E' importante notare che questa procedura si applica solo al rinnovo del certificato, quindi non deve essere ancora scaduto.

Qualora sia invece già scaduto, occorre registrarsi di nuovo come fosse la prima volta ma utilizzando una mail diversa che dovrà essere poi associata alla precedente dagli operatori...insomma ti conviene rinnovarlo prima che scada!

Per prima cosa ovviamente andare sul sito di StartSSL.com (link) e cliccare sul "Login" per andare alla pagina di login.

Da qui è possibile accedere (se si ha un account) o registrarsi (se non si ha un account). Essendo un rinnovo abbiamo l'account, quindi cliccare su "Authenticate".

Verrà (forse, dipende dal browser) mostrata una dialog per la selezione del certificato da utilizzare per l'autenticazione; selezionare il certificato in scadenza e premere "OK".

Una volta entrati andare nella "Toolbox", c'è l'apposito link in alto a sinistra.

A questo punto sulla sinistra cliccare "Certificates List" per accedere alla lista dei certificati attivi per l'account.

Ora abbiamo la lista dei nostri certificati. Lì in mezzo c'è quello di autenticazione (se prossimo alla scadenza riporta la dicitura "Will expire") che ha come nome l'indirizzo email di registrazione del nostro account.

In corrispondenza della riga c'è un triangolino blu che se se cliccato fa comparire un menù a tendina: da questo menù selezionare "Renew" per rinnovarlo.

Ci viene ora chiesto il tipo di certificato che si vuole generare. Quello che serve a noi è un certificato di autenticazione, quindi selezionare "Cliente S/MIME and Authentication Certificate" e premere "Continue".

Ora ci viene richiesto l'indirizzo email per cui creare il certificato di autenticazione. Nel nostro caso è l'indirizzo che corrisponde all'account, quindi dovremo inserirlo nel campo di testo.

Attenzione: affinché si possa usarlo, l'indirizzo email deve essere validato (hai già eseguito la procedura alla prima registrazione, nella sezione "Validation Wizard").

In quanto al certificato CSR è possibile seguire due strade: generarne uno automaticamente col browser in uso (Internet Explorer, Chrome, Firefox, ...), oppure generarlo attraverso il programmino "StartComTool.exe" facilmente scaricabile dal link ivi fornito.

Che cambia? Ora ti spiego.

E' la via automatica: il browser genera un CSR e se lo autoinstalla. Il "problema" è che non viene fornito automaticamente, quindi per tenersene un archivio occorre andarlo a cercare.

Vengono generati due file sono facilmente archiviabili. Ed è sufficiente copiare il contenuto del file ".csr" generato nel campo apposito. Di contro ha che non è automatico. Nella prossima pagina ti spiego la procedura se ti interessa.

Io ho optato per la generazione autonoma, ma tu fai come preferisci, quindi premi il tasto "Submit".

Cliccare sul link "StartComTool.exe" per scaricare il relativo programmino gratuito.

Lì bisognerà spostarsi nella tab "CSR", selezionare "Client Certificate" (di default selezionato), "Generate private key" (se non si è già in possesso di una), quindi "Generate CSR".

Nel campo di testo a finaco comparirà il CSR da riportare di là, mentre nelle cartelle riportate sopra è possibile recuperare i file ".csr" e ".key" da archiviare per eventuali usi futuri.

Una volta compilata e spedita la form viene permesso di scaricare il file ".zip" coi certificati al suo interno.

Apriamo il file ".zip" e notiamo che ci sono due file: il primo è il file intermediario tra il nostro certificato e l'autority, il secondo (col nome che è il nostro indirizzo email) è il nostro certificato di autenticazione.

Per usare il certificato bisogna installarlo nel browser, ma per farlo occorre creare un pacchetto con all'interno entrambi i certificati.

Per fare questo creare un nuovo file di testo ".crt" (col nostro editor testuale preferito) dove inseriamo a cascata il contenuto rispettivamente di: il nostro certificato, poi quello intermediario.

Diamo in pasto questo nuovo file al programmino StartComTool di prima per ottenere il file PFX di cui il browser ha bisogno.

Nella tab "Certificate" selezionare "Export PFX", quindi usare i tasti "Select" per selezionare dal nostro PC il file ".crt" che abbiamo appena creato con entrambi i certificati, e il file ".key" che è stato creato alla generazione del ".csr". Quindi premere "Submit".

Nel browser andare nel menù in alto a destra e selezionare la voce "Opzioni".

I browser hanno sempre un database di certificati installati. Tipo in Firefox sta in "Avanzate", tab "Certificati", tasto "Mostra certificati".

Per installare il certificato che abbiamo generato occorre importare nel browser il file ".pfx" che hai appena generato. In Firefox è possibile farlo da questa finestra, ma ogni browser fornisce in qualche modo questa possibilità. Il certificato presente è quello in scadenza da sostituire.

Torniamo ora su StartSSL e dopo essere usciti dall'eventuale sessione aperta, riaccedere ma stavolta selezionando il nuovo certificato.

(Nota: Firefox salva l'ultima scelta, quindi per mostrare di nuovo la dialog di scelta certificato occorre seguire questa procedura).

A questo punto per completezza ritorna nella dialog che mostra i certificati installati e rimuovi quello scaduto, non può più servire ed evita di sbagliarsi in futuro. Quello vecchio da togliere è riconoscibile dalla data di termine.

In Firefox una volta selezionato il certificato da rimuovere e premuto il tasto "Elimina...", si passa per la finestra di conferma eliminazione, alla quale bisogna rispondere affermativamente.

E la procedura è completata: abbiamo rimosso il vecchio certificato e abbiamo installato quello nuovo che ci farà autenticare per un altro anno.