menu di navigazione del network

Certificati SDI non accettati da OVH

Buongiorno a tutti,
questo é il mio primo post in questo utilissimo forum, spero di non sbagliare!
Sto cercando di accreditare il canale SDICoop, ho ricevuto il kit di test, ma sto avendo moltissimi probemi con il certificato server sull’hosting OVH.

Vi spiego che cosa ho provato, nella speranza che qualcun altro sia riuscito a configurare il servizio su un hosting OVH, o che possa suggerirmi una soluzione, o una soluzione di hosting alternativa da utilizzare.

Ho indicato, in fase di richiesta di accreditamento, come endpoint un sottodominio del mio dominio principale ma, capendo che non avrei potuto mischiare i certificati dello SDI con quelli Let’s Encrypt forniti da OVH ho, dopo aver scaricato il Kit di Test, comprato un nuovo hosting, in cui ho impostato il solo sottodominio che ho indicato come endpoint.

Ho provato a inserire i certificati server con .htaccess, ma neanche a parlarne, "Internal server error :frowning: "

Allora, dal pannello di gestione dell’hosting, ho selezionato “Importa il tuo certificato SSL”, e ho compilato così i campi:

  • Copia il contenuto del tuo certificato (solo RSA):
    qui ho incollato il certificato server in formato pem
  • Copia il contenuto della tua chiave privata (non cifrata):
    qui ho incollato il contenuto di keyserver.key
  • Copia il contenuto della tua certificate chain:
    qui ho incollato il pem risultante dalla concatenazione di caentrate.der e CAEntratetest.cer

Ogni volta ottengo questo errore, privo di documentazione:
Unable to fetch SAN(s) on ssl certificate

E certo, non sono certificati SAN, anche perché sono legati a un dominio solo :slightly_frowning_face:

Non so proprio che pesci pigliare, proverei con un altro hosting, ma sto continuando a comprare risorse inutili e non vorrei continuare in questo modo. Se qualcuno potesse darmi un piccolo aiuto gli sarei davvero grato :slight_smile:

Luca

Quando hai creato la CSR per il certificato server, hai messo nel common name (CN) il nome del host, oppure SDI-XXXXXXXXXXX (dove XXXXXXXXXXX è la partita IVA)?
Se hai usato il codice con la partita IVA, prova a rifare i certificati usando il nome del host per il certificato server.

Seconda domanda: il hosting in questione è un hosting condiviso oppure hai un indirizzo IP dedicato? Non so se ultimamente hanno cambiato qualcosa, ma all’inizio del 2019 il loro client non supportava SNI, quindi bisognava necessariamente dedicare un indirizzo IP alla comunicazione con il SdI (oppure avere la possibilità di presentare il certificato fornito dall’AdE come quello di default).

Buongiorno Vladan e grazie per la risposta.
Per fare il certificato, ho usato il formato SDI-partitaiva per il CN, perché così era indicato.
Inserendo invece il nome a dominio immagino potrebbe venire accettato da OVH, ma poi allo SDI andrebbe bene?

L’hosting in questione sarebbe condiviso, ma la mia intenzione era quella di inserire questo unico “sito”, quindi l’indirizzo IP sarebbe solo per lui… solo che temo che OVH per il certificato voglia comunue il SAN :frowning:

Per quanto riguarda il SdI puoi usare anche il nome host per il CN. Se vai sulla pagina di gestione del canale dove c’è la procedura di cambio certificati, vedrai che nelle istruzioni dice:

Nota per la generazione delle CSR:

  • per la CSR client , nel County Name della richiesta deve essere indicato nel campo Paese dell’ Identificativo Fiscale del Sottoscrittore e nel campo Common Name il valore inserito nel campo Codice preceduto da ‘SDI-’ (SDI-02667080283)
  • per la CSR server si può scegliere se procedere come per la CSR client oppure se inserire nel Common Name l’hostname del server che ospita il servizio.

Per quanto riguarda OVH, non saprei dirti perché non ho mai usato il loro hosting. Dipende da come funziona il loro pannello di controllo. Mi pare di ricordare che qualcuno su altri servizi di hosting era riuscito a far funzionare la cosa.

Accidenti non lo sapevo, ti ringrazio tantissimo per l’informazione!
Allora proverò e vedremo, anche se le limitazioni degli hosting mi portano a sperarci poco! :slight_smile:

Grazie!