Poiché un'autorità di certificazione può emettere più certificati sotto forma di una struttura ad albero, a volte i certificati CA intermedi emessi da una cosiddetta autorità di certificazione subordinata sono essenziali per mantenere la "catena della fiducia". Garantisce che la verifica dell'identità tramite il certificato a chiave pubblica possa essere eseguita e considerata attendibile, soprattutto quando si stabilisce una connessione sicura tramite Transport Layer Security (TLS) e/o Secure Sockets Layer (SSL). In caso contrario, potresti ricevere un avviso che il certificato è firmato da un'"autorità non attendibile".
In sostanza, il certificato CA radice viene utilizzato per firmare ed emettere un certificato che a sua volta viene utilizzato per firmare ed emettere certificati digitali di entità o dominio per individui e aziende. Ogni certificato digitale può avere zero o più catene di certificati CA che si estendono fino al certificato CA radice.
Pertanto, è necessario installare i certificati CA intermedi affinché i browser considerino attendibile il certificato, se l'autorità di firma del certificato include un certificato CA intermedio o un bundle (catena di fiducia). In effetti, le CA più popolari utilizzano certificati CA intermedi.
Come ottenere il certificato CA intermedio
A seconda dell'autorità di certificazione, alcune CA potrebbero inviarti tramite e-mail un file bundle di certificati che contiene i certificati CA intermedi oppure è possibile scaricare il certificato CA intermedio richiesto dal repository delle CA. Alcuni dei repository di download delle CA più comuni sono:
Comodo:https://support.comodo.com/index.php?/Default/Knowledgebase/Article/View/620/1/which-is-root-which-is-intermediate
GlobalSign:https://support.globalsign.com/customer/portal/topics/538410-root-certificates/articles
Symantec Verisign:https://knowledge.verisign.com/support/ssl-certificates-support/index?page=content&id=AR657
GoDaddy:https://certs.godaddy.com/repository
DigiCert:https://www.digicert.com/digicert-root-certificates.htm
StartCom StartSSL:https://www.startssl.com/certs/
TrustWave:https://ssl.trustwave.com/support/support-root-download.php
Come installare un certificato CA intermedio (certificato di catena)
- Copiare il certificato CA intermedio in formato PEM (un certificato DER codificato in base64 identificabile con testo non significativo racchiuso tra “—–BEGIN CERTIFICATE—–” e “—–END CERTIFICATE—–“) sul server e inserirlo nel stessa directory del certificato SSL e dei file della chiave privata. Ad esempio, directory /home/techjourney/ssl/cert.
- Cerca le seguenti direttive SSL in httpd.conf o ssl.conf o il file di configurazione di Apache che dichiara le impostazioni SSL. Nota che se stai utilizzando l'host virtuale basato sul nome tramite la direttiva NameVirtualHost, devi individuare il segmento <:VirtualHost> corrispondente che definisce il sito Web del tuo dominio e modificare le direttive SSL lì (grazie per Server Name Indication (SNI), ora puoi ospitare più siti Web sicuri SSL su un unico indirizzo IP, poiché SNI consente al client di indicare a quale nome host sta tentando di connettersi all'inizio del processo di handshaking).
A seconda delle versioni del tuo Apache, imposta i valori di queste direttive SSL sul percorso assoluto e sul nome file dei vari certificati SSL. Se hai già configurato SSL, devi solo preoccuparti di SSLCertificateChainFile o SSLCACertificatePath per installare i certificati CA intermedi.
In Apache versione 2.4.7 o precedente (<=2.4.7):
SSLCertificateFile Percorso per il certificato SSL, ad es. /home/techjourney/ssl.cert FileChiaveCertificato SSL Percorso del file della chiave privata, ad es. /home/techjourney/ssl.key SSLCertificateChainFile Percorso per il certificato CA intermedio o il bundle, ad es. /home/techjourney/ca.bundle.pem In Apache versione 2.4.8 o successive (>=2.4.8):
NotaSSLCertificateChainFile è deprecato da Apache 2.4.8. In Apache 2.4.8, SSLCertificateFile è stato esteso per caricare anche i certificati CA intermedi dal file del certificato del server. Significa che se l'autorità di certificazione firmataria ti fornisce il certificato di entità finale o dominio che include anche i certificati CA intermedi, puoi omettere SSLCACertificatePath.SSLCertificateFile Percorso per il certificato SSL, ad es. /home/techjourney/ssl.cert FileChiaveCertificato SSL Percorso del file della chiave privata, ad es. /home/techjourney/ssl.key Percorso certificato SSL Percorso per il certificato CA intermedio o il bundle, ad es. /home/techjourney/ca.bundle.pem - Salva il file di configurazione di Apache.
- Riavvia Apache:
service httpd restart
Oppure,
service apache2 restart
Oppure,
systemctl httpd restart
Oppure,
systemctl apache2 restart
- Virtualmin:seleziona il server virtuale (sito Web o dominio) se devi installare i certificati CA intermedi. Quindi, vai a Configurazione del server -> Gestisci certificato SSL -> Certificato CA . Seleziona una delle modalità per fornire i certificati della CA, ovvero in un file sul server se hai già caricato i certificati della CA sull'host, file caricato o testo del certificato incollato . Fai clic su Salva certificato al termine, e i certificati della CA verranno caricati tramite la direttiva SSLCACertificatePath.
Puoi anche modificare manualmente le direttive del server virtuale andando su Servizi -> Configura sito Web per SSL -> Modifica direttive , utile se preferisci che la direttiva SSLCertificateChainFile fornisca i certificati CA intermedi.
- cPanel WHM:vai a Elenca account nel menu a sinistra, e fare clic sul simbolo cPanel accanto all'host su cui si desidera installare i certificati CA intermedi.
In cPanel, seleziona Gestione SSL/TLS alla voce “Sicurezza”. Quindi, fai clic su Gestisci siti SSL in "Attiva SSL sul tuo sito web (HTTPS) “. Seleziona il nome di dominio appropriato dalla casella a discesa. Quindi, incolla il certificato in Certificato:(CRT) casella di testo, incolla la chiave privata decifrata nella Chiave:(KEY) casella di testo e incollare il contenuto dei certificati CA nel Pacchetto autorità di certificazione:(CABUNDLE) casella di testo. Premi Installa certificato al termine.