Utilizza il servizio SSL Gateway
Come rendere sicure le connessioni al tuo sito Web
Informazioni generali
Prerequisiti
- Aver ordinato un SSL Gateway.
- Avere accesso allo Spazio Cliente OVH Sunrise.
Utilizzo
Questa guida ti mostra come configurare e rinnovare il tuo servizio SSL Gateway OVH.
Configurazione del servizio
- Accedi al tuo Spazio Cliente OVH.
- Clicca su
Sunrise.
- Clicca su
SSL Gatewaynel menu a sinistra per visualizzare il servizio.
- Seleziona l’offerta che vuoi configurare.
- Verrai reindirizzato alla pagina di gestione della tua offerta.
- Descrizione delle informazioni:
| IPv4 | Indirizzo IPv4 del gateway OVH a cui deve puntare il tuo servizio |
| IPv6 | Indirizzo IPv6 del gateway OVH a cui deve puntare il tuo servizio |
| Zona | Zona geografica dell’indirizzo IP del tuo SSL Gateway |
| IPv4 di uscita | Indirizzi IPv4 OVH che si connetteranno al tuo server |
| Offerta | Tipo di offerta sottoscritta |
| Documentazione | Link a questa guida |
| Stato | Stato del tuo SSL Gateway |
| Data di scadenza | Data di scadenza del tuo SSL Gateway |
| Disattiva | Pulsante per richiedere la disattivazione del tuo SSL Gateway |
| Migra all'offerta Advanced | Permette di passare dall’offerta Free all’offerta Advanced |
- Descrizione della configurazione:
| Configurazione | Pulsante che permette di modificare i parametri del tuo servizio SSL Gateway |
| HSTS [1] | Forza il browser a effettuare le prossime connessioni al tuo sito in HTTPS |
| Reverse | Permette di assegnare un host name al tuo indirizzo IP SSL Gateway |
| Reindirizzamento HTTPS [2] | Reindirizza l’utente alla versione HTTPS del tuo sito quando viene effettuato un accesso in HTTP |
| Server HTTPS [3] | Attiva l’HTTPS tra il server SSL Gateway e il tuo server |
| Restrizioni degli IP sorgente | Se questo campo è inserito, solo gli IP e reti specificate potranno connettersi all’SSL Gateway |
| Configurazione dei Ciphers [4] | Permette di scegliere un livello di sicurezza per il tuo certificato SSL/TLS |
[1] - (1) Maggiori informazioni sull’HSTS
[2] - (1) Una volta verificato il corretto funzionamento del tuo sito con il protocollo HTTPS, è possibile reindirizzare tutto il traffico HTTP in HTTPS. Dopo aver configurato il puntamento del tuo dominio verso il servizio SSL Gateway è consigliabile attendere 24 ore prima di attivare questo reindirizzamento, in modo che i visitatori del tuo sito utilizzino la nuova configurazione DNS.
[3] - (1) Permette di proteggere la connessione end-to-end. Il server SSL Gateway si connetterà al tuo server sulla porta standard dell’HTTPS (443). Attenzione: per abilitare questa opzione è necessario che sul tuo server sia presente un certificato SSL/TLS. In caso contrario, il tuo sito non sarà raggiungibile. Per il corretto funzionamento del servizio non sarà invece necessario rinnovare il certificato.
[4] - (1) Il livello più elevato garantirà una protezione maggiore ma potrebbe non funzionare con i browser più datati.
Maggiori informazioni sui Cipher
Configurazione del dominio
Il riquadro successivo include 4 schede:
- Domini
- Server
- Operazioni
- Grafici
La scheda Domini permette di aggiungere ed eliminare i tuoi domini e sottodomini al servizio SSL Gateway.
- Per aggiungere un dominio o sottodominio, clicca sul pulsante
+ Domini.
- Hai attivato un’offerta Free
-
Potrai disporre esclusivamente di un dominio, del suo sottodominio "www" e di un secondo sottodominio a tua scelta:
Dominio esempio.com Sottodominio www www.esempio.com Sottodominio di tua scelta blog.esempio.com Offerta Free:
Disponibile solo per i domini fino al 3° livello (www.esempio.org).
Indica la tua scelta e clicca su
Aggiungiper confermare.
- Hai attivato un’offerta Advanced
-
Potrai aggiungere qualsiasi dominio o sottodominio attivo
Offerta Advanced:
Disponibile per i domini di 4° livello (blog.italia.esempio.org) e superiori.
Indica la tua scelta e clicca su
Aggiungiper confermare.
Per ogni dominio o sottodominio aggiunto, riceverai un’email che ti ricorda di impostare il suo puntamento verso l’IP dell’SSL Gateway entro 3 giorni. Questa operazione è necessaria per confermare la generazione del certificato SSL/TLS.
La scheda Server permette di gestire gli indirizzi IP dei server che ospitano il tuo sito.
- Clicca su
+ Serverper aggiungere l’indirizzo IP e la porta del server che ospita il tuo sito.
- Hai attivato un’offerta Free
-
Potrai utilizzare un solo indirizzo IP/PORTA.
- Hai attivato un’offerta Advanced
-
Potrai aggiungere fino a 3 indirizzi IP/PORTE per i tuoi domini e sottodomini.
Se indichi più indirizzi IP/PORTE, il tuo SSL Gateway distribuirà il traffico con il sistema Round Robin. Maggiori informazioni sul DNS Round Robin
Indica la tua scelta e clicca su
Aggiungiper confermare.
Al momento non è possibile aggiungere indirizzi IPv6 per i tuoi server. Questo tuttavia non rappresenta un problema, perché il tuo dominio o sottodominio può puntare all’SSL Gateway in IPv6. L’SSL Gateway si occuperà in seguito di reindirizzare il traffico IPv6 verso l’indirizzo IPv4 del tuo server in totale trasparenza.
La scheda Operazioni permette di visualizzare tutte le operazioni in corso sul tuo SSL Gateway.
Se i nostri sistemi non hanno ancora rilevato il puntamento del tuo dominio o sottodominio verso l’IP dell’SSL Gateway, il certificato SSL/TLS non verrà generato. L’accesso sarà comunque possibile in HTTP. In questo caso, visualizzerai il riquadro HTTP nella scheda Record.
La scheda Grafici permette di visualizzare il numero di connessioni e di richieste al minuto effettuate sul tuo SSL Gateway.
- Hai attivato un’offerta Free
-
Potrai visualizzare le metriche delle ultime 24 ore.
- Hai attivato un’offerta Advanced
-
Potrai visualizzare le metriche dell’ultimo mese.
Rinnovo del certificato SSL
Importante
Per poter rinnovare il certificato Let’s Encrypt, è necessario che il dominio o sottodominio punti verso l’IP dell’offerta SSL Gateway. - In caso contrario, qualora i nostri sistemi rilevino una configurazione non corretta 7 giorni prima della data di scadenza del certificato SSL/TLS, riceverai un’email e avrai 3 giorni per apportare le modifiche necessarie. - Se non intervieni entro questo termine, il certificato non verrà rinnovato e sarà necessario rigenerarlo manualmente tramite questo pulsante:
Suggerimenti
Correzione dellIP sorgente nei log
Descrizione
Quando un cliente visita il tuo sito, si connette in HTTPS sull’SSL Gateway, inoltra la richiesta verso il tuo server dopo averla decifrata e filtrato eventuali attacchi. Tutte le richieste in arrivo sul tuo server provengono quindi dall’SSL Gateway.
Per poter tracciare l’indirizzo del tuo visitatore, l’SSL Gateway aggiunge automaticamente i seguenti header HTTP standard:
- X-Forwarded-For e X-Remote-Ip: indirizzo del cliente
- X-Forwarded-Port e X-Remote-Port: porta sorgente del cliente
Questi campi potrebbero essere sfruttati anche da clienti malevoli e devono quindi essere presi in considerazione solo se le richieste provengono da una sorgente affidabile come l’SSL Gateway. La lista degli IP sorgente utilizzati dall’SSL Gateway è disponibile nel tuo Spazio Cliente OVH Sunrise > Sezione SSL Gateway > Campo “IPv4 di uscita”
Al momento della pubblicazione di questa guida gli indirizzi sono 213.32.4.0/24 e 144.217.9.0/24, ma in futuro potrebbero aggiungersene altri.
Se supporta queste tipologie di reindirizzamento, il tuo server può essere configurato in modo da riconoscere automaticamente gli indirizzi IP sorgente forniti dall’IP SSL Gateway.
Apache
- Crea il file qui sotto: /etc/apache2/conf-available/remoteip.conf
- Inserisci queste righe:
# Autorizza gli header X-Forwarded-For da SSL Gateway
# Vedi https://www.ovh.com/manager/sunrise/sslGateway/index.html#/sslGateway per la lista aggiornata degli header IP
RemoteIPHeader X-Forwarded-For
RemoteIPInternalProxy 213.32.4.0/24
Sostituisci le variabili %h con %a nelle direttive LogFormat della configurazione di Apache.
- Una volta completata la configurazione, attivala eseguendo questi comandi:
# Attiva il modulo, poi la configurazione
a2enmod remoteip
a2enconf remoteip
# Riavvia Apache per eseguire il modulo (il reload è sufficiente per la configurazione)
service apache2 restart
Per maggiori informazioni su questa funzionalità, consulta la documentazione ufficiale di Apache.
Nginx
- Apri il file di configurazione relativo al sito da proteggere. In genere si trova in:
/etc/nginx/sites-enabled - Inserisci queste righe nella sezione server:
# Autorizza gli header X-Forwarded-For da SSL Gateway
# Vedi https://www.ovh.com/manager/sunrise/sslGateway/index.html#/sslGateway per la lista aggiornata degli header IP
set_real_ip_from 213.32.4.0/24;
real_ip_header X-Forwarded-For;
Per maggiori informazioni su questa funzionalità, consulta la documentazione ufficiale (in inglese).
Questa documentazione ti è stata utile?
Prima di inviare la valutazione, proponici dei suggerimenti per migliorare la documentazione.
Immagini, contenuti, struttura... Spiegaci perché, così possiamo migliorarla insieme!
Le richieste di assistenza non sono gestite con questo form. Se ti serve supporto, utilizza il form "Crea un ticket" .
Grazie per averci inviato il tuo feedback.