Stai installando un certificato SSL sul tuo server e improvvisamente ti ritrovi bloccato. La configurazione richiede un file“CA Bundle” e tu non sai cosa sia o dove trovarlo. Non sei il solo: questa situazione mette in difficoltà molte persone durante l’installazione di un certificato SSL.

I bundle CA non sono complicati se si capisce a cosa servono. In questa guida ti spiegheremo esattamente cos’è un CA Bundle, perché il tuo server ne ha bisogno e come crearne o ottenerne uno in pochi minuti. Alla fine sarai in grado di gestire i CA Bundle con sicurezza e di evitare quei frustranti errori di “certificato non attendibile”.
Indice dei contenuti
- Che cos’è un pacchetto CA?
- Perché il pacchetto CA è importante per la sicurezza SSL
- Come ottenere il tuo pacchetto CA
- Come creare un pacchetto CA
- Verifica del tuo bundle CA
- Installazione del pacchetto CA sul server
- Problemi comuni del bundle CA e soluzioni
- Migliori pratiche per i bundle CA
Save 10% on SSL Certificates when ordering from SSL Dragon today!
Fast issuance, strong encryption, 99.99% browser trust, dedicated support, and 25-day money-back guarantee. Coupon code: SAVE10
Che cos’è un pacchetto CA?
Un CA Bundle è un singolo file che contiene i certificati intermedi e i certificati radice della tua Autorità di Certificazione. Insieme al certificato del tuo server, completa la catena di fiducia del tuo certificato SSL, la sequenza di certificati che i browser utilizzano per verificare la legittimità del tuo sito.
Vedila così: il tuo certificato server dice “Sono example.com”, ma i browser hanno bisogno di una prova. Il bundle della CA fornisce questa prova mostrando il percorso affidabile dal tuo certificato fino al certificato radice di cui i browser si fidano già.
La maggior parte dei certificati SSL richiede un bundle CA (la principale eccezione è rappresentata dai certificati in formato PKCS#7, che includono già il bundle). Senza di esso, i browser non possono verificare l’autenticità del tuo certificato, causando avvisi di sicurezza che allontanano i visitatori.
Componenti del pacchetto CA
Un tipico pacchetto di CA contiene due tipi di certificati:
- Certificati intermedi. Si tratta di certificati emessi dall’Autorità di Certificazione per colmare il divario tra il certificato del tuo server e il certificato root. Le grandi CA come Sectigo e DigiCert utilizzano spesso più intermediari per distribuire il carico di lavoro di firma dei certificati e gestire diversi tipi di certificati.
- Certificati radice. Sono i certificati di livello superiore nella catena di fiducia. I browser e i sistemi operativi sono dotati di certificati radice pre-caricati da CA affidabili. Quando un browser vede un certificato radice che riconosce, sa che l’intera catena di certificati è valida.
The file itself usually has a .pem, .crt, or .ca-bundle extension. Inside, you’ll find the certificates in PEM format—blocks of text starting with —–BEGIN CERTIFICATE—– and ending with —–END CERTIFICATE—–.
La catena di fiducia dei certificati
Ecco come funziona in pratica la catena di certificati SSL:
- Certificato del server (il certificato del tuo sito web) – Contiene il nome del tuo dominio e la chiave pubblica.
- Certificato/i intermedio/i (da CA Bundle) – Firmato dalla CA principale, firma il tuo certificato.
- Certificato radice (da CA Bundle) – Pre-fidato da browser e sistemi operativi

Quando qualcuno visita il tuo sito tramite HTTPS, il suo browser esegue un handshake SSL. Durante questo processo, il browser convalida ogni anello della catena, partendo dal certificato del tuo server e risalendo fino a una radice affidabile. Questa è la PKI (Public Key Infrastructure) in azione.
Se manca un anello di questa catena – tipicamente perché il bundle CA non è stato installato – il browser non può completare la convalida. Il risultato? Avvisi di sicurezza come “La tua connessione non è privata” o “Certificato non attendibile”.
Perché il pacchetto CA è importante per la sicurezza SSL
Il bundle CA svolge diverse funzioni fondamentali che vanno oltre la semplice comparsa dell’icona del lucchetto.
Compatibilità con i browser
Browser e sistemi operativi diversi mantengono archivi di fiducia dei certificati diversi. Il tuo bundle CA garantisce la compatibilità tra i browser desktop, i dispositivi mobili, i client e-mail e gli strumenti API. Questo è particolarmente importante per le vecchie versioni dei browser che potrebbero non avere i certificati intermedi più recenti.
Protezione contro le minacce alla sicurezza
Un bundle CA correttamente configurato aiuta a prevenire gli attacchi man-in-the-middle verificando l’autenticità del certificato a più livelli. La catena di certificati rende quasi impossibile la falsificazione perché ogni certificato è firmato crittograficamente da quello che lo precede.
Soddisfare i requisiti di conformità
Molti settori richiedono una corretta configurazione SSL/TLS:
- PCI DSS richiede una trasmissione sicura dei dati dei titolari di carta di credito.
- Il GDPR impone misure di sicurezza adeguate per i dati personali
- L‘HIPAA richiede una comunicazione sicura per le informazioni sanitarie
Un bundle CA mancante o non correttamente configurato può metterti fuori norma, anche se il tuo certificato è valido.
Come ottenere il tuo pacchetto CA
Non è necessario creare un bundle CA da zero ogni volta. Ecco i modi principali per ottenerne uno:
1. Dalla tua Autorità di Certificazione
Quando acquisti un certificato SSL da fornitori come Sectigo, DigiCert o GeoTrust, di solito ti forniscono il CA Bundle insieme al certificato del tuo server. Per i clienti di SSL Dragon, troverai il tuo CA Bundle nella dashboard del tuo certificato subito dopo l’emissione.
2. Scarica dai repository ufficiali delle CA
La maggior parte delle principali autorità di certificazione gestisce repository pubblici dove è possibile scaricare i certificati root e intermedi. Sectigo, DigiCert, Let’s Encrypt e altre CA pubblicano le loro catene di certificati sui loro siti di supporto.
3. Estrazione dall’archivio dei certificati
I sistemi operativi mantengono degli archivi di fiducia dei certificati a cui puoi accedere:
- Windows: Usa certmgr.msc per accedere al gestore dei certificati.
- Linux/macOS: directory /etc/ssl/certs/
Come creare un bundle CA (guida passo-passo)
A volte è necessario creare un bundle di CA manualmente: forse hai ricevuto solo file di certificati individuali. Ecco come farlo correttamente.
Prerequisiti
Prima di iniziare, assicurati di avere:
- Il tuo file di certificato intermedio
- Il file del tuo certificato di root
- Un editor di testo (Notepad++, nano, vim o anche Notepad di base)
Metodo 1: utilizzare un editor di testo
Questo metodo funziona su qualsiasi piattaforma e non richiede competenze tecniche.
Passo 1: Individuare i file del certificato
Trova i file dei certificati forniti dalla tua CA. Stai cercando i certificati intermedi e radice, non il certificato del tuo server. I file hanno solitamente estensioni come .crt, .pem o .cer.
Passo 2: Aprire ogni certificato
Apri il tuo certificato intermedio in un editor di testo. Vedrai un contenuto come:
-----BEGIN CERTIFICATE-----
MIIGEzCCA/ugAwIBAgIQfVtRJrR2uhHbdBYLvFMNpzANBgkqhkiG9w0BAQwFADCB
[many lines of encoded data]
-----END CERTIFICATE-----
Le parti importanti sono l’intestazione —–BEGIN CERTIFICATE—– e il piè di pagina —–END CERTIFICATE—–. Assicurati che siano entrambi presenti e completi.
Passo 3: Creare il tuo file bundle
Crea un nuovo file vuoto nel tuo editor di testo. Nominalo yourdomain.ca-bundle o ca-bundle.crt. L’estensione non ha molta importanza: puoi usare .pem, .crt o .ca-bundle.
Passo 4: Copiare i certificati nell’ordine corretto
Questo è il passaggio cruciale. L’ordine deve essere:
- Primo: il tuo certificato intermedio (quello che ha firmato direttamente il certificato del tuo server)
- Secondo: qualsiasi certificato intermedio aggiuntivo (se ne hai più di uno)
- Ultimo: il certificato di base
Copia ogni certificato per intero, comprese le righe INIZIO e FINE. Non aggiungere spazi extra o righe vuote tra un certificato e l’altro.
Ecco come si presenta un pacchetto CA corretto:
-----BEGIN CERTIFICATE-----
[Intermediate Certificate 1]
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
[Root Certificate]
-----END CERTIFICATE-----
Passo 5: Salvare il file
Salva il file con la codifica UTF-8. Controlla che ogni certificato inizi con —–BEGIN CERTIFICATE—– e finisca con —–END CERTIFICATE—– senza spazi aggiuntivi.
Metodo 2: Utilizzo della riga di comando
Se hai dimestichezza con la linea di comando, puoi creare un bundle CA in pochi secondi.
Linux/macOS:
cat intermediate.crt root.crt > ca-bundle.crt
Prompt dei comandi di Windows:
copy /b intermediate.crt + root.crt ca-bundle.crt
Questi comandi concatenano i file dei certificati in ordine. Assicurati di elencarli nella giusta sequenza: prima i certificati intermedi, poi il certificato radice.
Errori comuni da evitare
- Ordine errato dei certificati – L’errore più comune è quello di mettere il certificato di root al primo posto.
- Spazi bianchi extra – Non aggiungere righe vuote tra i certificati.
- Intestazioni mancanti – Copia l’intero blocco del certificato, comprese le linee BEGIN/END.
- Includere il certificato del server – Il bundle della CA deve contenere solo i certificati intermedi e radice.
Save 10% on SSL Certificates when ordering from SSL Dragon today!
Fast issuance, strong encryption, 99.99% browser trust, dedicated support, and 25-day money-back guarantee. Coupon code: SAVE10
Verifica del tuo bundle CA
Prima di installare il Bundle CA su un server di produzione, verifica che sia corretto.
Utilizzo di OpenSSL
OpenSSL è lo strumento standard per lavorare con i certificati SSL:
openssl verify -CAfile ca-bundle.crt your-server-certificate.crt
Se tutto è corretto, lo vedrai:
your-server-certificate.crt: OK
Se c’è un problema, OpenSSL ti dirà cosa c’è che non va, come ad esempio certificati mancanti o un ordine errato.
Utilizzare gli strumenti di controllo SSL online
SSL Dragon offre uno strumento gratuito di SSL Checker che convalida la catena di certificati. Una volta che il tuo certificato è stato installato, lo strumento:
- Mostra la catena completa dei certificati
- Identifica i certificati intermedi mancanti
- Controlla le date di scadenza dei certificati
- Verifica la compatibilità con diversi browser
Installazione del pacchetto CA sul server
Il processo di installazione varia a seconda della piattaforma. Ecco una rapida panoramica:
Apache. Usa la direttiva SSLCertificateChainFile:
SSLCertificateChainFile /path/to/ca-bundle.crt
Nginx. Specifica il certificato attendibile:
ssl_trusted_certificate /path/to/ca-bundle.crt;
cPanel/WHM. Usa l’interfaccia web per incollare il tuo bundle CA nel campo “Certificate Authority Bundle”.
IIS (Windows Server). Importa i certificati intermedi in “Autorità di certificazione intermedie” e i certificati radice in “Autorità di certificazione radice affidabili” utilizzando il Gestore certificati.
Per una guida dettagliata all’installazione specifica per il tuo ambiente server, consulta la documentazione di installazione di SSL Dragon.
Problemi comuni del bundle CA e soluzioni
Problema 1: Errore “Catena di certificati incompleta
Sintomi: Gli strumenti di test SSL segnalano la mancanza di un certificato intermedio o alcuni browser mostrano degli avvisi.
Soluzione: Scarica il pacchetto completo di certificati dal sito web della tua CA. Verifica di aver incluso tutti i certificati intermedi, non solo uno. Verifica che l’ordine sia corretto.
Problema 2: Ordine del certificato errato
Sintomi: Errori di convalida del certificato o avvisi SSL intermittenti nei browser.
Soluzione: Riorganizza i tuoi certificati in modo che quello che ha firmato il certificato del server venga prima, mentre il certificato di root venga per ultimo. Salva e carica nuovamente sul tuo server.
Problema 3: Confusione del formato PKCS#7
Sintomi: Hai ricevuto un file .p7b e non sei sicuro di aver bisogno di un bundle CA.
Soluzione: I file PKCS#7 (.p7b) includono già il bundle CA. Non è necessario crearne uno separato. Se il tuo server richiede il formato PEM, convertilo:
openssl pkcs7 -print_certs -in certificate.p7b -out certificate-with-chain.pem
Problema 4: Certificato intermedio scaduto
Sintomi: Improvvisi errori SSL su un sito precedentemente funzionante.
Soluzione: Scarica l’ultimo CA Bundle dalla tua Autorità di Certificazione. Le principali CA pubblicano gli intermediari aggiornati prima della scadenza di quelli vecchi. Sostituisci il vecchio bundle con quello nuovo.
Migliori pratiche per i bundle CA
- Conserva i backup: conserva il certificato del server, la chiave privata e il Bundle della CA in un luogo sicuro. Ti serviranno in caso di trasferimento del server o di reinstallazione.
- Usa solo fonti ufficiali – Ottieni sempre il tuo bundle CA dal sito ufficiale della tua Autorità di Certificazione. I repository di terze parti potrebbero essere obsoleti o compromessi.
- Controlla le date di scadenza: anche i certificati radice e intermedi scadono. Imposta dei promemoria per controllare gli aggiornamenti della CA.
- Test prima della produzione – Prova prima le nuove configurazioni in un ambiente di staging. Usa gli strumenti di test SSL per verificare che tutto funzioni prima di passare alla produzione.
- Documenta la tua configurazione: prendi nota dei certificati che stai utilizzando, di dove sono installati e delle date di rinnovo. In futuro lo apprezzerai molto.
FAQ sul bundle CA
Posso generare un bundle CA automaticamente?
A differenza di un CSR, che puoi generare tu stesso, un CA Bundle deve provenire dalla tua Autorità di Certificazione. Puoi crearne uno manualmente combinando i certificati che ti fornisce.
Qual è la differenza tra un Bundle CA e una catena di certificati?
Il bundle CA contiene solo i certificati intermedi e radice. La catena di certificati completa comprende il certificato del tuo server e il CA Bundle.
Tutti i certificati richiedono un bundle CA?
La maggior parte dei certificati SSL/TLS ne richiede uno. La principale eccezione è rappresentata dai certificati in formato PKCS#7 (file .p7b), che includono gli intermediari nel file stesso.
Il bundle della CA è lo stesso per tutti i certificati di una CA?
Generalmente sì. I certificati dello stesso tipo (DV, OV o EV) della stessa CA utilizzano in genere gli stessi certificati intermedi.
Ottieni il tuo certificato SSL con un pacchetto CA senza problemi da SSL Dragon
Impostare i certificati SSL non deve essere complicato. SSL Dragon ti fornisce tutto il necessario per un’installazione senza problemi, compresi i bundle CA preconfigurati, guide dettagliate all’installazione e il supporto di esperti.
Perché i clienti di SSL Dragon evitano i grattacapi del CA Bundle:
✓ Pacchetti di installazione completi – Certificato del server, chiave privata e bundle CA insieme
✓ Bundle pre-validati – Tutti i certificati vengono testati prima della consegna
✓ Supporto di esperti 24/7 – Persone reali che capiscono l’SSL
✓ Emissione veloce – Certificati convalidati dal dominio in soli 5 minuti
✓ Compatibilità universale – Riconoscimento del 99,99% dei browser
✓ Garanzia di rimborso di 25 giorni – Prova senza rischi
Risparmia il 10% sui certificati SSL ordinando oggi stesso da SSL Dragon!
Emissione rapida, crittografia avanzata, affidabilità del browser al 99,99%, assistenza dedicata e garanzia di rimborso entro 25 giorni. Codice coupon: SAVE10






