Re: [Erlug] generare certificato da richiesta IIS per IIS con openssl

Davide Bolcioni <db_erlug@xxxxxxxx> · Mon, 17 Jan 2005 21:47:17 +0100

Ivan Sergio Borgonovo ha scritto:

OK fino a qua c'ero... mi sfuggiva dal punto di vista "pratico" il
fatto che bisognasse mettere in piedi una CA.

Tecnicamente non è strettamente necessario; ci sono i cosiddetti
self-signed certificates, ma vengono usati soprattutto per le prove.

Curiosamente però... e probabilmente c'è il sistema per girarci
attorno, quando ho dovuto generare i certificati per IMAPS, non ho
avuto bisogno della CA.
http://portal.suse.com/sdb/en/2003/05/imap_ssl.html

Queste istruzioni mi spiazzano ... generano delle *richieste* di
certificato e le piazzano in /etc/ssl/certs. Dovrò ripassare.

C'è inoltre un problema addizionale: al di là dei meccanismi di
firma, i certificati X.509 sono "property bags", nel senso che hanno

uh curioso... ho usato KMail, sylpheed e mutt per connettermi da fuori
alla mia macchina interna via IMAPS.
Ho brutalmente scopiazzato cosa dovevo fare dalla KB di SUSE.
Non ho dovuto inserire nessun dato "informatico" (FQDN, IP, whatever)
se non un indirizzo di posta elettronica e altre info *farlocche*.

Di che server imap si trattava ? C'è da aggiungere che in un contesto in
cui il server presenta un certificato privo di senso e sul client si fa
click su OK per farglielo digerire, può anche darsi che tutto funzioni
lo stesso.

Guardando tra i vari menu, dovrebbe digerire sia PEM che DER.

Ho trovato questo e adesso provo con openssl su Linux
http://www.dylanbeattie.net/docs/openssl_iis_ssl_howto.html
Da quel che ho capito nel provare, il processo si aspetta di avere una
CA da qualche parte e fallisce.
Probabilmente devo:
a) seguire più alla lettera usando il file di cfg proposto

Concordo.

b) crearmi una CA con CA.pl che però non ho installato (credo faccia
parte di perl-OpenCA-* in SUSE. Se non dovesse ho anche 2 Debian alla
bisogna.

Le istruzioni per farlo sono sotto "Set up a Certificate Authority (CA)" e
mi pare usino direttamente openssl, CA.pl è solo un frontend: se non ti
occorre sapere che cosa stai facendo quelle istruzioni dovrebbero andar 
bene.

Probabilmente scoprirai che i certificati così generati vanno bene, 
mentre gli altri no, e il motivo risiederà nel fatto che generando la 
richiesta tramite il wizard di IIS ci compaiono tutte le "property" che 
IIS poi pretende di ritrovare e che "openssl req" non sa di doverci mettere.

Davide Bolcioni
--
There is no place like /home.

To:	erlug@xxxxxxxxxxxxxx
Subject:	Re: [Erlug] generare certificato da richiesta IIS per IIS con openssl
From:	Davide Bolcioni <db_erlug@xxxxxxxx>
Date:	Mon, 17 Jan 2005 21:47:17 +0100

<Prev in Thread]	Current Thread	[Next in Thread>
[Erlug] generare certificato da richiesta IIS per IIS con openssl, Ivan Sergio Borgonovo Re: [Erlug] generare certificato da richiesta IIS per IIS con openssl, Davide Bolcioni Re: [Erlug] generare certificato da richiesta IIS per IIS con openssl, Ivan Sergio Borgonovo Re: [Erlug] generare certificato da richiesta IIS per IIS con openssl, Daniele Palumbo Re: [Erlug] generare certificato da richiesta IIS per IIS con openssl, Ivan Sergio Borgonovo Re: [Erlug] generare certificato da richiesta IIS per IIS con openssl, Daniele Palumbo Re: [Erlug] generare certificato da richiesta IIS per IIS con openssl, Ivan Sergio Borgonovo Re: [Erlug] generare certificato da richiesta IIS per IIS con openssl, Davide Bolcioni <=

Previous by Date:	Re: [Erlug] Shortcut dello gnomo, Marco Bertolini - Sal
Next by Date:	Re: [Erlug] generare certificato da richiesta IIS per IIS con openssl, Ivan Sergio Borgonovo
Previous by Thread:	Re: [Erlug] generare certificato da richiesta IIS per IIS con openssl, Ivan Sergio Borgonovo
Next by Thread:	[Erlug] RTFM, Giovanni Caruso
Indexes:	[Date] [Thread] [Top] [All Lists]