)

Creare un account Google

Istruzioni per il cambio della password della casella di posta

SCOoffice Address Book. Guida all installazione

Guida Migrazione Posta Operazioni da effettuare entro il 15 gennaio 2012

STATO MAGGIORE DELLA DIFESA Comando C4 Difesa

Installazione MS SQL Express e utilizzo con progetti PHMI

Laplink FileMover Guida introduttiva

CREAZIONE E INVIO OFFERTA DI APPALTO DA FORNITORE

E-torc II Software Wireless (trasmissione/ricezione in radiofrequenza) Setup

Transcript:

Come ottenere un certificato per IIS 5.0 per Windows 2000 e IIS 5.0 dalla CA INFN Paolo Pierini, INFN Sezione di Milano (Paolo.Pierini@mi.infn.it) Il meccanismo di generazione di richieste di certificati utilizzato dal wizard di Windows 2000 non genera richieste di certificato conformi alla policy della Certification Authority (CA) INFN. In particolare, non sembra possibile specificare il campo Server Manager s Email Address, richiesto dalla policy. Poichè la CA INFN gestisce i certificati tramite OpenSSL e ne fornisce il file di configurazione, è possibile compilare gli eseguibili di OpenSSL sotto win2k per generare una richiesta di certificato conforme alla policy della CA. Sul sito http://www.openssl.org sono disponibili i sorgenti e i link a tutte le istruzioni necessarie per compilare openssl sotto windows (workspace per Microsoft Visual C++ compresi). Una volta compilati gli eseguibili la procedura di generazione della richiesta è sostanzialmente analoga a quella per macchine Unix. NOTA: Questo testo non si vuole sostituire in alcun modo alle informazioni contenute nella policy della CA INFN, accessibile da http://security.fi.infn.it/ca/cps/, rappresenta solo un ricettario, basato sulla mia esperienza, sulle modalità di generazione e installazione dei certificati per W2000 e IIS 5.0. Le informazioni contenute qui sono la sintesi di una ricerca sui siti MSDN (http://msdn.microsoft.com) e OpenSSL (http://www.openssl.org). Installazione del certificato della CA INFN Innanzitutto occorre scaricare il certificato della CA dalle pagine della CA INFN (https://security.fi.infn.it/ca/mgt/getca.php) e installarlo come descritto. Scaricando il file in formato DER in locale e facendo doppio clic da explorer viene visualizzata la seguente schermata, da cui è possibile scegliere Install Certificate... Paolo Pierini- INFN MI 1

A questo punto parte il wizard di installazione del certificato, da cui è possibile scegliere di installare il certificato tra le Trusted Root Certification Authorities dell utente. L ultima schermata visualizza la richiesta di conferma per l installazione del certificato, riportandone i thumbprint per verificarne l autenticità. Per la corretta installazione del certificato server occorre poi che il certificato della CA venga inserito tra le Trusted Root Certification Authorities della macchina. A queste fine è necessario utilizzare lo snap-in Certificates della Microsoft Managment Console (MMC). Quindi occorre dal menu Start di Windows, Start->Run->MMC Viene visualizzata la console di MMC, da cui bisogna scegliere il gestore dei certificati per il computer: Console->Add/Remove Snap-in...->Standalone->Add ->Certificates->Add->Computer Account->Finish Ripetere la procedura per installare il gestore dei certificati personali: Paolo Pierini- INFN MI 2

Console->Add/Remove Snap-in...->Standalone->Add ->Certificates->Add->My User Account->Finish La seguente figura illustra la procedura: Ora è necessario copiare il certificato della CA dalla Trusted Root Certification Authorities dell utente locale (dove viene installata di default facendo doppio clic dal file di certificato in forma DER scaricato dalla CA) all account del computer. Questa operazione è possibile mediante una semplice operazione di drag e drop del certificato da una cartella all altra in MMC. Alla fine di questa procedura il certificato della CA INFN è considerato tra le CA riconosciute dal sistema operativo, come si vede dalla figura seguente. Paolo Pierini- INFN MI 3

Compilazione di OpenSSL Sul sito http://www.openssl.org sono disponibili tutte le informazioni necessarie per la compilazione di OpenSSL per macchine windows tramite i compilatori Microsoft o gcc-win32. E necessario, se non erro, scaricare anche un compilatore PERL per la configurazione. Io ho trovato un link alle configurazioni di developer studio già predisposte per la compilazione delle librerie e degli eseguibili. A chi fosse interessato posso fornire gli eseguibili e le librerie necessarie, contattatemi. Generazione della coppia chiave privata/richiesta di certificato Avendo scaricato il file di configurazione srv.cnf dalle pagine della CA INFN, riportato in seguito, è possibile generare una richiesta di certificato conforme alla policy INFN. # config file per richiesta certificati server (1/7/00) default_days = 365 # how long to certify for default_md = md5 # which md to use. preserve = no # keep passed DN ordering ####################################################### [ req ] default_bits = 1024 default_keyfile = privkey.pem distinguished_name = req_distinguished_name [ req_distinguished_name ] countryname countryname_value = Country Name = IT localityname localityname_min = 2 = Locality Name Paolo Pierini- INFN MI 4

organizationname = Organization Name organizationname_default = INFN organizationalunitname = Server type (e.g. www server) organizationalunitname_default = " " organizationalunitname_min = 4 commonname = Server DNS Name commonname_default = " " commonname_min = 10 commonname_max = 64 emailaddress = Server Manager's Email Address emailaddress_default = " " emailaddress_min = 10 emailaddress_max = 60 Per generare la chiave privata è necessario inizializzare il randomizzatore (ad esempio con un file binario o di testo dal contenuto pressoché casuale), per creare il file di richiesta: openssl genrsa -out privkey.pem -passout pass:xxx -des3 -rand file 1024 openssl req -config srv.cnf -new -key privkey.pem -out richiesta.pem In questo caso xxx rappresenta una password con cui eseguire l encoding della chiave nel file privkey.pem, file è il file da utilizzare per il randomizzatore e richiesta.pem è il file da inviare alla CA. La CA INFN a questo punto, e secondo le modalità descritte nella Policy e CPS, restituisce un file PEM che rappresenta la chiave pubblica associata alla chiave privata contenuta in privkey.pem. Creazione del certificato PKCS/12 per Windows 2000 Non è possibile importare il certificato PEM inviato dalla CA direttamente in Windows, in quanto è necessario associargli la chiave privata. E necessario quindi convertire il certificato (in formato PEM) e la chiave privata (in formato PEM) in un formato gestibile dal gestore dei certificati Microsoft, il formato PKCS/12. OpenSSL contiene un tool per la conversione con il quale è semplice eseguire la conversione: openssl pkcs12 -export -in received.pem -inkey privkey.pem -out mycert.pfx Dove received.pem indica il file contenente il certificato inviato dalla CA sulla base della richiesta. L esecuzione di questo comando richiede: 1 la password con cui è stato protetto il file privkey.pem 2 di scegliere una password per il certificato PKCS12. A questo punto dallo snap-in dei certificati di MMC è possibile installare il certificato, importandolo nella cartella Personal del Computer Account (vedi sotto). Paolo Pierini- INFN MI 5

Il sistema richiede di selezionare il file pfx (PKCS/12) da inserire. Al momento dell importazione viene richiesta la password per accedere al certificato (che è stata specificata nell ultimo comando OpenSSL). E anche possibile selezionare se si desidera rendere esportabile la chiave privata del certificato. A questo punto è possibile verificare la correttezza della procedura facendo doppio clic sul certificato ricevuto dallo snap-in dei certificati di MMC. Paolo Pierini- INFN MI 6

Se la procedura è stata eseguita correttamente, Windows2000 riconosce che il sistema possiede la chiave privata associata al certificato e visualizza correttamente il percorso di certificazione, a partire dal certificato della CA INFN, come mostrato nelle due figure successive: Il certificato è quindi installato correttamente, ed ora è possibile copiare i file pem e pfx su cdrom e cancellarli dalla macchina. Paolo Pierini- INFN MI 7

Utilizzo del certificato in IIS 5.0 Visto che il certificato è ora riconosciuto tra i certificati personali del sistema, è possibile usarlo nella configurazione SSL dei siti gestiti da Internet Information Server 5.0. Per usare il certificato in un sito di IIS occorre aprire lo snap-in Internet Services Manager di MMC: Start->Settings->Control Panel->Administrative Tools-> Internet Services Manager Da qui, dopo avere selezionato il sito da gestire, fare clic sul pulsante destro, scegliere Properties e selezionare il tab Directory Security dalla pagina di proprietà. Fare infine clic sul pulsante Server Certificate... e selezionare l opzione Assign an existing certificate prima di premere il pulsante Next>. Se il certificato è stato installato correttamente il sistema presenta una finestra di dialogo contenente i certificati disponibili. Selezionare il certificato rilasciato dalla CA. Dopo avere associato il certificato al sito web, selezionare dalla stessa pagina di proprietà il pulsante Edit... per selezionare le impostazioni di sicurezza (vedi figura successiva), in particolare: Require secure channel (SSL) In questo modo il sito è accessibile solamente tramite connessioni https sicure. Require 128 bit encryption Se questo viene selezionato non sarà possibile connettersi con vecchi client che supportano encryption a 40 bit. Paolo Pierini- INFN MI 8

Infine, è necessario verificare che sulla pagina Web Site sia presente la porta SSL standard (443), o altra porta su cui si voglia ottenere la connessione sicura. Nel caso la porta non sia presente o si vogliano installare più porte SSL o TCP è possibile utilizzare il pulsante Advanced... per la configurazione. Una nota di precauzione nel caso sia necessario gestire più siti su una unica macchina con un unico indirizzo IP: è consigliabile consultare la knowledge base Microsoft Q284984, per non incorrere nel problema Event ID 115: The service could not bind instance x. (consultare http://support.microsoft.com/support/kb/articles/q284/9/84.asp). Paolo Pierini- INFN MI 9

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back