Emissione Certificati¶

Quanto segue riguarda l'emissione di certificati tramite portale SCM da parte degli Admins, ovvero RAO e DRAO.

Per informazioni sull'emissione automatizzata tramite ACME/certbot fare riferimento alla sezione ACME.

Prima di procedere con la richiesta di certificati GÉANT EV SSL e GÉANT EV Multi-Domain consigliamo di consultare la sezione dedicata più sotto.

Per poter richiedere tutti i certificati di tipo GÉANT IGTF (grid, sia server che personali) è necessario compilare e validare il "Secondary Organization Name" seguendo le istruzioni della sezione dedicata più sotto.

L'emissione di un certificato SSL deve sempre essere approvata da un RAO (o DRAO, a seconda di come è stata organizzata la Org).

Se un RAO/DRAO ha nel proprio account la spunta sul privilegio "Allow SSL auto approve" (in Admin > cercare il RAO, selezionarlo e premere [Edit]) allora tutte le richieste di certificato da lui sottomesse saranno automaticamente approvate senza ulteriori passaggi.

In caso contrario le richieste dovranno essere approvate manualmente:

alla ricezione della mail "SSL certificate for (<CN del certificato>) AWAITING APPROVAL" copiare il valore di Order Number
in SCM, dal menù principale Certificates > SSL Certificate > cercare filtrando per Order Number > spuntare la riga ottenuta (che è in stato requested) e proseguire premendo il bottone [APPROVE] .

Emissione Certificati SSL¶

Richiesta SSL Certificate (What is a CSR?)¶

Dal menù principale selezionare Certificates, poi SSL Certificates e premere il bottone verde [+] in alto a destra.

Nella finestra che si apre (Request SSL Certificate) si deve scegliere la modalità di creazione tra:

Using a CSR: creare la private key e la CSR (Certificate Signing Request) in locale e copiare la CSR sul form della schermata successiva.
Generation of CSR: la CSR e la private key sono create sul portale. (Modalità non attivabile)
Generation of CSR with auto installation: riguarda le organizzazioni che si avvalgono dei Network Agents --- vedi documentazione Sectigo.
Generation of CSR in Azure Key Vault: riguarda le organizzazioni che hanno configurato la Azure Key Vault. (Modalità non attivabile)

Using of CSR¶

Una volta selezionata la modalità Using of CSR, premere il bottone [Next], nella schermata succesiva inserire le informazioni richieste (obbligatori: Organization, Certificate Profile e Certificate Term (default 1 year) e premere [Next], nella schermata successiva caricare o incollare la CSR nel form e premere il bottone [Next]. Per creare la CSR e la relativa chiave potete utilizzare il seguente comando openssl:

openssl req -nodes -newkey rsa:3072 -keyout myserver.key -out server.csr -subj "/C=IT/CN=mysubdomain.mydomain.com"

Certficate Profile: selezionare GÉANT OV SSL per un certificato SSL per un solo nome di dominio o GÉANT OV Multi-Domain per aggiungere SAN (Subject Alternative Names).

Importante: nei certificati GÉANT OV SSL viene aggiunto in automatico un Subject Alternative Names che riporta il valore del CN ed eventualmente la versione con prefisso www. . Per questo motivo consigliamo di richiedere certificati GÉANT OV Multi-Domain anche quando la richiesta presenta un solo fqdn.

Completare la richiesta indicando gli eventuali SAN (Subject Alternative Names) nel caso si stia richiedendo un certificato GÉANT OV Multi-Domain. Di default sono presi direttamente dalla CSR ma possono anche essere aggiunti manualmente in questa fase (Use commas or spaces to separate multiple values for bulk input.)

Nella schermata successiva ci verrà richiesto se abilitare o meno il rinnovo automatico, Enable auto renewal of this certificate, e quanti giorni prima iniziare il processo.

E' sempre possibile verificare tramite SCM se per un certificato è stato abilitato l'auto-rinnovo: dal menù principale Certificates > SSL Certificate > cercare filtrando per il nome del server > spuntare la riga del certificato in corso di validità (di solito ISSUED e in verde) e premere [View].

Se nei dettagli appare Auto-renew SUCCESSFUL o Auto-renew SCHEDULED allora l'auto-rinnovo è stato impostato. Nella sezione Details del certificato è possibile vedere chi è l'owner del certificato selezionando la voce Owner.

Certificati Extended Validation (GÉANT EV SSL e GÉANT EV Multi-Domain)¶

Nonostante questo tipo di certificato possa essere richiesto attraverso il modulo standard di richiesta certificati vi preghiamo di considerare la possibilità di validare a priori l'emissione dei certificati EV per la vostra Organizzazione grazie al meccanismo chiamato EV Anchor.

Come nei precedenti contratti TCS ricordiamo che il tipo EV richiede, per l'emissione di un certificato, un livello di validazione molto alto e questo può creare lunghi tempi di attesa. EV Anchor, una volta ottenuta, permette di velocizzare la validazione dei successivi certificati EV creando appunto un'ancora riutilizzabile dall'Organizzazione. EV Anchor ha validità di un anno.

Cosa succede se non sfrutto il meccanismo EV Anchor? Per ogni nuova richiesta di certificato EV si dovrà contattare il team di validazione Sectigo attraverso il sistema di ticketing: https://sectigo.com/support-ticket.

La mia organizzazione vuole attivare EV Anchor, cosa dobbiamo fare? Stabilire l'elenco dei domini per i quali il vostro Ente è interessato a ottenere certificati EV e assicurarsi di aver creato i domini all'interno del portale SCM. Per capire in cosa consiste la validazione EV consultare la documentazione: Sectigo Certificate Validation Explained. In seguito contattare garr-ca@garr.it per gli ulteriori passaggi.

Certificati GÉANT IGTF Multi Domain (grid)¶

Per poter richiedere certificati GÉANT IGTF Multi Domain (grid) è necessario validare il "Secondary Organization Name". Per procedere: scrivere un ticket a garr-ca@garr.it per chiedere agli amministratori MRAO di compilare il campo "Secondary Organization Name". Nello scegliere il valore del campo prestare attenzione che contenga solo caratteri ASCII. Se, già con Digicert, venivano emessi certificati "grid utente" assicurarsi di impostare il campo "Secondary Organization Name" identico al campo O usato con Digicert (in caso di dubbio consultare il portale Digicert per controllo). Motivazione: Dato che il subject dei certificati grid utente è usato come "username" è fondamentale che questo rimanga inalterato per non causare problemi agli utenti nell'accesso alla grid. Gli amministratori MRAO faranno contestualmente partire la validazione del "Secondary Organization Name" che permetterà dipoter iniziare a richiedere certificati grid.

A partire dal giorno 3 Ottobre 2020 non più possibile personalizzare i campi presenti nel distinguished name (DN) dei certificati emessi. Su richiesta della comunità GÉANT TCS i certificati IGTF sono emessi con uno speciale "Certificate Profile" che non include nel DN i campi streetAddres, postalCode e stateProvince.

Richiesta certificati SSL tramite autenticazione SAML (per utenti non admin)¶

È possibile richiedere certificati SSL con autenticazione basata su autenticazione federata SAML via IDEM. In questo modo sarà possibile far richiedere i certificati anche ad utenti che non siano RAO o DRAO. Nel portale SCM questa funzionalità è definita Self Enrollment.

Per abilitare il Self Enrollment selezionate dal Menù principale Enrollments, poi premere il bottone [(+)].

Nella finestra che si aprirà selezionare "SSL SAML self-enrollment form", dare un nome all'Endpoint e premere [Next]

Nella finestra successiva generare la "URI Extension" premendo il bottone [Generate].

Come funziona: L'accesso averrà tramite la URL generata (mostrata in Endpoint URL) e con autenticazione SAML. In questo modo l'accesso sarà limitato ai soli utenti della propria organizzazione e tutti gli accessi saranno autenticati su base personale.

Raccomandiamo di non spuntare la casella Automatically Approve Self Enrollment Requests per mantenere il controllo delle richieste di certificati SSL richiesti tramite Self Enrollment. È inoltre possibile limitare i tipi di certificati che si possono richiedere tramite la scelta dei Profili associati all'Endpoint (tabella Profiles).

Una volta terminata la configurazione del Self Enrollment premendo il bottone [Save], distribuire ai colleghi le URL del nuovo Endpoint per la richiesta dei certificati.

SSL Certificate Enrollment: accesso ed emissione¶

Gli utenti che accederanno alle URL del SSL Certificate Enrollment dovranno autenticarsi tramite il proprio Identity Provider.

Una volta acceduti dovranno selezionare il Certificate Type, il Certificate Term ed il Server Software per cui stanno richiedendo il certificato ed incollare la Certificate Signing Request nel campo CSR, i campi rimanenti sono opzionali. Una volta premuto il bottone [ENROLL] il RAO riceverà una notifica di richiesta e potrà approvare la richiesta del certificato dal menù Certificates del portale SCM.

Una volta approvata la richiesta ed emesso il certificato, l'utente riceverà infine un messaggio di posta elettronica contenente i link per scaricare il certificato richiesto.

Approvazione di Richieste per SSL Certificate¶

L'emissione di un certificato SSL deve sempre essere approvata da un RAO (o DRAO, a seconda di come è stata organizzata la Org).

Se un RAO/DRAO ha nel proprio account la spunta sul privilegio "Allow SSL auto approve" (in Admin > cercare il RAO, selezionarlo e premere [Edit]) allora tutte le richieste di certificato da lui sottomesse saranno automaticamente approvate senza ulteriori passaggi.

In caso contrario le richieste dovranno essere approvate manualmente:

alla ricezione della mail "SSL certificate for (<CN del certificato>) AWAITING APPROVAL" copiare il valore di Order Number
in SCM, dal menù principale Certificates > SSL Certificate > cercare filtrando per Order Number > spuntare la riga ottenuta (che è in stato requested) e proseguire premendo il bottone [APPROVE] .

Installazione SSL Certificate¶

Dopo aver installato il certificato verificare di aver configurato in maniera ottimale la certificate chain con uno dei seguenti 2 metodi:

testando la configurazione in https://www.ssllabs.com/ssltest/
usando il comando OpenSSL: openssl s_client -connect myserver.mydomain.org:443

Interpretare i risultati:

tra i risultati del test Qualys SSL Labs cercare la voce "Chain issues" ed assicurarsi che sia visualizzato il valore "None"
l'output del comando Openssl deve contenere solo la seguente certificate chain:

Certificate chain

0 s:C = IT, O = Consortium GARR, CN = cert.test.garr.it i:C = NL, O = GEANT Vereniging, CN = GEANT OV RSA CA 4

1 s:C = NL, O = GEANT Vereniging, CN = GEANT OV RSA CA 4 i:C = US, ST = New Jersey, L = Jersey City, O = The USERTRUST Network, CN = USERTrust RSA Certification Authority

Soluzione:

Per correggere eventuali problemi configurare come certificate chain solo i certificati delle CA intermedie di GÉANT (ad esempio CN = GEANT OV RSA CA 4 e simili).

Consultazione dei certificati SSL¶

Oltre al portale SCM di Sectigo in cui ogni RAO e DRAO può consultare rispettivamente lo status dei certificati della propria Organization e del proprio Department, esiste anche un portale open source disponibile a tutta la comunità internet. Il portale è raggiungibile all'indirizzo https://crt.sh/ e la ricerca può avvenire sulla base dei più svariati parametri (Domain Name, Organization Name, Certificate Fingerprint e tutti quelli inclusi nella sezione Advanced).

Emissione certificati Personali¶

Richiesta Client Certificate via SCM con invito (solo per "GÉANT Organisation Automated Authentication")¶

La richiesta di Client Certificate da parte degli Admin via portale SCM è piuttosto scomoda e soprattutto non scalabile per un numero elevato di certificati. La soluzione consigliata è la richiesta via autenticazione federata con SAML (vedi paragrafo successivo).

L'unico tipo di certificato ordinabile in SCM è "GÉANT Organisation Automated Authentication" e trattandosi di un certificato IGTF è necessario configurare la propria Org per la richiesta di certificati IGTF (grid):

Scrivere una mail a garr-ca@garr.it per chiedere agli amministratori MRAO di modificare e far partire la validazione del "Secondary Organization Name".
Comunicare nella mail il valore del campo "Secondary Organization Name" prestando attenzione che contenga solo caratteri ASCII e che sia identico al campo O eventualmente usato in precedenza per i certificati grid con Digicert (in caso di dubbio consultare il portale Digicert per controllo). Dato che il subject dei certificati grid è usato come "username" è fondamentale che questo rimanga inalterato per non causare problemi di accesso alla grid per gli utenti.

Per richiedere un certificato "GÉANT Organisation Automated Authentication" via SCM per un membro della propria organizzazione selezionare Persons e premere il bottone verde (+). Se la persona fosse già stata creata in precedenza selezionare la riga corrispondente e saltare direttamente più sotto alle istruzioni relative al TAB Enrolment Invitation.

Nella finestra che si apre devono essere indicati o confermati:

Organization ed eventualmente Department,
alla voce Domain va selezione il dominio su cui emettere il certificato,
in First Name il nome proprio ed in Last Name il cognome.
in Email Address va inserita la parte locale (a sinistra della @domain) dell'indirizzo di posta che sarà associato al certificato.

Proseguire con [Next]

in Common Name inserire il nome dell'utente che verrà visualizzato nel certificato
(opzionale) in Secret impostare un valore specifico per questo utente.

Una volta terminato l'inserimento premere il bottone [Save].

Selezionare il nuovo utente creato e premere il bottone [Edit].

Proseguire nel TAB Enrolment Invitation

Premere (+) su Invitation per creare l'invito
Compilare i parametri dell'invito considerando che l'unico Certificate Profile funzionante è GÉANT Organisation Automated Authentication)

Una volta terminato l'inserimento premere il bottone [Save].

Se la configurazione è andata a buon fine allora la persona riceverà una mail con oggetto "Invitation Email - You have requested email certificate validation" contenente le istruzioni per richiedere il certificato.

Ricordiamo che l'unico profilo funzionante è GÉANT Organisation Automated Authentication e la scelta di qualsiasi altro Profilo produrrà un errore.

Richiesta Client Certificate con portale self-service via SAML¶

Il portale per la richiesta self-service dei certificati personali (client certificate), personali IGTF (email e robot) è https://cert-manager.com/customer/garr/idp/clientgeant

L'accesso è possibile solo tramite autenticazione federata con IDEM e previa configurazione dell'Identity Provider istituzionale (sezione Configurazione SAML).

Dal 1 settembre 2023 sono entrate in vigore nuove regole relative al rilascio dei certificati personali emessi da CA pubbliche secondo quanto specificato dal documento https://cabforum.org/wp-content/uploads/CA-Browser-Forum-SMIMEBR-1.0.0.pdf

Per emettere certificati S/MIME ("GÉANT Personal email signing and encryption") è necessario l'Organizzazione in SCM sia stata rivalidata dopo il 1 settembre 2023. Tra i requisiti introdotti dalle nuove regole S/MIME: la persona che richiede il certificato deve avere associato in SCM una Person con Validation Type = HIGH e nei campi Nome e Cognome deve essere presente il nome e cognome di una persona concreta .

Per emettere certificati IGTF/grid ("GÉANT Personal Authentication" e "GÉANT Personal Automated Authentication") è necessario l'Organizzazione abbia impostato in SCM un Secondary Organization Name e che questo sia stato validato.

Le nuove root e intermediate CA di Géant sono disponibili in: https://wiki.geant.org/display/TCSNT/TCS+Trust+Anchors+and+Intermediates

Configurazioni¶

Configurare la richiesta di certificati personali

L'Identity Provider deve rilasciare un determinato insieme di attributi al Service Provider Sectigo. Dettagli nella sezione Configurazione SAML
In SCM, selezionare Organizations, selezionare la propria organizzazione e premere il bottone [Edit]. Nella finestra di modifica editare il campo "Organization Alias" inserendo il valore stabilito per l'attributo schacHomeOrganization rilasciato dall'Identity Provider. Generalmente coincide con il valore del dominio principale, o scope, ma conviene coordinarsi con l'idp manager.

Configurare anche la richiesta di certificati IGTF (grid)

Scrivere un ticket a garr-ca@garr.it per chiedere agli amministratori MRAO di modificare e far partire la validazione del "Secondary Organization Name".
Comunicare nel ticket il valore del campo "Secondary Organization Name" prestando attenzione che contenga solo caratteri ASCII e che sia identico al campo O eventualmente usato in precedenza per i certificati grid con Digicert (in caso di dubbio consultare il portale Digicert per controllo). Dato che il subject dei certificati grid è usato come "username" è fondamentale che questo rimanga inalterato per non causare problemi di accesso alla grid per gli utenti.

Richiesta di client certificate tramite portale self-service via IDEM/SAML¶

Andare su https://cert-manager.com/customer/garr/idp/clientgeant ed autenticarsi con il proprio IDP.
Selezionare il tipo di certificato:
- "GÉANT Personal email signing and encryption" certificati personali emessi da un CA pubblica per la firma e la cifratura di email ma non per la firma di documenti o la client authentication. [Il Profilo, anche se disponibile nel menù a tendina, permette l'emissione dei certificati solo se la Org è stata rivalidata dopo il 1 settembre 2023]
  - Novità da settembre 2023:
    - la persona (Persons) che richiede il certificato via SAML acquisisce (in automatico) la proprietà "Validation Type" = HIGH ed i campi First e Last Name vengono sovrascritti se diversi dai valori degli attributi SAML givenName e sn trasmessi dall'Identity Provider. Usare https://cert-manager.com/customer/garr/ssocheck/ per conoscere quali valori degli attributi SAML givenName e sn sono trasmessi dall'Identity Provider.
    - La generazione del certificato impiega più di un minuto per completare.
- "GÉANT Personal Authentication" certificati personali emessi da una CA privata da usare in ambito grid/IGTF e per la client authentication. Non adatti per la firma e la cifratura di email e per la firma di documenti. [Il Profilo, anche se disponibile nel menù a tendina, permette l'emissione dei certificati solo se la Org ha impostato e validato il Secondary Organization Name]
- "GÉANT Personal Automated Authentication" certificati personali robot emessi da una CA privata da usare in agenti software che si autenticano per conto dell'utente (ambito grid/IGTF). Non adatti per la firma e la cifratura di email e per la firma di documenti. [Il Profilo, anche se disponibile nel menù a tendina, permette l'emissione dei certificati solo se la Org ha impostato e validato il Secondary Organization Name]
Selezionare se si desidera che la chiave privata sia generata server-side o localmente:
- Scegliere "Generate RSA" se si vuole un certificato con chiave privata generata server-side.
- Scegliere "Generate ECC" se si vuole un certificato con chiave privata generata server-side e se si è interessati a testare i certificati ECC.
- RACCOMANDATO Scegliere "Upload CSR" se non si vuole che la chiave privata sia generata server-side ma si vuole fornire una CSR generata in autonomia.
  - Di seguito trovate le istruzioni per la creazione della chiave e della CSR con OpenSSL:
    - Creazione CSR con chiave RSA a 3072 bit: openssl req -newkey rsa:3072 -keyout nome_cognome-key.pem -out nome_cognome-csr.pem -subj "/CN=Nome Cognome"
    - Creazione CSR con chiave ECC a 256bit: openssl req -newkey ec:<(openssl ecparam -name prime256v1) -keyout nome_cognome-key.pem -out nome_cognome-csr.pem -subj "/CN=Nome Cognome"
- Se si è scelto di generare il certificato server-side è necessario compilare il campo password con cui sarà cifrato il file PKCS#12 generato per voi.
Choose key protection algorithm: "Compatible TripleDES-SHA1"
Premere "Submit" e accettare il contratto di licenza.
In pochi istanti avverrà il download del certificato. Il formato dipende dalle scelte fatte durante la richiesta:
- Con "Generate RSA/ECC", si riceverà un file PKCS#12 con nome certs.p12 contenente chiave privata e certificato (file cifrato con la password scelta). Tale certificato potrà essere importato nel browser e nel client di posta con la funzione "Import Certificate" o similare.
- Con "Upload CSR", si riceverà un file PEM-formatted chiamato certs.pem e contenente il certificato personale, il certificato intermedio della CA ed il root certificate di Sectigo . Per poter utilizzare il certificato per la firmare e crittografare i messaggi di posta elettronica è necessario creare un file in formato PKCS#12 contenente sia il certificato, sia la chiave. E' possibile farlo utilizzando OpenSSL con il seguente comando: openssl pkcs12 -export -in certs.pem -inkey nome_cognome-key.pem -out nome_cognome.p12

Gestione dei Certificati Personali¶

Le risorse messe a disposizione da Sectigo sono molto carenti per quanto riguarda la gestione dei certificati personali per l'utente finale.

Il RAO rappresenta il punto di riferimento unico per poter consultare lo status dei certificati personali emessi a nome di un utente.

Revoca dei certificati personali¶

La revoca può essere richiesta ad uno dei RAO della proprio Organizzazione o tramite ticket al supporto di Sectigo https://sectigo.com/support-ticket.

Verificare se un certificato personale è stato revocato¶

Esistono due modi per scoprire questa informazione:

contattare uno dei RAO della propria Organizzazione;
consultare la cosiddetta CRL ovvero l'elenco dei certificati revocati dalla CA. Il procedimento da seguire è indicato qui sotto.

E' necessario disporre dei seguenti elementi:

software Openssl
certificato personale salvato su file (da cui ricavare il serial number, istruzioni fornite qui sotto)
file CRL (la cui location è ricavabile dal file precedente, istruzioni fornite qui sotto)

Salvare il certificato personale su file (ad esempio "cert.crt") estraendolo dal proprio Browser o dal proprio Client di Posta (seguire le istruzioni del software in uso).

Per ricavare la location della CRL eseguire il comando openssl:

openssl x509 -in cert.crt -noout -text | grep crl

Appena ottenuta la url della crl scaricarla con il comando wget:

wget <url-ottenuta-dal-comando-precedente>

Estrarre il serial number del proprio certificato personale con il seguente comando:

openssl x509 -in cert.crt -noout -serial

Adesso è possibile scoprire se il serial number del nostro certificato è stato revocato:

openssl crl -inform DER -text -in [name of downloaded CRL] | grep [serial number of client's certificate you would like to check]

Esempio a partire da un file .p12:¶

openssl pkcs12 -in ../Desktop/certificato.p12 -nokeys -out certificato.crt

openssl x509 -in certificato.crt -noout -text | grep crl
URI:http://pippo-pluto-paperino.crl

wget http://pippo-pluto-paperino.crl

openssl x509 -in certificato.crt -noout -serial
serial=BD8DFB1FE2EEF98C7329CEE026C38009

openssl crl -inform DER -text -in pippo-pluto-paperino.crl | grep BD8DFB1FE2EEF98C7329CEE026C38009

Se la stringa non viene trovata allora il certificato non è stato revocato.

Se invece viene visualizzato il serial number allora il certificato è stato revocato. Come nel caso seguente:

openssl crl -inform DER -text -in pippo-pluto-paperino.crl | grep BD8DFB1FE2EEF98C7329CEE026C38009
Serial Number: BD8DFB1FE2EEF98C7329CEE026C38009

Richiesta Document Signing Certificate¶

E' possibile ordinare certificati Document Signing su un token USB preconfigurato da Sectigo.

I costi dei token USB non sono coperti dal servizio TCS e sono a carico del richiedente.

Per fare un ordine collegarsi a: https://www.sectigo.com/ssl-certificates-tls/document-signing-certificates e usare il codice sconto: QQY1XB49V9

Richiesta Code Signing Certificate¶

Descrizione del servizio a partire da maggio 2023¶

Dall'8 maggio 2023 sarà possibile ordinare certificati Code Signing solo impiegando device FIPS conformi a specifici standard HSM oppure direttamente su token forniti da Sectigo.

Uso di dispositivi propri - Se si intende usare dispositivi propri, considerare nell'acquisto che solo i seguenti sono supportati:

Thales/Safenet Luna netHSM (solo per chiavi RSA) - deve essere un Luna: Luna HSM V7.x e Luna Cloud HSM (https://cpl.thalesgroup.com/it/encryption/hardware-security-modules/network-hsms)
Yubico FIPS Yubikeys (solo per chiavi ECC) - https://www.yubico.com/products/yubikey-fips/

Acquisto di dispositivi da Sectigo - I costi dei token USB non sono coperti dal servizio TCS e sono a carico del richiedente.

Per fare un ordine collegarsi a: https://www.sectigo.com/ssl-certificates-tls/code-signing e usare il codice sconto: 2GE8AFN0T1

Dispositivi non supportati - Se si dispone di un dispositivo specifico che non è attualmente supportato, si prega di informare garr-ca@garr.it.

Ulteriori informazioni e guide sono disponibili qui: https://sectigo.com/knowledge-base/detail/Changes-to-Sectigo-Code-Signing-Offerings/kA03l000000BoIs.

Istruzioni a partire da Maggio 2023¶

E' stato creato sul portale SCM di GARR un nuovo Profilo specifico per richiedere i certificati Code Signing su dispositivi FIPS già posseduti "HSM Code Signing".

Il Profilo "SECTIGO Public CA CS Certificate Profile" per l'acquisto dei certificati emessi su dispositivo FIPS e spediti da Sectigo è stato disabilitato nel Portale SCM (contattare garr-ca@garr.it per l'abilitazione).

(Solo la prima volta) Creazione da parte del RAO di un Account per certificati su dispositivo FIPS già posseduto¶

Uno dei RAO deve creare un Account per la propria ORG seguendo il percorso dal Menù Principale Enrollment >> Enrollment Forms. Da qui spuntare la voce "Code Signing certificate on supported HSM". In alto apparirà il bottone [Accounts]. Premendo sul bottone si aprirà la finestra "Code Signing Web Form Accounts" che contiene la lista degli Account già creati dalla community GARR TCS. Creare il nuovo Account tramite il bottone verde (+) in alto a destra e compilando i campi della form come segue:

Name = HSM Code Signing <nome ORG>
Organization = scegliere la propria tramite menù a tendina
Department = (opzionale)
Profiles = "HSM Code Signing"
CSR Generation Method = "Provided by user"

Salvare le impostazioni e ritornare al Menù Principale.

(Per ogni nuovo certificato Code Signing su dispositivo FIPS già posseduto) Creazione di un invito da parte del RAO¶

Uno dei RAO deve creare un Invito per il richiedente seguendo il percorso dal Menù Principale Certificates >> Code Signing Certificates.

Cliccare sul bottone in alto a destra [Invitations].

Si aprirà una finestra pop-up chiamata "Invitations" in cui per proseguire è necessario premere il bottone verde [+] in alto a destra.

Si aprirà una maschera che permette l'inserimento dei dati della persona che richiede il certificato Code Signing.

Compilare il campo Email con l'indirizzo email del richiedente.
Compilare Enrollment Endpoint selezionando dal menù la voce "Code Signing certificate on supported HSM".
Compilare Account scegliendo dal menù l'account creato per la propria ORG (esempio "HSM Code Signing <nome-org>")

Completare il processo cliccando su "Send". Il richiedente riceverà una mail con le istruzioni e il link per procedere alla creazione del certificato.

(Per ogni nuovo certificato Code Signing su dispositivo FIPS già posseduto) Creazione della CSR e della Key Attestation da parte dell'utente¶

Inizializzare il dispositivo HSM secondo le istruzioni del Produttore personalizzando PIN, PUK e Key Management (!!! non lasciare i valori di default !!!)

Seguire le istruzioni di Sectigo presenti in questa Guida "Sectigo_CodeSigningCertificate_AdminGuide_Enterprise" sezione "3. CSR and Key Attestation Creation", scaricabile in fondo a questo link https://sectigo.com/knowledge-base/detail/Changes-to-Sectigo-Code-Signing-Offerings/kA03l000000BoIs.

Note sull'uso di Yubico Yubikeys:

Usare solo YubiKey 5 FIPS Series
Usare solo algoritmi ECC
La shell deve essere avviata con permessi di Administrator
Il comando type attestation.crt intermediateCA.crt > attestation.pem potrebbe introdurre caratteri non idonei che impediscono successivamente di sottomettere la richiesta. Ottenere la concatenazione dei file usando Notepad (o qualsiasi altro software) con permessi amministrativi.
Il comando findstr /v CERTIFICATE attestation.b64 > attestation.b64 può essere sostituito dall'uso di Notepad (o qualsiasi altro software) con permessi amministrativi rimuovendo manualmente le linee di header/footer dal file attestation.b64

Note sull'uso di Luna Network Attached HSM 7.x:

processo non ancora testato

(Per ogni nuovo certificato Code Signing su dispositivo FIPS già posseduto) Sottomissione della richiesta e scarico del certificato da parte dell'utente¶

Il richiedente che riceve la mail di invito dovrà:

Cliccare su "Verify Email Address" o copiare e incollare nel browser il link contenuto nella mail. Il link connette l'utente alla URL di sottomissione richiesta. La form di richiesta "Code Signing Enrollment" potrebbe risultare già parzialmente compilata.
Completare la compilazione della form facendo riferimento alla tabella sottostante.
Accettare la "user agreement" e premere [Submit]

Se la CSR e la key attestation sono valide, il richiedente riceverà una mail con il link per scaricare il certificato da Sectigo. Scaricare il certificato sul computer ed importarlo sul dispositivo HSM seguendo le istruzioni del Produttore.

Campo	Descrizione
Certificate email	email del richiedente
First name	nome del richiedente
Last name	cognome del richiedente
CSR	CSR in formato PEM. Le linee di header/footer sono necessarie e non vanno rimosse
Key Attestation	Contenuto del file attestation.b64 creato al passo precedente. il File deve essere Base64 encoded. Le linee di header/footer non sono necessarie e vanno rimosse
HSM type	Luna or YubiKey

Richiesta EV Code Signing Certificate¶

Analogamente ai certificati Document Signing, i certificati Code Signing EV devono essere ordinati su un token USB preconfigurato da Sectigo.

I costi dei token USB non sono coperti dal servizio TCS e sono a carico del richiedente.

Per fare un ordine collegarsi a: https://www.sectigo.com/ssl-certificates-tls/code-signing e usare il codice sconto: 3GE5YPN6T8