Per poter rinnovare il certificato SSL del dominio occorre avere un nuovo certificato SSL per tale dominio, quindi recarsi al sito della propria autority e generare un nuovo SSL per il dominio in scadenza.

Nel caso tu abbia il certificato fornito da StartCom, puoi seguire la procedura indicata in questo libro fino a pagina 7, ovviamente facendo il "Renew" del certificato del dominio in scadenza e non del certificato di autenticazione come riportato lì, quindi continua con questa procedura.

Nel file zip vengono forniti i certificati e spesso in diverse configurazioni per essere pronti per alcuni IIS, io per una questione di flessibilità prendo i certificati generici che si applicano a tutti i casi.

Quindi estraggo i certificati da "OtherServer.zip".

Ci sono 3 certificati al suo interno in questo caso di StartCom:

- il certificato del mio dominio

- il certificato intermedio

- e il certificato della root (StartCom)

questi tre sono i certificati da fornire al server.

A questo punto accedere al proprio server ISPConfig ricordando che di default risponde sulla porta 8080 dell'indirizzo del proprio server.

Username e password e siamo dentro.

Spostarsi nella lista dei domini registrati cliccando sulla linguetta "Siti", quindi selezionare nella lista il dominio per cui abbiamo rinnovato il certificato per aprirne la configurazione.

Spostarsi ora nella tab "SSL" cliccando sull'apposita linguetta.

Ora occorre fare attenzione perché bisognerà fare un po' ti taglia e cuci dei certificati per fornirli come servono al server.

Bisognerà essere meticolosi perché basta un carattere fuori posto e salta tutto! Con i certificati di sicurezza non si scherza.

Ok, ora diventa un po' complicato.

A questo punto abbiamo diversi file a disposizione:

- una chiave privata ".key"

- un file ".csr"

- un certificato per il dominio ".crt"

- un certificato intermedio ".crt"

- un certificato root ".crt"

Quello che dobbiamo fare è rimepire i campi della pagina "SSL" costruendo i codici nel modo appropriato.

I codici li costruiamo accodando i codici a formare un unico grande blocco. Dove finisce uno inizia l'altro:

----- END ------

----- BEGIN ------

Un backup dei codici precedenti fa sempre comodo...nel caso qualcosa dovesse andare storto.

I codici da formare sono i seguenti:

SSL Key: è la chiave privata, quindi il contenuto del file ".key";

Richiesta SSL: è il contenuto del file ".csr";

Certificato SSL: questo certificato deve essere una catena che porta dal ".crt" del dominio a quello di root, quindi ci deve stare anche l'intermedio; perciò il blocco di codice è composto da: ".crt" dominio + ".crt" intermedio (il codice root non ci va);

SSL Bundle: è un blocco che dichiara la chiave oltre al certificato, quindi è composto da: ".key" + ".crt" dominio + ".crt" intermedio.

Ecco questi sono tutti i campi da comporre, copiare i blocchi nei rispettivi campi e salvare col bottone in fondo alla pagina.

A questo punto vanno aggiornati anche i file all'interno della cartella "SSL" del dominio, nello spazio web (di solito accessibile in lettura da FTP, ma in scrittura solo da SSH).

Una via potrebbe essere quella di caricare i file certificato nella cartella "web" dell'FTP e quindi da SSH spostarli nella cartella "ssl".

I file da copiare lì sono (con gli stessi nomi, "dominio.com" sostituito dal nome del dominio ovviamente):

- il file certificato del dominio "dominio.com.crt"

- il file chiave privata "dominio.com.key"

- il file certificato intermedio "ca-certs.crt"

- il file bundle "dominio.com.bundle"

Dopodiché si riavvìa il server web con:

 service httpd restart

in CentOS 6, negli altri sistemi operativi eseguire il relativo metodo.

E se tutto riparte senza errori è fatta!

Per stare tranquilli, e sapere che tutto sia stato fatto a regola d'arte, si può utilizzare un potente strumento di diagnostica al seguente sito:

Se al controllo viene fuori una spuntona verde e, soprattutto, la catena di certificazione in basso è completa (cioé non ci sono riquadri rossi), allora è tutto funzionante, altrimenti tocca capire dov'è il problema e risolvere! Perché manca un certificato nella catena.

Se invece sono tutti bianchi fino alla root...congratulazioni!

Fatto.

Questa è la procedura che ha funzionato sul mio server, non posso assolutamente garantire che funzioni sul tuo! Il mondo dei server è pieno zeppo di insidie e configurazioni, quindi probabilmente qualcosa di tutta questa procedura deve essere variato per soddisfare il tuo setup.

Questa è solo una linea guida funzionante su server Apache2.2 su CentOS 6 e ISPConfig 3. Quando mi ritrovai io a dover combattere con queste cose una guida del genere mi avrebbe fatto molto comodo, quindi eccomi a fornirla a te nella speranza che possa aiutare :)