Vai al contenuto

Configurazione iniziale (Quickstart)

Se stai accedendo per la prima volta al nuovo servizio TCS (HARICA) è necessario leggere con attenzione le informazioni che seguono.

Definizioni

CM = Certificate Manager, il nome del portale per la gestione dei certificati x.509

Enterprise Manager = ruolo amministrativo di alto livello riservato ad ogni NREN che ha sottoscritto il contratto GÉANT TCS. Per GARR il ruolo è affidato ai membri del Servizio GARR CS.

Enterprise Admin = ruolo amministrativo a livello di Enterpise che permette la gestione dei domini, certificati e ruoli amministrativi afferenti a tale Organizzazione

Enterprise Approver = ruolo amministrativo a livello di Enterprise che permette solo l'approvazione delle richieste dei certificati. Non permette la gestione dei domini, certificati e ruoli amministrativi

Enterprise User = ruolo non amministrativo assegnato ad ogni nuovo utente che si registra nel portale HARICA e che permette solo la richiesta di certificati. Tutte le richieste necessitano dell'approvazione di un Enterprise Admin o di un Approver.

Primi passi

Scarica la guida in inglese "Enterprise Admin Guide"

  1. Registrazione "Sign up" nel portale HARICA (cm.harica.gr/Login)

  2. Attivazione del secondo fattore di autenticazione 2FA (obbligatoria per Admin e Approver) - vedi Ruoli

  3. Ottenere il ruolo Enterprise Admin e/o Enterprise Approver. vedi Ruoli

  4. Validare (DCV) almeno un dominio -- vedi Gestione domini

  5. Validazione OV della Enterprise -- vedi Validazione Enterprise

  6. (Opzionale) Abilitazione dei certificati IGTF -- vedi Abilitazione IGTF

Aggiornamenti importanti

Durante il primo mese di utilizzo della nuova piattaforma abbiamo sperimentato alcuni problemi. Ecco un elenco delle più importanti scoperte e soluzioni:

  • Dopo aver assegnato nuovi permessi ad un utente i cambiamenti sono visibili solo facendo un refresh completo della pagina.

  • Disabilitando il 2FA si perdono tutti i ruoli ottenuti fino al quel momento.

  • I file .csv devono essere compilati facendo attenzione a non introdurre: spazi alla fine di un campo, righe vuote e virgole all'interno di un campo.

  • Per poter approvare le richieste di certificato è necessario avere il ruolo Approver ed aver impostato la Enterprise in Validator groups.

  • Gli account locali prevedono l'uso di username e password. Gli account Academic (SAML) non prevedono nessuna password. Gli account locali possono essere convertiti in Academic: considerare che la password non funzionerà più. Gli account Academic non possono essere convertiti in account locali se non previa cancellazione e nuova creazione. Contattare il Supporto

  • Validazione di domini (DCV) e di organizzazioni (OV): una data nel futuro significa che la validazione è ATTIVA mentre una data nel passato significa che la validazione è SCADUTA

  • Per ogni richiesta di certificato SSL, Harica interrogherà il DNS autoritativo associato al/ai FQDN indicato/i nella richiesta. Si è osservato che, quando il server DNS è configurato con meccanismi di segregazione (ad esempio, view) e per una zona interna risponde con REFUSED alle richieste provenienti dalla rete pubblica, i controlli di Harica falliscono, impedendo l'emissione del certificato e richiedendo la rimozione manuale della transazione. Al contrario, una risposta con NXDOMAIN è accettata e il certificato viene emesso senza problemi.