Utilizza il servizio SSL Gateway

Come rendere sicure le connessioni al tuo sito Web

Informazioni generali

Prerequisiti

  • Aver ordinato un SSL Gateway.
  • Avere accesso allo Spazio Cliente OVH Sunrise.

Utilizzo

Questa guida ti mostra come configurare e rinnovare il tuo servizio SSL Gateway OVH.

Configurazione del servizio

pulsante Sunrise

  • Clicca su SSL Gateway nel menu a sinistra per visualizzare il servizio.

pulsante ssl gateway

  • Seleziona l’offerta che vuoi configurare.

pagina commerciale

  • Verrai reindirizzato alla pagina di gestione della tua offerta.

configurazione globale

  • Descrizione delle informazioni:

riquadro informazioni

IPv4 Indirizzo IPv4 del gateway OVH a cui deve puntare il tuo servizio
IPv6 Indirizzo IPv6 del gateway OVH a cui deve puntare il tuo servizio
Zona Zona geografica dell’indirizzo IP del tuo SSL Gateway
IPv4 di uscita Indirizzi IPv4 OVH che si connetteranno al tuo server
Offerta Tipo di offerta sottoscritta
Documentazione Link a questa guida
Stato Stato del tuo SSL Gateway
Data di scadenza Data di scadenza del tuo SSL Gateway
Disattiva Pulsante per richiedere la disattivazione del tuo SSL Gateway
Migra all'offerta Advanced Permette di passare dall’offerta Free all’offerta Advanced
  • Descrizione della configurazione:

riquadro configurazione

Configurazione Pulsante che permette di modificare i parametri del tuo servizio SSL Gateway
HSTS [1] Forza il browser a effettuare le prossime connessioni al tuo sito in HTTPS
Reverse Permette di assegnare un host name al tuo indirizzo IP SSL Gateway
Reindirizzamento HTTPS [2] Reindirizza l’utente alla versione HTTPS del tuo sito quando viene effettuato un accesso in HTTP
Server HTTPS [3] Attiva l’HTTPS tra il server SSL Gateway e il tuo server
Restrizioni degli IP sorgente Se questo campo è inserito, solo gli IP e reti specificate potranno connettersi all’SSL Gateway
Configurazione dei Ciphers [4] Permette di scegliere un livello di sicurezza per il tuo certificato SSL/TLS

[1] - (1) Maggiori informazioni sull’HSTS

[2] - (1) Una volta verificato il corretto funzionamento del tuo sito con il protocollo HTTPS, è possibile reindirizzare tutto il traffico HTTP in HTTPS. Dopo aver configurato il puntamento del tuo dominio verso il servizio SSL Gateway è consigliabile attendere 24 ore prima di attivare questo reindirizzamento, in modo che i visitatori del tuo sito utilizzino la nuova configurazione DNS.

[3] - (1) Permette di proteggere la connessione end-to-end. Il server SSL Gateway si connetterà al tuo server sulla porta standard dell’HTTPS (443). Attenzione: per abilitare questa opzione è necessario che sul tuo server sia presente un certificato SSL/TLS. In caso contrario, il tuo sito non sarà raggiungibile. Per il corretto funzionamento del servizio non sarà invece necessario rinnovare il certificato.

[4] - (1) Il livello più elevato garantirà una protezione maggiore ma potrebbe non funzionare con i browser più datati.

Maggiori informazioni sui Cipher

Configurazione del dominio

Il riquadro successivo include 4 schede:

  • Domini
  • Server
  • Operazioni
  • Grafici

scheda Domini

La scheda Domini permette di aggiungere ed eliminare i tuoi domini e sottodomini al servizio SSL Gateway.

  • Per aggiungere un dominio o sottodominio, clicca sul pulsante + Domini.
Hai attivato un’offerta Free

Potrai disporre esclusivamente di un dominio, del suo sottodominio "www" e di un secondo sottodominio a tua scelta:

Dominio esempio.com
Sottodominio www www.esempio.com
Sottodominio di tua scelta blog.esempio.com

Offerta Free:

Disponibile solo per i domini fino al 3° livello (www.esempio.org).

Indica la tua scelta e clicca su Aggiungi per confermare.

aggiunta dominio free

Hai attivato un’offerta Advanced

Potrai aggiungere qualsiasi dominio o sottodominio attivo

Offerta Advanced:

Disponibile per i domini di 4° livello (blog.italia.esempio.org) e superiori.

Indica la tua scelta e clicca su Aggiungi per confermare.

aggiunta dominio advanced

Per ogni dominio o sottodominio aggiunto, riceverai un’email che ti ricorda di impostare il suo puntamento verso l’IP dell’SSL Gateway entro 3 giorni. Questa operazione è necessaria per confermare la generazione del certificato SSL/TLS.

La scheda Server permette di gestire gli indirizzi IP dei server che ospitano il tuo sito.

  • Clicca su + Server per aggiungere l’indirizzo IP e la porta del server che ospita il tuo sito.

scheda server

Hai attivato un’offerta Free

Potrai utilizzare un solo indirizzo IP/PORTA.

Hai attivato un’offerta Advanced

Potrai aggiungere fino a 3 indirizzi IP/PORTE per i tuoi domini e sottodomini.

Se indichi più indirizzi IP/PORTE, il tuo SSL Gateway distribuirà il traffico con il sistema Round Robin. Maggiori informazioni sul DNS Round Robin

Indica la tua scelta e clicca su Aggiungi per confermare.

aggiunta IP/PORTA advanced (interna)

Al momento non è possibile aggiungere indirizzi IPv6 per i tuoi server. Questo tuttavia non rappresenta un problema, perché il tuo dominio o sottodominio può puntare all’SSL Gateway in IPv6. L’SSL Gateway si occuperà in seguito di reindirizzare il traffico IPv6 verso l’indirizzo IPv4 del tuo server in totale trasparenza.

La scheda Operazioni permette di visualizzare tutte le operazioni in corso sul tuo SSL Gateway.

scheda operazioni

Se i nostri sistemi non hanno ancora rilevato il puntamento del tuo dominio o sottodominio verso l’IP dell’SSL Gateway, il certificato SSL/TLS non verrà generato. L’accesso sarà comunque possibile in HTTP. In questo caso, visualizzerai il riquadro HTTP nella scheda Record.

http only

La scheda Grafici permette di visualizzare il numero di connessioni e di richieste al minuto effettuate sul tuo SSL Gateway.

schede metriche

Hai attivato un’offerta Free

Potrai visualizzare le metriche delle ultime 24 ore.

Hai attivato un’offerta Advanced

Potrai visualizzare le metriche dell’ultimo mese.

Rinnovo del certificato SSL

Importante

Per poter rinnovare il certificato Let’s Encrypt, è necessario che il dominio o sottodominio punti verso l’IP dell’offerta SSL Gateway. - In caso contrario, qualora i nostri sistemi rilevino una configurazione non corretta 7 giorni prima della data di scadenza del certificato SSL/TLS, riceverai un’email e avrai 3 giorni per apportare le modifiche necessarie. - Se non intervieni entro questo termine, il certificato non verrà rinnovato e sarà necessario rigenerarlo manualmente tramite questo pulsante:

Rigenera SSL

Suggerimenti

Correzione dellIP sorgente nei log

Descrizione

Quando un cliente visita il tuo sito, si connette in HTTPS sull’SSL Gateway, inoltra la richiesta verso il tuo server dopo averla decifrata e filtrato eventuali attacchi. Tutte le richieste in arrivo sul tuo server provengono quindi dall’SSL Gateway.

Per poter tracciare l’indirizzo del tuo visitatore, l’SSL Gateway aggiunge automaticamente i seguenti header HTTP standard:

  • X-Forwarded-For e X-Remote-Ip: indirizzo del cliente
  • X-Forwarded-Port e X-Remote-Port: porta sorgente del cliente

Questi campi potrebbero essere sfruttati anche da clienti malevoli e devono quindi essere presi in considerazione solo se le richieste provengono da una sorgente affidabile come l’SSL Gateway. La lista degli IP sorgente utilizzati dall’SSL Gateway è disponibile nel tuo Spazio Cliente OVH Sunrise > Sezione SSL Gateway > Campo “IPv4 di uscita”

Al momento della pubblicazione di questa guida gli indirizzi sono 213.32.4.0/24 e 144.217.9.0/24, ma in futuro potrebbero aggiungersene altri.

Se supporta queste tipologie di reindirizzamento, il tuo server può essere configurato in modo da riconoscere automaticamente gli indirizzi IP sorgente forniti dall’IP SSL Gateway.

Apache

  • Crea il file qui sotto: /etc/apache2/conf-available/remoteip.conf
  • Inserisci queste righe:
# Autorizza gli header X-Forwarded-For da SSL Gateway
# Vedi https://www.ovh.com/manager/sunrise/sslGateway/index.html#/sslGateway per la lista aggiornata degli header IP
RemoteIPHeader X-Forwarded-For
RemoteIPInternalProxy 213.32.4.0/24

Sostituisci le variabili %h con %a nelle direttive LogFormat della configurazione di Apache.

  • Una volta completata la configurazione, attivala eseguendo questi comandi:
# Attiva il modulo, poi la configurazione
a2enmod remoteip
a2enconf remoteip

# Riavvia Apache per eseguire il modulo (il reload è sufficiente per la configurazione)
service apache2 restart

Per maggiori informazioni su questa funzionalità, consulta la documentazione ufficiale di Apache.

Nginx

  • Apri il file di configurazione relativo al sito da proteggere. In genere si trova in: /etc/nginx/sites-enabled
  • Inserisci queste righe nella sezione server:
# Autorizza gli header X-Forwarded-For da SSL Gateway
# Vedi https://www.ovh.com/manager/sunrise/sslGateway/index.html#/sslGateway per la lista aggiornata degli header IP
set_real_ip_from 213.32.4.0/24;
real_ip_header X-Forwarded-For;

Per maggiori informazioni su questa funzionalità, consulta la documentazione ufficiale (in inglese).


Questa documentazione ti è stata utile?

Prima di inviare la valutazione, proponici dei suggerimenti per migliorare la documentazione.

Immagini, contenuti, struttura... Spiegaci perché, così possiamo migliorarla insieme!

Le richieste di assistenza non sono gestite con questo form. Se ti serve supporto, utilizza il form "Crea un ticket" .

Grazie per averci inviato il tuo feedback.


Potrebbero interessarti anche...

OVHcloud Community

Accedi al tuo spazio nella Community Fai domande, cerca informazioni, pubblica contenuti e interagisci con gli altri membri della Community OVHcloud

Discuss with the OVHcloud community

Conformemente alla Direttiva 2006/112/CE e successive modifiche, a partire dal 01/01/2015 i prezzi IVA inclusa possono variare in base al Paese di residenza del cliente
(i prezzi IVA inclusa pubblicati includono di default l'aliquota IVA attualmente in vigore in Italia).