Vai al contenuto

Richiedere e approvare certificati

Richieste

Le richieste di certificati sono effettuate dagli utenti tramite il menù laterale attivabile dall'icona in alto a sinistra.

ATTENZIONE

Nessuno, nemmeno un Enterprise Admin con poteri di Approver, può approvare le proprie richieste di certificati. Tutte le richieste devono essere sempre approvate da un (altro) Enterprise Approver.

Scarica il PDF in inglese "Guide for Enterprise Approvers"

Certificati Server (SSL e SSL IGTF)

Note

Per poter richiedere certificati IGTF l'organizzazione dovrà essere preliminarmente abilitata seguendo le istruzioni presenti sulla pagina Validazione Enterprise

Selezionare la voce Server sotto Certificate Requests nel menu laterale.

Nella prima pagina inserirete un friendly name del certificato (opzionale) e i nomi di dominio che devono essere presenti nel certificato (+ Αdd more domains). Il primo nome di dominio indicato farà parte del CN, mentre gli altri saranno aggiunti come Subject Alternative Names (SAN).

E' anche possibile aggiungere i nomi di dominio del certificato tramite il link "Import". Si aprirà una finestra che permette il caricamento dei seguenti formati:

  • .csv - un file compilato con i fqdn secondo il template CSV fornito contestualmente
  • .pem .cer .crt un file di certificato x.509 esistente (anche auto-firmato) che contiene i fqdn come SAN
  • .csr un file che contiene la certificate signing request e nella quale i fqdn sono dichiarati come SAN

Attenzione alla casella di spunta

se selezionata, allora anche il SAN www.<fqdn> farà parte della richiesta. (Include www.xxx.yyy without additional cost)

NOTA BENE

Il numero massimo di domini accettati attualmente è 100. Non è al momento possibile caricare i domini tramite CSR.

Nella pagina successiva selezionate il tipo di certificato:

  • Domain-only (DV)

  • For enterprises or organizations (OV)

Certificati SSL IGTF

Per richiedere certificati SSL IGTF selezionare esclusivamente "For enterprises or organizations (OV)".

NOTA BENE

Non selezionare la voce "For enterprises or organizations (EV)" dato che questi certificati non sono inclusi nel contratto TCS e sono a pagamento. Allo stesso modo, se inserite un nome di dominio al di fuori di quelli abilitati per la vostra Enterprise, anche i certificati di tipo DV e OV saranno a pagamento, in questo caso tornate indietro e controllate i nomi di dominio indicati.

Nella pagina successiva troverete un breve riepilogo e la possibilità di selezionare il tipo "IGTF": spuntare la checkbox "Request an IGTF eScience Digital Certificate".

Proseguire con "Next" fino alla pagina in cui potrete inserire la CSR o farla create automaticamente dal portale.

E' obbligatorio scegliere una delle due alternative e completare tutti i campi richiesti (che naturalmente variano contestualmente alla scelta fatta).

Una volta sottomessa la CSR, la richiesta verrà mostrata sotto la voce "Pending Requests" fino a che un Enterprise Approver non l'approverà. Quanto ciò accadrà, riceverete una notifica via mail e potrete scaricare il certificato selezionando la freccia di download nell'elenco dei certificati.

Certificati S/MIME

Per il momento i certificati S/MIME possono essere richiesti solo tramite approvazione, il che ne rende poco pratico l'utilizzo su larga scala. Vi consigliamo di attendere che l'implementazione SAML sia completata, dato che questa permetterà l'auto approvazione.

Certificati personali IGTF

Note

Per poter richiedere certificati IGTF l'organizzazione dovrà essere preliminarmente abilitata seguendo le istruzioni presenti sulla pagina Validazione Enterprise

I certificati personali IGTF (IGTF Client Auth) possono essere richiesti ed emessi direttamente dagli utenti solo tramite autenticazione SAML, vedi Configurazione SAML.

Per richiedere un certificato personale IGTF selezionare la voce IGTF Client Auth sotto Certificate Requests nel menu laterale.

Selezionare il tipo di certificato da emettere scegliendo tra:

  • GÉANT Personal Authentication (persone)
  • GÉANT Personal Automated Authentication (software agent che agiscono per conto di utenti)
  • GÉANT Organization Automated Authentication (software agent che agiscono per conto di organizzazioni)

Nelle schermate successive confermare il tipo di certificato, accettare i termini d'uso e la privacy policy, infine sottomere la richiesta (bottone Submit Request).

Una volta sottomessa la richiesta, nella Dashboard apparirà il certificato sotto la voce Ready Certificates.

Premete il bottone "Enroll your Certificate" accanto al certificato, nella schermata che segue avete due opzioni Generate Certificate e Submit CSR manually. Se scegliete Generate Certificate, HARICA generarà anche la chiave del certificato e dovrete inserire una passphrase per proteggerlo. Premte "Enroll Certificate" per generare chiave e certificato. Nella schermata successiva potrete scaricare chiave e certificato emesso in formato .p12.

La chiave può essere scaricata una volta sola

Se fate creare la chiave ad HARICA, per ragioni di sicurezza potrete scaricarla solo al momento della creazione. Successivamente potrete scaricare solo il certificato pubblico corrispondente.

Se invece decidete di sottomettere una CSR, premete il bottone "Submit CSR manually". Per generare CSR e chiave potete seguire queste istruzioni (openssl):

  • Chiave di tipo RSA:
openssl req -newkey rsa:3072 -keyout nome_cognome-key.pem -out nome_cognome-csr.pem -subj "/CN=Nome Cognome"
  • Chiave di tipo ECDSA:
openssl req -newkey ec:<(openssl ecparam -name prime256v1) -keyout nome_cognome-key.pem -out nome_cognome-csr.pem -subj "/CN=Nome Cognome"

Copiate il contenuto del file nome_cognome-csr.pem nel form della pagina e premete il bottone "Enroll Certificate".

Il certficato sarà immediatamente disponibile per il download in diversi formati.

Approvazione delle richieste

Certificati Server (SSL)

Gli Enterprise Approver approvano le richieste di certificati, ma solo se inserite da altri utenti, mentre le loro richieste di certificati devono essere approvate da altri Approver.

Per approvare una richiesta selezionare la voce SSL Requests dal menu Enterprise. Selezionare la richiesta nella lista di richieste pendenti, nella pagina che si aprirà, selezionare il tab Consent, inserire un commento e premete Accept.

Il checkbox "Inform user" permette di inviare il messaggio anche all'utente, ed il bottone Update invia il messaggio senza approvare il certificato (ad esempio si potrebbe informare il richiedente che si ritiene opportuno fare ulteriori controlli prima dell'approvazione).

Dopo l'approvazione, il certificato viene emesso e la richiesta spostate nella sezione Completed, mentre il richiedente riceverà una mail che lo informa dell'avvenuta emissione.

Gli Enterprise Admin e gli Approver possono vedere i certificati dalla voce SSL Certificates del menu Enterprise. Una volta selezionato il certificato, nel pannello Details troverete le informazioni principali, e potrete anche scaricare il certificato tramite la voce Download, o revocarlo tramite Revoke.

Certificati S/MIME

Gli Enterprise Approver approvano le richieste di certificati, ma solo se inserite da altri utenti, mentre le loro richieste di certificati devono essere approvate da altri Approver.

Per approvare una richiesta selezionare la voce S/MIME Certificate Requests dal menu Enterprise. Selezionare la richiesta nella lista di richieste pendenti, nella pagina che si aprirà, selezionare il tab Consent, inserire un commento e premete Accept.

Il checkbox "Inform user" permette di inviare il messaggio anche all'utente, ed il bottone Update invia il messaggio senza approvare il certificato (ad esempio si potrebbe informare il richiedente che si ritiene opportuno fare ulteriori controlli prima dell'approvazione).

Dopo l'approvazione, la richiesta viene spostata nella sezione Ready, mentre il richiedente riceverà una mail con oggetto "HARICA – Your certificate request has been approved, certificate enrollment is pending".

Non appena il richiedente avrà finito l'enrollment e ricevuto il certificato, la richiesta viene spostata nella sezione Completed.

Gli Enterprise Admin e gli Approver possono vedere i certificati dalla voce S/MIME Certificates del menu Enterprise. Una volta selezionato il certificato, nel pannello Details troverete le informazioni principali, e potrete anche scaricare la chiave pubblica del certificato tramite la voce Download, o revocarlo tramite Revoke.

Certificati IGTF Client Auth

Nessuna approvazione è prevista e richiesta per i certificati IGTF Client Auth, ciononostante l'Enterprise Admin può assegnare il ruolo Client Authentication Approver ad un utente (tipicamente un altro amministratore) in modo che possa visionare le richieste di certificati di questo tipo.