Vai al contenuto

Registration Authority Officer

Ogni organizzazione deve indicare nel documento di adesione 2 persone a cui sarà assegnato da GARR CS il ruolo di Registration Authority Officer (RAO) all'interno del portale Sectigo.

Attivazione dei primi 2 Registration Authority Officer (RAO)

Dopo la ricezione della documentazione di Adesione il servizio GARR CS procederà sul portale SCM alla creazione della Organizzazione e contestualmente alla creazione degli account per i due RAO indicati.

Dato che il portale SCM non prevede meccanismi dinamici di attivazione degli account è necessario poter comunicare out of band le credenziali per i primi 2 RAO, che inoltre devono essere riconosciuti dal GARR CS.

Per il riconoscimento e la trasmissione sicura delle credenziali, i RAO dovranno inviare un messaggio messaggio di posta elettronica firmato e cifrato come sotto indicato.

Una volta ricevute le credenziali temporanee riceverete una mail di conferma e sarà possibile accedere al portale SCM.

Trasmissione password temporanea e identificazione

La trasmissione della password temporanea deve avvenire con un testo criptato creato come indicato in Cifratura. L'identificazione avviene invece mediante firma digitale del messaggio di posta elettronica con cui viene trasmesso il testo criptato con le modalità indicate in Firma.

Cifratura

Accedere al sito https://keybase.io/encrypt e completare con i seguenti valori:

  • Recipient: digitare, dipendentemente dall'operatore che vi ha inviato la mail di attivazione, "keybm" (Barbara Monticini) oppure "keydl" (Mario Di Lorenzo) e selezionare come destinatario
  • Message to encrypt: scrivere a vostra scelta una password temporanea con cui sarà attivata la vostra utenza
  • Bottone [Encrypt] per eseguire la cifratura del messaggio

Copiare tutto il testo -----BEGIN PGP MESSAGE----- ... -----END PGP MESSAGE----- comprese la prima e l'ultima riga e incollarlo in un nuovo messaggio di posta.

Firma

A partire dal messaggio creato al punto precedente, per l'invio firmato potete procedere in due modalità:

  1. apporre una firma S/MIME con il vostro client di posta e il vostro certificato digitale che può essere:
    1. un certificato personale rilasciato da TCS Digicert (solo per chi già ne possiede uno).
    2. un certificato personale per la firma qualificata.
  2. creare un documento di testo in cui sia dichiarata la vostra identità e nomina al ruo di RAO, firmarlo digitalmente anche con servizi di firma remota e allegarlo al messaggio. Questa modalità è utile anche per evitare l'invalidazione della firma dovuta a server di posta che modificano i messaggi in uscita.

Inviare il messaggio con destinatario garr-ca@garr.it e oggetto "Attivazione Account RAO per ".

Videoconferenza con il servizio GARR CS per l'identificazione e la consegna delle credenziali

Nel caso in cui non fosse possibile seguire la procedura di attivazione mediante firma e cifratura, in via eccezionale può essere concordata l'attivazione via videconferenza, tenendo conto che la priorità sarà data alle attivazioni che seguono la procedura ordinaria.

Contattare garr-ca@garr.it per fissare una videoconferenza in cui presentarsi e identificarsi con documento di identità (è richiesta una videocamera)

Accesso al Portale Sectigo Certificate Manager (SCM)

L'istanza del portale Sectigo Certificate Manager (SCM) per GARR è accessibile su:

https://cert-manager.com/customer/GARR

Al primo accesso il Portale proporrà il cambio password. Memorizzare la password in maniera opportuna.

Aggiunta e configurazione di Registration Authority Officer (RAO)

I RAO creati da GARR CS sono autorizzati ad aggiungere ulteriori RAO e DRAO.

Dal menù principale scegliere la voce Settings > Admins. La pagina presenta la tabella degli amministratori della vostra organizzazione (sia RAO che DRAO).

Inizialmente la tabella include soltanto i due RAO nominati nel documento di adesione.

Per inserire un nuovo amministratore premere il bottone verde (+) (per il momento SCONSIGLIAMO l'aggiunta di amministratori con il bottone [Add IdP User]).

La maschera di creazione di un nuovo amministratore (Add New Client Admin) permette di inserire i dati dell'utente.

Compilare almeno i campi obbligatori:

  • Username
  • Email
  • Forename
  • Surname

Premere [Next] per procedere nella creazione. Viene visualizzata una finestra in cui impostare Role & Privileges, Authentication ed editare i dati immessi finora (simbolo penna).

TAB "Role & Privileges"

In Role selezionare il ruolo per l'utente tra RAO e DRAO.

In Certificate Types indicare per quali tipo di certificati l'utente ricopre il ruolo selezionando l'interruttore e facendolo diventare verde. Per ogni tipo è possibile selezionare su quale eventuale Dipartimento sono applicati i poteri. E' possibile assegnare al RAO/DRAO tutti e 3 i ruoli oppure un sottoinsieme a seconda delle necessità. La configurazione può essere cambiata successivamente.

In Privileges è consigliabile assegnare sempre i primi 6 privilegi:

  • Allow creation of peer admin users
  • Allow editing of peer admin users
  • Allow deleting of peer admin users
  • Allow DCV
  • Allow SSL details changing
  • Allow SSL auto approve

Una nota speciale per i seguenti 2 privilegi:

  • Allow SSL auto approve: se non abilitato, le richieste di certificati fatte da questo RAO dovranno essere sempre approvate dai RAO creati da GARR CS.
  • WS API use only: usare solo se il RAO che si vuole creare non è una persona, ma un utente ad hoc da utilizzare in programmi e script che consumino le API di Sectigo accessibili via Web Service. Se il controllo viene impostato a true il RAO non potrà accedere al Portale in modalità GUI.

TAB "Authentication"

Password

La password impostata per il nuovo amministratore dovrà essere comunicata out-of-band al collega il quale potrà in seguito accedere al portale SCM.

Client Certificate

E' possibile selezionare uno dei certificati emessi per l'utente (solitamente da attivare in un secondo momento dopo che l'utente ha richiesto un certificato nel sistema SCM).

SAML IDP

Serve per collegare l'account all'autenticazione via SAML con la Federazione IDEM e va configurato solo se il vostro Ente partecipa alla Federazione e solo dopo aver configurato l'identity provider con le istruzioni riportate nell'apposita sezione dedicata.

Impostare il valore di SAML IDP a "Your Institution" e inserire il valore ePPN dell'utente nell'apposito spazio.

Modifica di un Admin

Per modificare un amministratore già creato in precedenza selezionare dalla tabella degli amministratori la radio button relativa e premere il bottone [Edit].

La maschera di modifica di un amministratore (Edit Client Admin) è sostanzialmente identica alla maschera di creazione nuovo amministratore: sono presenti i TAB "Role & Privileges" e "Authentication". Inoltre in alto a destra è presente il simbolo di una Matita che permette di accedere alla sezione in cui modificare i dati del profilo (email, telefono, indirizzo, città, cap, nazione).

Rispetto alla maschera di creazione qui è presente la sezione con il link Reset password.

Reset della password

Il reset della password di un account RAO può essere fatto da un qualsiasi altro RAO della stessa Organization. Dal menù Settings > Admins selezionare il nome dell'amministratore da modificare, premere il bottone [Edit] e premere il bottone del TAB Authentication denominato [Reset password]. La nuova password dovrà essere comunicata out-of-band al collega.