Ctrl+K

Certificati TLS

Certificati TLS#

Un certificato SSL/TLS è un oggetto digitale rilasciato da un’Autorità di certificazione (CA). Il certificato viene utilizzato per verificare l’identità di un host e per stabilire canali di comunicazione crittografati. Al momento dell’installazione, NethServer 8 utilizza un certificato autofirmato predefinito per tutti i servizi TLS, inclusa l’interfaccia utente Web.

Certificati Let’s Encrypt#

NethServer 8 può richiedere certificati validi Let’s Encrypt usando traefik.

Richiedi Let’s Encrypt è possibile se i seguenti requisiti sono soddisfatti:

  1. il server deve essere raggiungibile dall’esterno sulla porta 80. Assicurarsi che la vostra porta 80 sia aperto da Internet (puoi controllare con siti come `CSM <http://www.canyouseeme.org/> `_)

  2. i domini per i quali si desidera il certificato devono essere nomi di dominio pubblici associati all’IP pubblico del proprio server. Assicurati di avere nomi DNS pubblici che puntano al tuo server sia per gli indirizzi IPv4 che IPv6. Ci sono molti siti come VDNS per verificare se il DNS è configurato correttamente.

Avvertimento

I certificati Wildcard (i.e. *.nethserver.org) non sono supportati.

Se i requisiti di cui sopra sono soddisfatti, è possibile ottenere un certificato valido per un dominio seguendo questi passaggi:

  • accedere alla pagina Impostazioni e fare clic sulla scheda ``certificati TLS ``

  • clicca sul pulsante Richiesta certificato

  • inserire il nodo FQDN e selezionare il nodo

  • clicca sul pulsante Richiesta certificato

La procedura richiederà un po”, ma il sistema vi informerà quando il certificato è pronto. Il certificato Let’s Encrypt viene rinnovato automaticamente 30 giorni prima della scadenza.

Se la procedura fallisce, lo stato del certificato viene impostato su Non ottenuto e viene visualizzata una notifica di errore.

I guasti possono verificarsi se il record DNS non è configurato correttamente, o la propagazione dell’aggiornamento DNS è più lenta del previsto. In entrambi i casi Traefik si ritira per ottenere il certificato in un secondo momento quando:

  • il servizio Traefik è riavviato, o

  • una richiesta HTTPS che corrisponde al nome del certificato viene ricevuta.

Avvertimento

Traefik memorizza il tempo dell’ultimo tentativo di rilascio di certificato in memoria. Non riavviare Traefik troppo spesso, per evitare di incorrere nei limiti di velocità Let’s Encrypt.

Certificati personalizzati#

Se sei già in possesso di un certificato e della sua chiave privata, puoi caricarli sul cluster. È possibile seguire questa procedura per installare il certificato:

  • accesso alla Impostazioni e fare clic sulla scheda Certificati TLS

  • cliccare su Upload certificate

  • una volta aperta la modalità, selezionare l’istanza Traefik dove verrà installato il certificato

  • caricare il file chiave e il file di certificato. Sono controllati su upload e se la chiave non corrisponde al certificato, si riceve un errore

  • una volta selezionato i file per il caricamento, clicca su Upload

Si riceve un errore se qualcosa con il caricamento va storto, altrimenti il modal si chiude e l’elenco dei certificati viene aggiornato.

Contenuti