lunedì 14 ottobre 2019

CERTIFICATI SSL - LET'S ENCRYPT

Let's Encrypt e' una CA pubblica ufficialmente riconosciuta legata al mondo dell'open source.
Tramite di essa e' possibile ottenere dei certificati SSL validi (emessi da una CA pubblica).

VANTAGGI:
 - Gratuito

SVANTAGGI
 - durano solo 90 gg.
 - non esiste un client ufficiale in ambito Windows.
 - certificati validi solo per la domain validation (es: siti web)

In questo caso vorrei installare un certificato SSL ottenuto da let's encrypt in Exchange. Per farlo, ho installato il client Windows di CertifyTheWeb (https://certifytheweb.com x scaricare il client) sul server Exchange. Affinché la procedura funzioni deve essere presente un server IIS. Dopo aver installato il client e' necessario effettuare una registrazione inserendo un indirizzo email (nel mio caso ne ho usato uno attinente al dominio) e quindi impostare un server web (IIS/default web site). A questo punto e' possibile far rilevare automaticamente i domini, e nel caso aggiungerli. Impostare un nome primario e procedere con la richiesta. Usare il metodo HTTP01, che e' quello più rapido. Nel default web site viene creata una directory/store chiamata .well-known, usata per la transazione ACME (il protocollo usato per parlare con let's encrypt per ottenere il certificato).
Per verificare se la procedura ha funzionato si puo andare in IIS/default web site/tasto dx/bindings.
Il certificato appena creato apparirà' nei binding per il protocollo htts. Il binding https viene aggiunto automaticamente, se non già presente. In alternativa si puo aprire un browser qualsiasi e verificare il certificato in uso.

P.S. se non ho letto male, ad oggi, per ottenere un certificato wildcard occorre usare il metodo DNS01, che prevede la creazione manuale di un record txt nella zona DNS del dominio. Il problema di questo metodo e' l'impossibilita di abilitare l'auto rinnovo del certificato.

N.B. i certificati di let's encrypt potrebbero avere qualche problema di funzionamento con dispositivi mobile e smartphone.

REFERENCE:
https://www.petenetlive.com/KB/Article/0001358
https://letsencrypt.org/
https://certifytheweb.com/
https://www.ictpower.it/guide/implementazione-di-lets-encrypt-in-ambiente-windows-server-2016.htm

on

Nessun commento:

Posta un commento

Iscriviti a: Commenti sul post (Atom)