Cheope
I certificati non sono proprio una cosa semplice semplice... innanzi tutto un certificato associa un nome host (possibilmente completo di dominio) a delle specifiche chiavi crittografiche (una pubblica ed una privata). Ad esempio in forum.fibra.click forum è l'host e fibra.click il dominio. Si può anche associare un indirizzo IP, ma è raro farlo per molti diversi motivi. Per questo motivo i certificati funzionano meglio con un server DNS che risolva i nomi per il dominio. In rete locale però puoi farti i tuoi certificati anche con un IP senza problema. Sulla rete locale puoi anche crearti un tuo dominio senza doverne registrare uno (sarà ovviamente valido solo lì) - sconsigliato però usare top level domain noti (es. com, .net, .org, ecc.).
Comunque sia, il nome host o l'IP che metti nel browser devono essere identici a quelli contenuti nel certificato, o il browser correttamente rileverà la non conformità.
I certificati poi dovrebbero essere firmati da una Autorità di Certificazione (CA) che il browser o l'OS ritengono attendibile. Si possono creare certificati "self-signed" (autofirmati) ma anche in questo caso il browser lo rileverà e ti chiederà se fidarsi. Così come si può creare la propria CA, ed aggiungerla al browser (le CA "radice" sono sempre self-signed) e poi tutti i certificati firmati da quella CA saranno validi (e attenzione quindi...)
Un tool GUI comodo per generare i più disparati tipi di certificato è XCA. Cì sono molte opzioni da impostare per creare un certificato, ma XCA ha dei template per quelli più comuni (CA, server e client).
