Strumenti Utente
guide_pubbliche:certificatitls:formaticertificati
Differenze
Queste sono le differenze tra la revisione selezionata e la versione attuale della pagina.
| Entrambe le parti precedenti la revisione Revisione precedente Prossima revisione | Revisione precedente | ||
|
guide_pubbliche:certificatitls:formaticertificati [2025/04/11 06:40] riccardo.cappone@unipr.it [Generazione chiave privata e CSR] |
guide_pubbliche:certificatitls:formaticertificati [2025/05/14 06:49] (versione attuale) riccardo.cappone@unipr.it |
||
|---|---|---|---|
| Linea 60: | Linea 60: | ||
| HARICA mette a disposizione un tool grafico via web per generare chiavi private e CSR | HARICA mette a disposizione un tool grafico via web per generare chiavi private e CSR | ||
| + | |||
| https://www.harica.gr/en/Tools/KeyGeneration | https://www.harica.gr/en/Tools/KeyGeneration | ||
| Linea 73: | Linea 74: | ||
| Moduli di Sicurezza Hardware (HSM): Archiviare le chiavi in HSM per sicurezza fisica. | Moduli di Sicurezza Hardware (HSM): Archiviare le chiavi in HSM per sicurezza fisica. | ||
| File System Locale: Assicurarsi che le chiavi siano archiviate in modo sicuro con permessi appropriati. | File System Locale: Assicurarsi che le chiavi siano archiviate in modo sicuro con permessi appropriati. | ||
| + | |||
| + | 3. Crittografare le Chiavi Private | ||
| + | Crittografia AES-256: Crittografare le chiavi private con algoritmi di crittografia forti. | ||
| ===== Comandi per Generare Chiavi Private Sicure ===== | ===== Comandi per Generare Chiavi Private Sicure ===== | ||
| Linea 94: | Linea 98: | ||
| | ECDSA | prime256v1 (256 bit) | openssl req -new -key ecdsa_256_encrypted.key -out ecdsa_256.csr | | | ECDSA | prime256v1 (256 bit) | openssl req -new -key ecdsa_256_encrypted.key -out ecdsa_256.csr | | ||
| | ECDSA | secp384r1 (384 bit) | openssl req -new -key ecdsa_384_encrypted.key -out ecdsa_384.csr | | | ECDSA | secp384r1 (384 bit) | openssl req -new -key ecdsa_384_encrypted.key -out ecdsa_384.csr | | ||
| + | |||
| + | ====== Altri comandi utili da terminale con openssl ====== | ||
| + | |||
| + | ===== Leggere da un file contenente una catena di certificati (bundle) ===== | ||
| + | |||
| + | Output breve:\\ | ||
| + | <code> | ||
| + | openssl crl2pkcs7 -nocrl -certfile <nome_file_certificati_bundle>.pem | openssl pkcs7 -print_certs -noout | ||
| + | </code> | ||
| + | Output esteso:\\ | ||
| + | <code> | ||
| + | openssl crl2pkcs7 -nocrl -certfile <nome_file_certificati_bundle>.pem | openssl pkcs7 -print_certs -text -noout | ||
| + | </code> | ||
| + | |||
| + | ===== Verificare corrispondenza chiave privata - certificato - CSR ===== | ||
| + | |||
| + | Estrarre ed effettuare l'hash della chiave pubblica a partire dalla chiave privata:\\ | ||
| + | <code> | ||
| + | openssl rsa -noout -modulus -in server.key | openssl md5 | ||
| + | </code> | ||
| + | |||
| + | Dal certificato:\\ | ||
| + | <code> | ||
| + | openssl x509 -noout -modulus -in server.crt | openssl md5 | ||
| + | </code> | ||
| + | |||
| + | Dal CSR:\\ | ||
| + | <code> | ||
| + | openssl req -noout -modulus -in server.csr | openssl md5 | ||
| + | </code> | ||
| + | |||
| + | Gli hash devono essere uguali in tutti i tre casi. | ||
| + | |||
| + | ===== Chiave privata protetta da password ===== | ||
| + | |||
| + | Durante il wizard per la creazione del CSR viene generata la chiave privata, protetta da password e dunque cifrata. Se si desidera utilizzare la chiave privata in sistemi che non prevedono la decifratura, è possibile eliminare la cifratura con il seguente comando: | ||
| + | |||
| + | <code> | ||
| + | openssl rsa -in encrypted_key.pem -out decrypted_key.pem | ||
| + | </code> | ||
Strumenti Pagina
