Processo di richiesta del certificato SSL

Dopo aver delegato un dominio ad Adobe per l'invio di e-mail (vedi Configurazione del nome di dominio), Adobe creerà e utilizzerà alcuni sottodomini per funzioni specifiche.

Ad esempio, se hai delegato email.example.com all'Adobe per l'invio di e-mail, Adobe creerà sottodomini come i seguenti:

  • t.email.example.com - per i collegamenti di tracciamento
  • m.email.example.com - per pagine mirror
  • res.email.example.com - per risorse ospitate (come immagini)

Si consiglia di proteggere questi domini tramite SSL (HTTPS). Infatti, i collegamenti non protetti (HTTP) sono vulnerabili alle intercettazioni e segnaleranno gli avvisi sui browser moderni.

Per installare i certificati SSL su questi sottodomini, la procedura comporta la richiesta di un file CSR e successivamente l’acquisto di certificati SSL, ad Adobe per l’installazione o il rinnovo.

CAUTION
Prima di installare un certificato SSL, assicurati di conoscere i prerequisiti elencati in questa pagina.
Adobe supporta solo certificati fino a 2048 bit. I certificati a 4096 bit non sono ancora supportati.

Glossario

Termine
Descrizione
CA (autorità di certificazione)

Provider di certificati SSL che rilascia certificati digitali a organizzazioni o singoli utenti dopo averne verificato l'identità, ad esempio DigiCert, Symantec e così via.

  • Una CA attendibile viene in genere considerata una CA di terze parti che emette un certificato radice.
  • Se il certificato è firmato dalla stessa organizzazione/società che lo utilizza, viene classificato come CA non attendibile anche quando si tratta di certificati SSL, ad esempio certificati autofirmati.
Certificato catena
Un certificato che include un certificato radice e uno o più certificati intermedi è detto certificato concatenato.
CSR (richiesta di firma del certificato)
Blocco di testo codificato assegnato a un’autorità di certificazione quando si richiede un certificato SSL. In genere viene generato nel server in cui è installato il certificato.
DER (Regole di codifica distinte)
Un tipo di estensione del certificato. L'estensione .der viene utilizzata per i certificati con codifica DER binaria. Questi file possono anche supportare l'estensione cer o crt.
Certificato EV (convalida estesa)
Un certificato EV è un nuovo tipo di certificato progettato per prevenire gli attacchi di phishing. Richiede una convalida estesa della tua attività e della persona che ordina il certificato.
Certificato di affidabilità elevata
I certificati ad alta affidabilità vengono rilasciati dalla CA dopo aver verificato la proprietà del nome di dominio e la registrazione aziendale valida.
CA intermedia
Un’autorità di certificazione dei certificati intermedi inclusi in un certificato della catena.
Certificato intermedio
Un’autorità di certificazione rilascia i certificati sotto forma di struttura ad albero. Il certificato radice è il certificato più in alto della struttura. Qualsiasi certificato tra il certificato e il certificato radice è denominato certificato a catena o intermedio.
Certificato di garanzia bassa
Un certificato a bassa affidabilità, denominato anche certificato convalidato dal dominio, include solo il nome di dominio nel certificato (e non il nome dell’azienda/organizzazione).
PEM (Privacy Enhanced Mail)
Certificato con estensione .pem contenente dati ASCII (Base64). Tali certificati iniziano con una riga " - - - - - BEGIN CERTIFICATE - - - -".
Certificato radice
Un’autorità di certificazione rilascia i certificati sotto forma di struttura ad albero. Il certificato radice è il certificato più in alto della struttura.
SAN (nome alternativo soggetto)
I nomi alternativi dei soggetti sono nomi host aggiuntivi (siti, indirizzi IP, nomi comuni, ecc.) che devono essere firmate come parte di un singolo certificato SSL.
Certificato autofirmato

Certificato firmato dalla persona che lo ha creato anziché da un'autorità di certificazione attendibile. I certificati autofirmati possono abilitare lo stesso livello di crittografia di un certificato firmato da una CA, ma vi sono due principali inconvenienti:

  • La connessione di un visitatore potrebbe essere bloccata consentendo a un utente malintenzionato di visualizzare tutti i dati inviati (vanificando in tal modo lo scopo della crittografia della connessione)
  • Impossibile revocare il certificato come un certificato attendibile.
SSL (Secure Sockets Layer)
La tecnologia di sicurezza standard per stabilire un collegamento crittografato tra un server web e un browser.
Certificato con caratteri jolly
Un certificato con caratteri jolly può proteggere un numero illimitato di sottodomini di primo livello su un singolo nome di dominio, ad esempio *.adobe.com.

Passaggi principali

  1. Richiedi un file CSR (Certificate Signing Request) e fornisci le informazioni richieste (paese, stato, città, nome organizzazione, nome unità organizzativa, ecc.) all'Adobe.
  2. Convalida il file CSR generato da Adobe e verifica che tutte le informazioni fornite siano corrette.
  3. Utilizzare i dettagli CSR per generare un certificato firmato da un'Autorità di certificazione attendibile .
  4. Convalida il certificato SSL e verifica che corrisponda alla CSR.
  5. Fornisci il certificato SSL all’Adobe, che lo installerà.
  6. Verifica che il certificato SSL sia stato installato correttamente per ogni sottodominio protetto.
  7. Monitora il periodo di validità del certificato SSL.
  8. Aggiorna qualsiasi configurazione specifica in Adobe Campaign.

Processo dettagliato

Prerequisiti

Devi identificare i nomi di dominio e le funzioni (tracciamento, pagine mirror, applicazioni web, ecc.) per proteggere.

NOTE
Adobe può essere utile per definire i nomi di dominio e le funzioni da coinvolgere. Per ulteriori informazioni, contatta il team del tuo account Adobe.

Passaggio 1: ottenere un file CSR

Per ottenere un file CSR (Certificate Signing Request), segui i passaggi indicati di seguito.

  • Se hai accesso al Pannello di controllo Campaign, segui le istruzioni in questa pagina per generare e scaricare un file CSR dal Pannello di controllo Campaign.

  • In caso contrario, crea un ticket di supporto tramite https://adminconsole.adobe.com/ per ottenere un file CSR da Adobe Customer Care per i sottodomini richiesti.

Ecco alcune best practice da seguire:

  • Genera una richiesta per sottodominio delegato.
  • È possibile combinare più sottodomini in un’unica richiesta CSR, ma solo all’interno dello stesso ambiente. In Campaign Classic, ad esempio, il server di marketing, il server di mid-sourcing e l'istanza di esecuzione sono tre ambienti separati.
  • Devi ottenere una nuova CSR prima di qualsiasi rinnovo del certificato SSL. Non utilizzare un vecchio file CSR di un anno fa o più.

Dovrai fornire le seguenti informazioni.

CAUTION
Compilare tutti i campi indicati nelle tabelle seguenti. In caso contrario, non è possibile elaborare la richiesta CSR.

Informazioni da fornire con l'assistenza del team di Adobi:

Informazioni da fornire
Esempio di valore
Nota
Nome cliente
La mia azienda Inc.
Nome dell’organizzazione. Questo campo viene utilizzato da Adobe per tenere traccia della richiesta (non farà parte del certificato CSR/SSL).
URL ambiente Adobe Campaign
https://client-mid-prod1.campaign.adobe.com
URL dell’istanza Adobe Campaign.
Nome comune [CN]
t.subdomain.customer.com
Può trattarsi di uno qualsiasi dei domini rilevanti, ma in genere del dominio di tracciamento.
Nome alternativo soggetto [SAN]
t.subdomain.customer.com
Assicurati di includere il sottodominio di tracciamento come SAN.
Nome alternativo soggetto [SAN]
m.subdomain.customer.com
Nome alternativo soggetto [SAN]
res.subdomain.customer.com

Informazioni da fornire da parte del team interno IT/SSL:

Informazioni da fornire
Esempio di valore
Nota
Paese [C]
STATI UNITI
Deve essere un codice di due lettere. Accedi all'elenco completo dei paesi qui.
Nota: per il Regno Unito, utilizzare GB (non UK).
Stato (o nome provincia) [ST]
Illinois
Se applicabile. Il valore deve essere un nome completo, non abbreviato.
Nome Città [L]
Chicago
Nome organizzazione [O]
ACME
Nome unità organizzativa [OU]
IT
NOTE
Sostituisci "subdomain.customer.com" con il tuo sottodominio delegato e gli altri valori di esempio con i valori appropriati.

Passaggio 2: convalidare il file CSR

Dopo aver inviato la richiesta con le informazioni pertinenti, Adobe genera e fornisce un file CSR (Certificate Signing Request).

Il testo nel file CSR risultante deve iniziare con "-----BEGIN CERTIFICATE REQUEST-----".

Una volta ricevuto il file CSR da Adobe, segui i passaggi seguenti:

  1. Copiare e incollare il testo del file CSR in un decodificatore online quale https://www.sslshopper.com/csr-decoder.html, o https://www.entrust.net/ssl-technical/csr-viewer.cfm.
    In alternativa, è possibile utilizzare il comando OpenSSL in locale su un computer Linux.
  2. Verifica che tutti i controlli abbiano esito positivo.
  3. Verifica che siano inclusi i parametri e i nomi di dominio corretti.
  4. Verificate che tutti gli altri dati corrispondano ai dettagli forniti al momento dell'invio della richiesta.

Passaggio 3: generare il certificato SSL

Una volta fornito il file CSR, devi acquistare e generare un certificato SSL per i domini appropriati utilizzando il file CSR.

  • Il certificato SSL:

    • deve essere in formato Apache PEM;
    • non deve essere superiore a 2048 bit;
    • deve essere firmata da un’autorità di certificazione (CA) valida;
    • deve includere tutte le SAN (Subject Alternative Names) come indicato nel file CSR.
  • Se sono presenti uno o più certificati intermedi, è necessario fornire il certificato radice e tutti i certificati intermedi per l'Adobe.

  • È possibile impostare qualsiasi periodo di validità del certificato, ma l'Adobe consiglia di sceglierlo sufficientemente lungo (ad esempio, due anni).

NOTE
Se utilizzi strumenti interni o un portale fornito da una CA per richiedere il certificato, assicurati di utilizzare gli stessi dettagli forniti nella richiesta CSR per evitare ritardi o discrepanze nel processo di generazione del certificato.

Passaggio 4: convalidare il certificato SSL

Una volta generato il certificato SSL, devi convalidarlo prima di inviarlo a Adobe. A questo scopo, segui i passaggi riportati qui sotto:

  1. Assicurati che il certificato abbia l’estensione .pem. In caso contrario, convertirlo nel formato PEM. Puoi effettuare la conversione utilizzando OpenSSL.
  2. Verificare che il certificato inizi con "-----BEGIN CERTIFICATE-----".
  3. Copia il testo del certificato in un decodificatore online, ad esempio https://www.sslshopper.com/certificate-decoder.html o https://www.entrust.net/ssl-technical/csr-viewer.cfm.
    In alternativa, è possibile utilizzare il comando OpenSSL in locale su un computer Linux. Per ulteriori informazioni, consulta questa pagina esterna.
  4. Assicurati che il certificato sia risolto correttamente, inclusi Nome comune, SAN, Autorità emittente e Periodo di validità.
  5. Se la verifica del certificato SSL ha esito positivo, verifica che il certificato corrisponda alla CSR utilizzando questo sito Web: seleziona Verifica se una CSR e un certificato corrispondono e immetti il certificato e la CSR nei campi corrispondenti. Dovrebbero corrispondere.

Passaggio 5: richiesta dell’installazione del certificato SSL

  • Se hai accesso al Pannello di controllo Campaign, segui le istruzioni in questa pagina per caricare il certificato nel Pannello di controllo Campaign.

  • In caso contrario, crea un altro ticket di supporto tramite https://adminconsole.adobe.com/ per richiedere all’Adobe di installare il certificato sui server di Adobe.

Dovrai fornire:

  • Il file del certificato, il certificato radice ed eventuali certificati intermedi (allegati al ticket), preferibilmente in formato Apache PEM.
  • Il numero del precedente ticket di supporto generato per la CSR.
  • Gli stessi dati forniti per il ticket CSR (inclusi Nome comune, URL istanza, Stato, Città/Località, Nome organizzazione, Nome unità organizzativa, ecc.).

Passaggio 6: verifica dell’installazione del certificato SSL

Una volta che il certificato SSL è installato e confermato dall’Assistenza clienti Adobe, accertati che sia stato installato correttamente per tutti gli URL.

Esegui i test seguenti prima di chiudere il ticket di installazione SSL. Assicurati inoltre di aggiornare eventuali configurazioni specifiche come indicato in questa sezione.

Passa ai seguenti URL nel browser (sostituisci "subdomain.customer.com" con il tuo sottodominio):

  • https://subdomain.customer.com/r/test (solo per i sottodomini applicazioni web - non si applica ai sottodomini e-mail)
  • https://t.subdomain.customer.com/r/test
  • https://m.subdomain.customer.com/r/test
  • https://res.subdomain.customer.com/r/test

In caso di esito positivo, vengono fornite informazioni sull’ambiente e la barra degli indirizzi nell’URL indica che la connessione è sicura. Ad esempio, puoi visualizzare il seguente messaggio in Google Chrome:

Se il certificato SSL non è installato correttamente, viene visualizzato il seguente avviso:

Passaggio 7: verifica del periodo di validità del certificato

Puoi controllare il periodo di validità del certificato nel browser. In Google Chrome, ad esempio, fare clic su Protetto > Certificato.

È tua responsabilità controllare il periodo di validità. L’Adobe consiglia di implementare una procedura per monitorare la scadenza dei certificati. Ulteriori informazioni su cosa accade quando il certificato SSL scade in questo articolo.

  • Crea un ticket di supporto per richiedere un certificato aggiornato almeno due settimane prima della data di scadenza del certificato. Non è necessario richiedere un’ulteriore CSR, a meno che i dettagli della CSR non siano cambiati.

  • Se hai accesso al Pannello di controllo Campaign e l'ambiente è ospitato da Adobe in un ambiente AWS, puoi utilizzare il Pannello di controllo Campaign per rinnovare il certificato prima della scadenza. Ulteriori informazioni in questa sezione.

Passaggio 8: aggiornare eventuali configurazioni specifiche update-configuration

Una volta che hai la certezza che i certificati SSL richiesti siano installati correttamente, puoi aggiornare tutti i riferimenti in Adobe Campaign da HTTP a HTTPS.

NOTE
Per Campaign Classic, gli URL da aggiornare si trovano principalmente nella Distribuzione guidata e nei Account esterni (domini di tracciamento, pagina mirror e risorse pubbliche). Per Campaign Standard, fare riferimento a Configurazione del branding.

Una volta aggiornate le configurazioni, le nuove e-mail verranno inviate con URL HTTPS anziché HTTP. Per verificare che gli URL siano ora protetti, puoi eseguire rapidamente i seguenti test:

  • Carica un’immagine da Adobe Campaign. Una volta caricata l’immagine, l’URL restituito deve essere HTTPS.
  • Crea una consegna e-mail di prova che includa un collegamento alla pagina speculare, alcune immagini, del testo e un collegamento per annullare l’abbonamento. Invia l’e-mail a un ID e-mail esterno (come il tuo indirizzo Gmail). Una volta ricevuto, apri l’e-mail e assicurati che tutti i collegamenti all’interno dell’e-mail si aprano correttamente nel modulo HTTPS (non HTTP), senza avvertenze o errori relativi al certificato SSL.

Risorse specifiche per i prodotti

Campaign Classic

Campaign Standard

recommendation-more-help
ce4a522f-06e7-4189-95bc-98ae01b1a1ec