Vai al contenuto

Risoluzione problemi di compatibilità

HARICA TLS Chain

Tutti i certificati emessi tramite il servizio TCS, attualmente erogato dal provider HARICA, includono il certificato intermedio GEANT TLS RSA 1.

Il certificato GEANT TLS RSA 1 è attualmente cross-signed, esistono quindi due percorsi di validazione validi tra il certificato Root e il certificato finale.

In particolare, oltre al certificato finale e all'intermedio GEANT TLS RSA 1 possiamo avere:

  • il certificato intermedio HARICA TLS RSA Root CA 2021 emesso da Hellenic Academic and Research Institutions RootCA 2015;

oppure

  • la Root HARICA TLS RSA Root CA 2021;

    Quest'ultima è utilizzata dal 1° Giugno 2022. Qui la notizia: https://news.harica.gr/article/2021_harica_tls_roots/;

Tuttavia, non tutti i client supportano la Root HARICA TLS RSA Root CA 2021.

Tra quelli noti con limitazioni di compatibilità rientrano:

  • Debian 11 e precedenti;
  • macOS 10.13 e precedenti;
  • Android 13 e precedenti (supporto da verificare);

Per garantire la massima compatibilità con i client più datati, raccomandiamo l'utilizzo della chain di certificazione che termina nella Hellenic Academic and Research Institutions RootCA 2015.

Chain disponibili per HARICA

È possibile emettere certificati si tipo SSL in due modi:

Automaticamente utilizzando Certbot con ACME.

  • I certificati richiesti tramite Certbot contengono la seguente Chain:

                       Certificato 
                        |
                        V
                    intermedio 
                  GEANT TLS RSA 1
                        |
                        V
                    intermedio 
            HARICA TLS RSA Root CA 2021
(emesso da Hellenic Academic and Research Institutions RootCA 2015)

    Questo tipo di certificato dovrebbe garantire massima compatibilità con tutti i client in quanto la chain usata termina con la Root 2015.

Manualmente sul portale Cert Manager.

In questo caso sulla vostra Dashboard, potete recuperare il certificato emesso in diversi formati.

Download Certificati

  • PEM Bundle: Contiene il certificato finale, l'intermedio GEANT TLS RSA 1 e l'intermedio HARICA TLS RSA Root CA 2021 (con Root Hellenic Academic and Research Institutions RootCA 2015) in formato PEM.

Questo tipo di certificato dovrebbe garantire massima compatibilità con tutti i client in quanto la chain usata termina con la Hellenic Academic and Research Institutions RootCA 2015.

  • PEM Bundle (root): Contiene il certificato finale, l'intermedio GEANT TLS RSA 1 e la Root HARICA TLS RSA Root CA 2021 in formato PEM.

Qualora non ci fosse compatibilità con la Root HARICA TLS RSA Root CA 2021, utilizzare il PEM bundle.

  • PEM/DER: contiene semplicemente il certificato finale.

  • DER (Issuer): Contiene il certificato intermedio GEANT TLS RSA 1 in formato DER.

Data l'impossibilità di unire sotto un unico DER ulteriori certificati nella chain oltre a GEANT TLS RSA 1, in caso di incombatibilità verificare se a livello applicativo è possibile specificare il certificato intermedio HARICA TLS RSA Root CA 2021. In caso contrario verificare se è possibile utilizzare un formato alternativo tra quelli proposti.

  • PKCS#7: Contiene il certificato finale e l'intermedio GEANT TLS RSA 1 in formato PKCS#7.

Qualora non ci fosse compatibilità con la Root HARICA TLS RSA Root CA 2021, arricchire la chain inserendo anche l'intermedio HARICA TLS RSA Root CA 2021 emessso dalla Hellenic Academic and Research Institutions RootCA 2015.

Dato che quest'ultimo è già presente in PEM bundle, scaricare e convertire in PKCS#7:

```bash
openssl crl2pkcs7 -nocrl -certfile Cert_bundle.pem -out Cert_chain.p7b
```