Certificati SSL

Richiesta di certificati server SSL per i domini di ateneo

(riservato a Dipartimenti, Centri, Scuole e Strutture)

Il nostro ateneo ha aderito al servizio Trusted Certificate Service (TCS) offerto da GARR per la richiesta di certificati server SSL emessi dalla Certification Authority Harica ( harica.gr), riconosciuta dalla maggior parte dei browser. Per i dettagli consultare il sito GARR Certification Authority - Istruzioni per certificati server TCS.

Cos'è un certificato SSL/TLS?

Un certificato SSL/TLS è un oggetto digitale che consente ai sistemi di verificare l'identità e successivamente stabilire una connessione di rete crittografata a un altro sistema utilizzando il protocollo Secure Sockets Layer/Transport Layer Security (SSL/TLS). I certificati vengono utilizzati all'interno di un sistema crittografico noto come infrastruttura a chiave pubblica (PKI, Public Key Infrastructure). L'infrastruttura a chiave pubblica permette a una parte di verificare l'identità di una seconda parte mediante i certificati, purché entrambe ritengano attendibile un attore terzo, noto come autorità di certificazione (CA Certification Authority). I certificati SSL/TLS pertanto funzionano come carte d'identità digitali per proteggere le comunicazioni di rete e stabilire l'identità dei siti Web su Internet e delle risorse su reti private.
Amazon ha una pagina con con spiegazioni dettagliate sui certificati SSL, anche Kaspersky è esaustivo.

Differenze fra certificati DV, OV, e EV

Innanzitutto, va considerato che i certificati TLS/SSL hanno due funzioni: forniscono una connessione sicura con un sito web, crittografando i dati trasferiti tra gli utenti e il dominio e, in secondo luogo, verificano la titolarità dell'azienda o della persona che possiede l'URL, nonché la sua identità. Ciò che distingue i certificati OV e EV sono i livelli extra e i passaggi di convalida necessari per ottenerli. Per i certificati EV e OV, le CA devono verificare il proprietario del dominio e diversi altri dati sulla sua attività, come nome, tipo di società, situazione e indirizzo fisico.

Ad esempio, i certificati Domain Validated (come, per esempio, quelli emessi da Lets'encrypt) si riferiscono alla semplice verifica del proprietario di un URL, mentre i certificati Organization Validated, come quelli emessi da Harica, verificano il proprietario del dominio e autenticano l'organizzazione affiliata all'indirizzo URL corrispondente. I certificati Extended Validation offrono una garanzia elevata dell'identità, perché richiedono la verifica del proprietario del dominio, dell'organizzazione aziendale e dell'entità legale della società interessata.

Adesione al servizio TCS/SSL

Indicazioni generali

L’adesione al servizio e l’uso dei certificati sono regolati dalle norme contenuti nei documenti Certificate Practice Statement (CPS) e associati (pubblicati in https://wiki.geant.org/display/TCSNT/TCS+wiki+%282025%29+HARICA), che si accettano integralmente;
Usare i certificati solamente per i propri scopi istituzionali, in conformità con quanto previsto delle AUP del GARR e dal CPS;
Il Consortium GARR e HARICA possono revocare senza preavviso i certificati emessi, secondo quanto specificato nel CPS;
Impegnarsi a far pervenire con la massima sollecitudine al Centro Servizi Informatici le richieste di revoca dei certificati sospettati di essere stati compromessi o non più in regola con le politiche del CPS;
HARICA o il Consortium GARR si riservano il diritto di revocare certificati emessi, secondo quanto indicato nel CPS;
Impegnarsi a far cessare l’utilizzo di certificati scaduti o revocati;
Cos’è una CSR

Registrazione sul portale Harica

In via preliminare, per accedere a questo servizio, i tecnici della struttura devono registrarsi sul portale Harica, come "Enterprise User" UNIPD. Per “Enterprise User” (@unipd.it) si intende il ruolo non amministrativo assegnato ad ogni nuovo utente che si registra nel portale HARICA e che può solo iniziare la richiesta di certificati.

Questa operazione va fatta solo la prima volta che si chiede l'adesione al servizio. Per farlo seguire le istruzioni riportate in questa pagina del sito ASIT.

Ogni utente registrato nel portale Harica, verrà automaticamente associato all’Enterprise UNIPD se la sua email ha il dominio @unipd.it.

Richiesta certificato (CSR)

Si tenga presente che per generare una richiesta di certificato (Certificate Signing Request - CSR):

lo spazio dei nomi dei certificati rilasciati dal servizio TCS è della forma C= IT/O= Università degli Studi di Padova/CN= FQDN del server;
il campo OU è stato rimosso dai certificati emessi a partire da Luglio 2022: non va quindi incluso nella CSR;
è fortemente raccomandato usare solo i primi 127 caratteri ASCII per il campo O, evitando le accentate (Universita, non Università), per evitare problemi in fase di emissione del certificato;
altri campi eventualmente inclusi nella CSR saranno ignorati;
il FQDN del server deve appartenere a un dominio indicato nella Dichiarazione del responsabile della struttura;
come indirizzo di posta elettronica (facoltativo, ma consigliato) può essere indicato uno di servizio (es: servizio.calcolo@dip.unipd.it).

Per creare la CSR e la relativa chiave si può utilizzare il seguente comando openssl, che genera una chiave privata a 3072 bit (server.key) in formato pem e la richiesta di certificato (server.csr) in formato pem:

openssl req -nodes -newkey rsa:3072 -keyout myserver.key -out server.csr -subj "/C=IT/CN=mysubdomain.mydomain.unipd.it"

Comando openssl per visualizzare il contenuto della richiesta:

openssl req -in server.csr -noout -text

Inoltrare la richiesta di certificato

La procedura per l'emissione del certificato SSL non richiede più l'apertura di un ticket nel sistema di Helpdesk di Ateneo.

Va invece inziata sul portale Harica, a cura di un “Enterprise User” registrato sul portale Harica.

Una volta registrati, iniziare la procedura di richiesta dei certificati seguendo le istruzioni riportate in questa pagina, inserire i dati, caricare la csr e tutte le informazioni richieste.

Alla fine del processo la richiesta verrà automaticamente inoltrata per l'appovazione.

NOTA IMPORTANTE:

In questo momento NON è possibile auto approvare i certificati (principale differenza con Sectigo) e creare sottodomini, per cui le richieste devono essere approvate da un “approver”, attualmente composto da un gruppo ristretto di persone di ASIT. Nel momento in cui Harica implementerà il sistema con la creazione dei sottogruppi, verranno attivate le analoghe funzionalità dei precedenti DRAO di Sectigo.

Per ulteriori informazioni aprire un ticket Helpdesk dell’Amministrazione Centrale nell’area Servizi Informatici e Telematici, sottoarea Ufficio Infrastruttura e telecomunicazioni, coda _Richiesta Certificati SSL

Certificati multidominio

Nel caso di certificati multidominio (più nomi di dominio nello stesso certificato), la procedura rimane la stessa. Inserire il nome principale nella CSR, e tutti gli alias richiesti nel forma di richiesta harica, nel campo " + Add more domains". HARICA non supporta l'inserimento degli "Alternate names" nella CSR. Attenzione: Harica supporta un numero massimo di 100 Alternate names, per ogni dominio.

Certificati in scadenza

Raccomandiamo di non aspettare l'ultimo giorno per inoltrare la richiesta di rinnovo di un certificato. Per quanto —in genere— la risposta sia pressoché immediata, in molte occasioni la CA può metterci anche 2 giorni per emettere un certificato, e in questo caso, ASIT non ha modo di intervenire.

Come fare per...

Per il supporto effettuare una richiesta tramite il sistema di helpdesk di Ateneo selezionando area tematica “AREA SERVIZI INFORMATICI E TELEMATICI - ASIT” ->ufficio 'INFRASTRUTTURA, SISTEMI E TELECOMUNICAZIONI'-> coda '_Richiesta Certificati SSL'.

NB tutti i ticket devono essere aperti accedendo all'helpdesk con profilo Utente Istituzionale @unipd.it.

Data creazione: 21/05/2021 - 14:53
Ultima modifica: 18/03/2025 - 10:11

Area Servizi Informatici e Telematici - ASIT

Progetti

Servizi

Organizzazione

EN