Summer Savings on Website Security
All summer long, protect your website with trusted SSL certificates at reduced prices — simple, secure, and cost-effective.
Get 10% off with coupon: SUMMER10

Questa è una delle domande più frequenti che riceviamo. Purtroppo non possiamo inviarti la chiave privata perché è privata e non la memorizziamo nel nostro sistema o database. La chiave privata è sempre riservata e solo tu puoi averla. Se dovessimo avere o memorizzare la tua chiave privata, comprometteremmo la “sicurezza” del tuo certificato SSL.
Se hai utilizzato il Generatore di CSR sul nostro sito web per generare il tuo codice CSR, il CSR e la Chiave Privata ti sono stati mostrati durante il processo di generazione del CSR. Sono stati anche inviati al tuo indirizzo e-mail nel caso in cui tu abbia inserito il tuo indirizzo e-mail nel Generatore di CSR. Il messaggio inviato al tuo indirizzo e-mail proviene da [email protected] e ha il seguente oggetto: “Il tuo codice CSR e la tua chiave privata”.
Se hai generato il CSR sul tuo server, il codice CSR e la chiave privata ti sono stati forniti dal tuo server. Devi copiarli e conservarli in un luogo sicuro. In alcuni casi, alcuni server possono mostrare il codice CSR e la chiave privata e allo stesso tempo memorizzare entrambi i codici sul server. In altri casi, il server ti fornisce solo il codice CSR e tiene nascosta la chiave privata sul server.
A questo punto, cerca la chiave privata nel tuo indirizzo e-mail o nel tuo server. Se non riesci a trovarla, dovrai generare un nuovo codice CSR sul tuo server o sul Generatore di CSRsul nostro sito web. Il codice CSR conterrà una chiave privata.
Una volta generato un nuovo codice CSR (e la chiave privata), dovrai andare alla pagina dei dettagli del certificato SSL all’interno del tuo account SSL Dragon e cliccare sul pulsante “Riemetti il certificato” nella barra laterale di sinistra della pagina. Dovrai superare nuovamente la convalida del dominio e, una volta fatto, il certificato SSL ti verrà riemesso in base al nuovo codice CSR che hai inserito. Inoltre, il certificato SSL riemesso sarà abbinato alla chiave privata fornita con il nuovo codice CSR.
Se non riesci a trovare il pulsante “Riemetti il certificato” nella pagina dei dettagli del certificato SSL all’interno del tuo account SSL Dragon, inviaci il nuovo codice CSR tramite un Ticket di assistenza all’interno del tuo account SSL Dragon o direttamente all’indirizzo [email protected] e noi rigenereremo il certificato SSL per te, utilizzando il nuovo codice CSR. Ti preghiamo di non inviarci la tua chiave privata perché è riservata. Conservala in un luogo sicuro nella tua e-mail o nel tuo computer, in quanto ti servirà al momento dell’installazione del Certificato SSL.
Copia link
Puoi verificare l’integrità di un certificato SSL e di una coppia di chiavi private con l’utility utilità OpenSSL e le sue linee di comando.
Il processo consiste in quattro fasi:
Verifica l’integrità della chiave privata
Esegui il seguente comando: openssl rsa -in [key-file.key] -check -noout
Ecco un esempio di chiave privata corrotta:
![]()
Di seguito sono elencati altri errori derivanti da una chiave alterata o contraffatta:
Se hai riscontrato uno dei suddetti errori, la tua chiave privata è stata manomessa e potrebbe non funzionare con la tua chiave pubblica. Valuta la possibilità di creare una nuova chiave privata e di richiedere un certificato sostitutivo.
Ecco un esempio di chiave privata che rispetta l’integrità:
![]()
Verifica che il valore del modulo corrisponda alla chiave privata e alla coppia di certificati SSL.
Nota: Il modulo della chiave privata e del certificato devono corrispondere esattamente.
Per visualizzare il modulo del certificato, esegui il comando:
openssl x509 -noout -modulo -in [certificate-file.cer]
Per visualizzare la chiave privata Modulus esegui il comando:
openssl rsa -noout -modulo -in [file-chiave.key]
Crittografa con la chiave pubblica e decrittografa con la chiave privata
1. Ottieni la chiave pubblica dal certificato:
openssl x509 -in [certificate-file.cer] -noout -pubkey > certificatefile.pub.cer
2. Crittografa il contenuto del file test.txt usando la chiave pubblica
Crea un nuovo file chiamato test.txt (puoi usare il Blocco Note) con il contenuto “messaggio di prova”. Esegui il seguente comando per creare un messaggio criptato nel file cipher.txt.
openssl rsautl -encrypt -in test.txt -pubin -inkey certificatefile.pub.cer -out cipher.txt
3. Decifrare cipher.txt utilizzando la chiave privata
Esegui il seguente comando per decifrare il contenuto di cipher.txt.
openssl rsautl -decrypt -in cipher.txt -inkey [key-file.key]
Assicurati di poter decifrare il contenuto del file cipher.txt nel tuo terminale. L’output del terminale deve corrispondere al contenuto del file test.txt.
Se il contenuto non corrisponde, la chiave privata è stata manomessa e potrebbe non funzionare con la tua chiave pubblica. Valuta la possibilità di creare una nuova chiave privata e di richiedere un certificato sostitutivo. Ecco un esempio di messaggio decifrato:
![]()
4. Conferma l’integrità del file firmato con la chiave privata
Esegui il seguente comando per firmare i file test.sig e test.txt con la tua chiave privata:
openssl dgst -sha256 -sign [key-file.key] -out test.sig test.txt
A questo punto, verifica i file firmati con la tua chiave pubblica estratta al punto 1.
openssl dgst -sha256 -verify certificatefile.pub.cer -signature test.sig test.txt
Assicurati che l’output del terminale sia esattamente come nell’esempio seguente:
![]()
Se la tua chiave privata viene manomessa, riceverai il seguente messaggio:
![]()
In questo caso, dovrai creare una nuova chiave privata e richiedere un certificato sostitutivo.
Fonte: Base di conoscenza di Digicert
Copia link
A volte, il certificato SSL che ti è stato rilasciato non corrisponde alla chiave privata che stai cercando di utilizzare quando installi il certificato SSL sul tuo server. Questo è un errore comune generato dall’utente.
Se il sistema dice che c’è una mancata corrispondenza, allora devi ricontrollare il CSR e la chiave privata che hai generato e che sono stati uniti. Devi assicurarti di aver utilizzato quella specifica CSR quando hai configurato il tuo certificato SSL. Quando il certificato SSL viene rilasciato, devi utilizzare la chiave privata abbinata a quella specifica CSR.
Vediamo che i clienti commettono l’errore di generare un CSR e una chiave privata, per poi configurare il certificato SSL con un CSR diverso, generato dal server. In questo caso, il CSR generato dal server è abbinato alla sua chiave privata, che molto probabilmente non hai.
La chiave privata in tuo possesso funziona solo con il CSR con cui è stata fornita. Inoltre, la chiave privata in tuo possesso funziona solo con il certificato SSL che è stato configurato utilizzando il CSR abbinato a quella chiave privata.
Soluzione
Per risolvere questo problema, devi riconfigurare (riemettere) il tuo certificato SSL utilizzando un codice CSR per il quale disponi della chiave privata a cui è abbinato. Puoi utilizzare un codice CSR fornito dal tuo server o generare un nuovo CSR e una nuova chiave privata.
Copia link
A partire dal 1° giugno 2023, gli standard del settore impongono di conservare le chiavi private dei certificati di firma del codice su hardware certificato FIPS 140 Livello 2 e Common Criteria EAL 4+. Questo cambiamento migliora la sicurezza, allineandosi agli standard di firma del codice EV. Le autorità di certificazione non possono più supportare la generazione di chiavi basata su browser o installazioni su laptop/server. Le chiavi private devono trovarsi su token/HSM certificati FIPS 140-2 Livello 2 o Common Criteria EAL 4+. Per firmare il codice, accedi al token/HSM e utilizza le credenziali del certificato memorizzato.
In linea con le nuove linee guida, la tua chiave privata dovrebbe trovarsi sul token spedito dalla CA o sul tuo modulo di sicurezza hardware.
Copia link