ssl con plesk (9.3)

[fjstudio]

Ciao,

Premesso che:
ho un srv dedicato Centos5.4 32bit , plesk panel 9.3, 3 IP address
ho un paio di domini su un shared ip address.
ho il dominio mydomain configurato su un exclusive ip address

Mi piacerebbe avere un sito web cosi configurato se possibile:
http://www.mydomain.com - sito web
https://www.mydomain.com/backend - mio CMS per gestire il sito

Chiaramente alla parte https:// dovrebbero accedere solo i client con il certificato client installato appunto.

Io ho eseguito i seguenti step:

Creato da una mio pc con linux e openssl i certificati ssl
Configurato un ip address per uso esclusivo in plesk
Caricati i certificati ssl per il dominio mydomain: server-key, server-cert, ca-cert
Configurato il dominio su IP esclusivo e certificato ssl caricato sul server, e abilitata opzione usa ssl.

Adesso se vado su https://www.mydomain.com dopo i vari alert del browser mi viene mostrata la pagina di benvenuto di plesk.

Adesso domando ma non avendo installato il certificato nel browser il server non dovrebbe buttarmi fuori da quella pagina ? Inoltre perchè il browser mi dice che il mio certificato non è valido ? Ho creato il certificato con openssl. In passato ho già usato questa tecnica per connettere vari client a server mysql attraverso ssl con successo.

Probabilmente sbaglio qualcosa a livello di concetto, o forse sarebbe meglio hostare il mio cms su un terzo livello del dominio non so.

Ogni suggerimento è gradito

Ciao

[FlameNetworks]

Un certificato SSL self-signed è inutile in quanto tale.

Il tuo browser dice che il certificato SSL non è valido perchè sei tu che l'hai generato.

Di solito invece si usa un certificato SSL il cui CSR viene firmato da una Certification Authority che garantisce sull'autenticità del certificato.

My 2 cents.

Fabrizio

[fjstudio]

Ciao,

Bene immaginavo che ci fosse differenza tra un certificato creato in autonimia rispetto ad uno di quelli a pagamento.

Può essere questo il fattore determinante per il mio problema ?

Se hai qualche CA da consigliare che non sia troppo cara .....

Grazie per la risposta

Ciao

[Uno]

Un certificato SSL self-signed è inutile in quanto tale.

Il tuo browser dice che il certificato SSL non è valido perchè sei tu che l'hai generato.

Aspetta, è inutile per garantire ad altri (alla loro percezione) la sicurezza della connessione. Se devo/voglio usarlo per me o per qualcuno al corrente della cosa è assolutamente identico ad uno acquistato.

Quindi fjstudio si, per fare accedere terzi non è il massimo, tecnicamente il funzionamento è uguale, ma uno acquistato è già presente nei maggiori browser, uno autoprodotto alla prima visita va scaricato e memorizzato, quindi se sono clienti e magari anche poco preparati potrebbero spaventarsi.

Ne trovi da una quindicina di euro l'anno in su, dipende dal grado di sicurezza. Adesso non mi vengono in mente nomi, magari altri ti sapranno dire

[fjstudio]

Ciao,

Io avevo letto la guida di plesk in merito.

Effettivamente per quello che devo fare io (o che vorrei fare, non so se è corretto) mi è sufficiente che venga usato il protocollo ssl (e questo lo farebbe anche il mio cert) e che per accedere al cms il client mostri il certificato, altrimenti non si deve poter accedere a quella url. (lo stesso sistema che usano le banche per i conti on-line no?)

Questo ultimo passaggio non mi è chiaro infatti come dicevo prima forse sbaglio qualcosa a livello di concetto. Prova a spiegarmi meglio.

Vorrei proteggere il mio cms (oltre che con la solita sessione) anche con il certificato ssl. Per fare questo pensavo di ospitare il mio backend all URL : https://www.mydomain.com/backend, mentre il sito lo ospito su http://www.mydomain.com.

La cosa strana per quello che mi immaginavo io è che quando digito l'indirizzo nel browser mi viene mostrata la pagina di benvenuto di plesk per il sito ssl; Dato che ancora non ho installato nel browser (lato client) il certificato client, mi aspettavo di essere buttato fuori da questo sito perchè non avevo le credenziali.

Ad esempio su un altro server ho configurato un server mysql per accettare connessioni dall'esterno solo attraverso certificato ssl. Ho installato nel server i certificati server specificando nella conf di mysql dove stanno i certificati e creato gli utenti mysql con le varie opzioni ssl. Lato client se non si ha installato il certificato client non possiamo accedere al server mysql. Ma per il rpotocollo https non avviene la stessa cosa a prescindere dal fatto che un certificato sia self-signed oppure no ?

Grazie per la risposta

Ciao

[Uno]

Devi installare il backend in una cartella diversa, quella per ssl (non ho un plesk sottomano e non ricordo) oppure fare un lavoretto sulle configurazioni di apache, ma che se non sei su dedicato non puoi fare probabilmente

[fjstudio]

Ciao,

Certo è chiaro che devo installare il cms in httpsdocs mentre il sito in httpdocs le rispettive cartelle alle quali verranno indirizzate le richieste https e http rispettivamente. (Sono su un dedicato comunque).

La cosa strana appunto è che devo forzare apache a richiedere la verifica client del certificato. Per adesso ho visto che nel virtualhost in questione all'interno del file httpd.include esiste una direttiva SSLVerifyClient impostata su none. Probabilmente per fare quello che vorrei io devo trovare il modo di impostare il valore su si, ma non so come si possa fare. Purtroppo non si può intervenire direttamente su questo file, devo trovare il modo o di farlo da plesk o di impostare direttamente il valore sulla conf di apache.

[fjstudio]

Ciao,

Intanto leggendo la guida
mod_ssl - Apache HTTP Server

ho compreso che devo impostare
SSLVerifyClient su require.
Adesso manca solo il dove e poi da provare il tutto.

[cbs]

Vorrei fare anche io qualche utile precisazione.

Non c'è nessuna differenza tecnica fra un certificato autogenerato ed uno firmato da una CA, entrambe proteggono i dati allo stesso modo.

Quello che cambia è la "reputazione" che tu presenti ai tuoi utenti, se ti autocertifichi sei meno credibile rispetto alla certificazione di un "notaio" di terza parte, la CA appunto.

Per ogni VirtualHost in SSL che attivi ti serve un IP dedicato, altrimenti vieni reindirizzato sul primo VirtualHost SSL della lista.

Quando, se, farai firmare il tuo certificato da una CA non perdere la "private-key" con il quale hai firmato il tuo CSR altrimenti con il solo CSR in tuo possesso il certificato sarà inutilizzabile. Dico questo perchè ci capita che mlti utenti generano, per test, N Private KEY ed N CSR ed alla fine fanno confusione magari cancellando la Private KEY sbagliata.

Ciao

[Antonio]

Ciao,

Intanto leggendo la guida
mod_ssl - Apache HTTP Server

ho compreso che devo impostare
SSLVerifyClient su require.
Adesso manca solo il dove e poi da provare il tutto.

Se usi plesk non devi toccare la configurazione di apache, fai tutto da pannello importando il certificato

Se ssl ti serve ad esempio per farlo utilizzare ad un solo cliente o solo per te, puoi anche importare il certificato sul browser e non avere più quei fastidiosi alert

[fjstudio]

Ciao,

é quello che sto tendando di fare.

Io ho importato i certificati da plesk, ma non trovo il modo di dire a plesk di verificare il certificato client. Infatti se vado su https://www.mydomain.com vedo la pagina di benvenuto, invece vorrei essere buttato fuori perchè nel client non ho un certificato installato.

[fjstudio]

Vorrei fare anche io qualche utile precisazione.

Non c'è nessuna differenza tecnica fra un certificato autogenerato ed uno firmato da una CA, entrambe proteggono i dati allo stesso modo.

Quello che cambia è la "reputazione" che tu presenti ai tuoi utenti, se ti autocertifichi sei meno credibile rispetto alla certificazione di un "notaio" di terza parte, la CA appunto.

Per ogni VirtualHost in SSL che attivi ti serve un IP dedicato, altrimenti vieni reindirizzato sul primo VirtualHost SSL della lista.

Quando, se, farai firmare il tuo certificato da una CA non perdere la "private-key" con il quale hai firmato il tuo CSR altrimenti con il solo CSR in tuo possesso il certificato sarà inutilizzabile. Dico questo perchè ci capita che mlti utenti generano, per test, N Private KEY ed N CSR ed alla fine fanno confusione magari cancellando la Private KEY sbagliata.

Ciao

Ciao,
grazie per la precisazione è molto chiarificatrice. Infatti si mi stavo rileggendo una guida che spiegava la differenza, ed è proprio come dici tu. Adesso ho le idee più chiare, ma nonostante abbia tutti i requisiti in regola (compreso che ho il dominio configurato su un IP esclusivo) non riesco ad impostare il server affinchè esegua la verifica del certificato client.

Ciao

[Antonio]

Ciao,

é quello che sto tendando di fare.

Io ho importato i certificati da plesk, ma non trovo il modo di dire a plesk di verificare il certificato client. Infatti se vado su https://www.mydomain.com vedo la pagina di benvenuto, invece vorrei essere buttato fuori perchè nel client non ho un certificato installato.

Aspetta, ma tu vuoi eseguire la verifica anche del client:

1. il client invia il suo certificato SSL al server
2. il server agisce da client e lo conferma (se lo ha tra i certificati validi)
3. il server invia il suo certificato al client
4. il client lo conferma (se lo ha tra i certificati validi)
5. inizia il dialogo tra client e server.

Se ho capito bene, quello che vuoi fare non è possibile farlo direttamente da plesk e devi farlo con SSLVerifyClient modificando la configurazione di apache a mano.

PS: Soluzioni come questa le ho usate in passato con applicazioni client/server completamente scritte da me in java per avere maggiore sicurezza (ma lì dialogavano fra loro sistemi, non utenti fisici con browser), se passi per apache e ti serve l'autenticazione del client non fai prima a gestire l'auth lato script?

EDIT:

Se poi ti interessa fare quello che ad esempio fanno tutti gli ecommerce con SSL, allora non devi verificare il client, anzi è il contrario!

[fjstudio]

Ciao Antonio,

grazie per la risposta.

Quello che mi piacerebbe fare, è che alla URL https://www.mydomain.com possa accedere solo un determinato client (nel nostro caso un browser del mio cliente) che esponga il certificato client corretto. (ovvero verificabile dal server appunto).

Ho applicato lo stesso concetto su un altro server per mysql e funziona bene senza problemi.

La tua risposta mi fa capire dunque che posso smettere di cercare tra le opzioni plesk quello che non c'e' ovvero la verifica del certificato client. Devo scegliere dunque se modificare httpd.conf o il vhost.conf, dato che il file httpd.include non si può toccare e devo capire come modificarlo correttamente.

[Antonio]

Ciao Antonio,

grazie per la risposta.

Quello che mi piacerebbe fare, è che alla URL https://www.mydomain.com possa accedere solo un determinato client (nel nostro caso un browser del mio cliente) che esponga il certificato client corretto. (ovvero verificabile dal server appunto).

Ho applicato lo stesso concetto su un altro server per mysql e funziona bene senza problemi.

La tua risposta mi fa capire dunque che posso smettere di cercare tra le opzioni plesk quello che non c'e' ovvero la verifica del certificato client. Devo scegliere dunque se modificare httpd.conf o il vhost.conf, dato che il file httpd.include non si può toccare e devo capire come modificarlo correttamente.

Esattamente

con httpd.include, non appena effettui modifiche da plesk ti trovi le impostazioni sovrascritte; devi usare per forza vhost.conf presente nella cartella conf del dominio