Certificates management

Introduzione - certificati digitali e keystore

Certificati digitali

I certificati digitali sono documenti composti da una chiave privata e una chiave pubblica che permettono le comunicazioni cifrate tra client e server. La chiave pubblica cifra il messaggio che solo la chiave privata può decifrare. La chiave pubblica viene liberamente trasmessa dal server a un qualunque software la richieda, per esempio i browser, mentre le chiavi private sono segrete e protette da password.

I certificati digitali sono solitamente firmati da una Certification Autority, che certifica la validità dell'emittente della chiave pubblica. In questo modo il software che utilizza la chiave pubblica ha la certezza che l'emittente della chiave pubblica sia proprio chi dice di essere.

Un certificato digitale non firmato da nessuna autorità si dice self-signed. La comunicazione tra client e server è comunque criptata, ma il certificato non verrà considerato sicuro.

Con LBL si possono generare automaticamente certificati digitali self-signed, generare le Certification Request, necessarie alle Autorità per firmare il certificato o generare automaticamente certificati validi utilizzando il protocollo ACME.

Keystore

I keystore sono file protetti da password che contengono i certificati digitali. Un singolo keystore può contenere uno o più certificati digitali. Certificati digitali all'interno dello stesso keystore, devono avere la stessa password di chiave privata, la cosiddetta alias password.

LBL gestisce i seguenti i seguenti formati di keystore PKCS12, PFX, JKS.

Keystores

Per accedere alla maschera di gestione Keystore:

Menu Principale > Files > Keystores

image1

image2

Elimina un keystore esistente

image3

Copia un keystore esistente in un altro nodo

image4

Importa un keystore

image4

image5 Esporta un keystore

Modifica/visualizza il contenuto di un keystore

image6

Crea un nuovo keystore

Quando si copia, si importa o si crea un keystore viene chiesto il nodo di destinazione. Durante la creazione è necessario inserire il nome del nuovo keystore e la sua password. Per modificare o visualizzare il contenuto di un keystore, è necessario inserire la password utilizzata per la creazione. Usare "defaultpwd" come password per i keystore preinstallati in LBL.

Certificati digitali

Per accedere alla maschera di gestione dei certificati contenuti nel keystore:

Menu Principale > Files > Keystores

image5

Selezionato il keystore premere il pulsante edit.

Inserire la password del keystore.

(usare "defaultpwd" come password per i keystore preinstallati e forniti a titolo di esempio)

image7

image2

Elimina un certificato esistente

image6

Crea un nuovo keystore

image8

Genera la certification request per la CA

image8

Importa la risposta della CA

image9

Salva le modifiche apportato al keustore

image10

Certification request a Let's encrypt via protocollo ACME

image4

Esporta un certificato

image4

Importa un certificato

Creazione di un nuovo certificato

I dati richiesti durante la creazione di un certificato sono:

  1. Common name: il nome di dominio del certificato (obbligatorio).

  2. Subject alternative names: un elenco di eventuali altri domini per cui il certificato è valido,

  3. Organisation unit OU: Unita organizzativa.

  4. Organization: Nome della società,

  5. Locality: Città della società.

  6. State: stato.

  7. Country: Codice Paese. IT per Italia.

  8. Mail: mail di riferimento.

  9. Duration Days: durata del certificato ( default 365 gg).

  10. Alias password: password legata alla chiave privata (obbligatorio). I certificati all'interno di uno stesso keystore devono avere password uguale.

Certification request.

La certification request CSR, genera un testo in formato code64 necessario alla certification autority per firmare il certificato. Il CSR viene spedito alla certification autority che risponderà con un testo simile, CA reply, che deve essere importato nel certificato.

Import CA Reply.

È possibile importare la CA reply direttamente nel certificato. La CA reply deve contenere i certificati pubblici di tutte le CA coinvolte nel processo di firma.

Acme Certification Request.

In automatico viene generata la certification request ed importata la CA reply, attraverso il protocollo ACME.

Export

Esporta il certificato nei formati PKCS12/PFX o PEM. Nel caso di PKCS12/PFX viene richiesta una nuova password che sarà usata sia per il keystore, sia per l'alias.

Import

È possibile importare nel keystore un certificato nel formato PEM. Verrà richiesta una nuova alias password

Il pannello dei link di salvataggio e reinizializzazione segnalerà eventuali operazioni da eseguire, per rendere effettive le modifiche.

image11

Link di segnalazione di salvataggio e reinizializzazione