rigacci.org

User Tools

Site Tools

Trace:
doc:appunti:linux:sa:ssl_cert

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revisionPrevious revision
Next revision		Previous revision
doc:appunti:linux:sa:ssl_cert [2011/09/19 15:36] – [Postfix] niccolodoc:appunti:linux:sa:ssl_cert [2020/10/07 10:21] (current) – [Verificare un certificato SSL su HTTPS] niccolo
Line 2: Line 2:
  
 Come generare i certificati SSL autofirmati in un sistema **Debian GNU/Linux** per i vari programmi: apache2, courier-pop, courier-imap, postfix, exim. Come generare i certificati SSL autofirmati in un sistema **Debian GNU/Linux** per i vari programmi: apache2, courier-pop, courier-imap, postfix, exim.
 +
 +===== Ispezionare un certificato in formato PEM =====
 +
 +Per vedere il contenuto di un file .pem (date di validità, ecc.):
 +
 +<code>
 +openssl x509 -text -noout -in pop3d.pem
 +</code>
 +
 +===== Ispezionare una CRL in formato PEM =====
 +
 +Anche una Certificate Revocation List ha la sue date di validità, ecc. Per ispezionarla:
 +
 +<code>
 +openssl crl -text -noout -in openvpn_crl.pem
 +</code>
  
 ===== Courier POP3 e IMAP ===== ===== Courier POP3 e IMAP =====
Line 14: Line 30:
   * Editare i file ''.cnf'' impostando i valori richiesti.   * Editare i file ''.cnf'' impostando i valori richiesti.
   * Eliminare i vecchi ''.pem'' ed eseguire nuovamente gli script.   * Eliminare i vecchi ''.pem'' ed eseguire nuovamente gli script.
- 
-Per vedere il contenuto di un file .pem: 
- 
-<code> 
-openssl x509 -text -noout -in pop3d.pem 
-</code> 
  
 ===== Postfix ===== ===== Postfix =====
Line 55: Line 65:
 +++ +++
 </code> </code>
 +
 +===== Verificare un certificato SSL su HTTPS =====
 +
 +Con il tool **openssl** è possibile verificare la possibilità di stabilire una connessione SSL con un server via HTTPS:
 +
 +<code>
 +openssl s_client -connect www.domain.tld:443
 +</code>
 +
 +Se la verifica funziona correttamente, l'ultima riga dell'output dovrebbe essere:
 +
 +<code>
 +Verify return code: 0 (ok)
 +</code>
 +
 +La mancata installazione in locale del certificato della CA invece produce questo errore:
 +
 +<code>
 +Verify return code: 20 (unable to get local issuer certificate)
 +</code>
 +
 +È possibile specificare manualmente il percorso del certificato con l'opzione **%%-CAfile%%**:
 +
 +<code>
 +openssl s_client -connect www.domain.tld:443 -CAfile /usr/lib/ssl/certs/DigiCert_Global_Root_CA.pem
 +</code>
 +
 +Ovviamente è consigliabile copiare il certificato nella posizione in cui la libreria lo trova automaticamente, anche solo con un link simbolico. Per una compilazione locale di libssl dovrebbe essere **/usr/local/ssl/cert.pem**, per una installazione di sistema invece dovrebbe essere **/usr/lib/ssl/cert.pem**.
 +
doc/appunti/linux/sa/ssl_cert.1316439406.txt.gz · Last modified: 2011/09/19 15:36 by niccolo