Let’s Encrypt è uscito dalla Beta

letsencrypt

Il 12 Aprile 2016 Let’s Encrypt è uscito dalla beta!

https://letsencrypt.org/

Per chi non sa cosa sia ecco qui l’estratto dal loro sito ufficiale:

Let’s Encrypt is a free, automated, and open certificate authority (CA), run for the public’s benefit. Let’s Encrypt is a service provided by the Internet Security Research Group (ISRG).

The key principles behind Let’s Encrypt are:

  • Free: Anyone who owns a domain name can use Let’s Encrypt to obtain a trusted certificate at zero cost.
  • Automatic: Software running on a web server can interact with Let’s Encrypt to painlessly obtain a certificate, securely configure it for use, and automatically take care of renewal.
  • Secure: Let’s Encrypt will serve as a platform for advancing TLS security best practices, both on the CA side and by helping site operators properly secure their servers.
  • Transparent: All certificates issued or revoked will be publicly recorded and available for anyone to inspect.
  • Open: The automatic issuance and renewal protocol will be published as an open standard that others can adopt.
  • Cooperative: Much like the underlying Internet protocols themselves, Let’s Encrypt is a joint effort to benefit the community, beyond the control of any one organization.
Let’s Encrypt è uscito dalla Beta

Creare un certificato SSL di durata maggiore di 2 anni tramite CA Server Windows

Installate la CA su di un Server di dominio facendo attenzione ad installare anche il ruolo di “Certification Authority Web Enrollment” e impostando il certificato della CA ad un valore di anni opportuno (e.g. se volete un certificato utente di 20 anni allora il certificato della rootCA deve essere di almeno 20 anni).

server_roles

Da un IIS generare una richiesta di certificato. Io la richiesta l’ho fatta direttamente dall’IIS (versione 7) della mia CA.

iis_request

Occorre andare a duplicare il Template WebServer (che di default ha validità dei certificati rilasciati di 2 anni) e mettere la validità a 20 anni.

template

template_20

A questo punto occorre accedere al webservice direttamente dalla CA o da un PC con le credenziali opportune per l’Enroll dei certificati

https://localhost/certsrv

e cliccare su “Request a Certificate“.

request

Scegliere la modalità avanzata

advanced_request

Mettere la richiesta (base64) generata in precedenza nel campo richiesto

submit_request

E scaricare il proprio certificato in formato .cer

Una volta scaricato il certificato l’ho importato nella mia CA nello snap-in  “Certificates” di mmc.

Una volta importato lo potete esportare in formato .pfx includendo la chiave privata.

In questo modo il certificato .pfx sarà pronto per poter essere installato sul server web per il quale era stata fatta la richiesta.

N.B. Attenzione che io sono risucito a generare un certificato con un template di 20 anni perchè il certificato della mia rootCA aveva validità ventennale. Se voi avete un certificato della vostra rootCA che ha validità X anni allora dovete generare un duplicato del template WebServer che abbia validità al massimo X anni!

Io ho anche modificato i valori dei seguenti registry:

reg_values

—————————-

Non ero subito riuscito a generare il certificato… ecco l post che avevo fatto su serverfault. Ho fatto varie prove di duplicazione template e generazione della richiesta.

Alla fine facendo tutto dalla CA (richiesta + installazione snap-in + export del certificato) sono riuscito ad avere il mio file .pfx da importare su IIS7 del server per il quale avevo richiesto il certificato.

http://serverfault.com/questions/689999/windows-server-2012-root-enterprise-certification-authority-issue-certificates-o/690858#690858

Creare un certificato SSL di durata maggiore di 2 anni tramite CA Server Windows