Vai al contenuto

Configurazione iniziale (Quickstart)

Se stai accedendo per la prima volta al nuovo servizio TCS (Sectigo Limited) è necessario leggere con attenzione le informazioni che seguono.

Definizioni

SCM = Sectigo Certificate Manager, il nome del portale per la gestione dei certificati x.509

MRAO = Master Registration Authority Officer, ruolo amministrativo di alto livello riservato ad ogni NREN che ha sottoscritto il contratto GÉANT TCS. Per GARR il ruolo è affidato ai membri del Servizio GARR CS.

RAO = Registration Authority Officer, ruolo amministrativo a livello di Organizzazione che permette la gestione di dipartimenti, domini, certificati e ruoli amministrativi afferenti a tale Organizzazione

DRAO = Department Registration Authority Officer, ruolo amministrativo a livello di Dipartimento che permette la gestione di domini, certificati e ruoli amministrativi afferenti a tale Dipartimento. (opzionale)

Primi passi

  1. E' necessario inizializzare una chiave di cifratura per ogni Organizzazione e Dipartimento creato nel Portale SCM. Si tratta di una chiave Escrow (https://it.wikipedia.org/wiki/Key_escrow) e senza un'inizializzazione non sarà possibile richiedere certificati personali tramite la GUI del Portale stesso. Per procedere scegliere dal menù principale la voce Settings e poi Legacy Key Encryption. Selezionare la Organizzazione e premere il bottone [Inizialize Encryption]. Seguire le istruzioni a video e salvare la chiave in maniera sicura per eventuale uso futuro.
  2. Per iniziare a richiedere certificati SSL server è necessario creare almeno 1 dominio e validarlo (vedi la sezione "Gestione Domini")
  3. Prima di richiedere un certificato EV (Extended Validation) leggere la sezione dedicata più sotto e considerare che la CA deve verificare il numero telefonico aziendale principale e pertanto è necessario che l'ufficio sia presidiato.

Aggiornamenti importanti

Durante il primo mese di utilizzo della nuova piattaforma abbiamo sperimentato alcuni problemi che hanno talvolta impedito l'emissione dei certificati. Ecco un elenco delle più importanti scoperte e soluzioni:

  • certificati bloccati in stato Applied: verificare che il CAA record permetta a Sectigo l'emissione dei certificati (on-line check)
  • errore in fase di approvazione richiesta "Please fill all empty required fields of organization/department": declinare la richiesta, modificare i privilegi di RAO e DRAO aggiungendo "SSL auto-approve" e sottomettere una nuova richiesta.
  • errore in fase di richiesta certificato "Anchor Certificate address details are different!": ricreare una nuova CSR minimale usando il comando openssl openssl req -nodes -newkey rsa:3072 -keyout myserver.key -out server.csr -subj "/C=IT/CN=mysubdomain.mydomain.com"e sottomettere nuovamente
  • Sectigo SCM Error “Anchor Certificate details are different”: https://www.sectigo.com/knowledge-base/detail/Sectigo-Certificate-Manager-SCM-Error-Anchor-Certificate-details-are-different/kA03l000000noiG
  • Se dopo aver chiesto nuovamente il certificato con la CSR minimale l'errore persiste contattate GARR CS garr-ca@garr.it.
  • dopo aver installato un certificato su un server, controllare la configurazione della certificate chain: Paragrafo >> Installazione SSL certificate emissioneCertificati/#installazione-ssl-certificate
  • Non è consigliato abilitare utenti con il bottone [Add Idp User] perché per l'attivazione è necessario l'intervento manuale di un MRAO:
    • non usare l'opzione se la Org non ha un Idp in IDEM,
    • se si decide comunque di creare con [Add Idp User] poi scrivere a garr-ca@garr.it per l'attivazione,
    • il modo migliore per accedere a SCM con Idp è creare l'utenza in Settings > Admins e nella sezione Authentication impostare il valore di SAML IDP a "Your Institution" e inserire il valore ePPN dell'utente nell'apposito spazio.
  • Status dei sistemi Sectigo e prossimi aggiornamenti pianificati: https://sectigo.status.io/