Certificati SSL
Richiesta di certificati server SSL per i domini di ateneo
(riservato a Dipartimenti, Centri, Scuole e Strutture)
Il nostro ateneo ha aderito al servizio Trusted Certificate Service (TCS) offerto da GARR per la richiesta di certificati server SSL emessi dalla Certification Authority Sectigo, riconosciuta dalla maggior parte dei browser. Per i dettagli consultare il sito GARR Certification Authority - Istruzioni per certificati server TCS.
Richiesta dell’autorizzazione per i tecnici
In via preliminare, per accedere a questo servizio, il/la Responsabile della struttura deve compilare il modulo (allegato) con indicazione dei nominativi che saranno autorizzati alla richiesta di certificati e i nomi dei domini in carico alla struttura. Questa operazione va fatta solo la prima volta che si chiede l'adesione al servizio. Per farlo compilare l’apposito modulo (in fondo a questa pagina) e inviarlo in allegato a una richiesta helpdesk nella coda: AREA SERVIZI INFORMATICI E TELEMATICI - ASIT::UFFICIO INFRASTRUTTURA SISTEMI E TELECOMUNICAZIONI::_Richiesta Certificati SSL.
Richiesta di Certificato (Certificate Signing Request - CSR)
Indicazioni generali
- Dichiarare di essere a conoscenza che l’adesione al servizio e l’uso dei certificati sono regolati dalle norme contenuti nei documenti Certificate Practice Statement (CPS) e associati (pubblicati in https://wiki.geant.org/display/TCSNT/TCS+Repository), che si accettano integralmente;
- Impegnarsi a che l’Organizzazione usi i certificati solamente per i propri scopi istituzionali, in conformità con quanto previsto delle AUP del GARR e dal CPS;
- Essere consapevole che il Consortium GARR e SECTIGO possono revocare senza preavviso i certificati emessi, secondo quanto specificato nel CPS;
- Impegnarsi a far pervenire con la massima sollecitudine al Centro Servizi Informatici le richieste di revoca dei certificati sospettati di essere stati compromessi o non più in regola con le politiche del CPS;
- Essere consapevole che SECTIGO o il Consortium GARR si riservano il diritto di revocare certificati emessi per la mia struttura, secondo quanto indicato nel CPS;
- Impegnarsi a far cessare l’utilizzo di certificati scaduti o revocati;
- Cos’è una CSR
Richiesta certificato (CSR)
Generare una richiesta di certificato (Certificate Signing Request - CSR), per i dettagli si rimanda alle istruzioni fornite da GARR CA. In ogni caso si tenga presente che:
- lo spazio dei nomi dei certificati rilasciati dal servizio TCS è della forma C=IT/O=Università degli Studi di Padova/CN=FQDN del server;
- il campo OU è stato rimosso dai certificati emessi a partire da Luglio 2022: non va quindi incluso nella CSR;
- è fortemente raccomandato usare solo i primi 127 caratteri ASCII per il campo O, evitando le accentate (Universita, non Università), per evitare problemi in fase di emissione del certificato;
- altri campi eventualmente inclusi nella CSR saranno ignorati;
- il FQDN del server deve appartenere a un dominio indicato nella Dichiarazione del responsabile della struttura;
- come indirizzo di posta elettronica (facoltativo, ma consigliato) può essere indicato uno di servizio (es: servizio.calcolo@dip.unipd.it).
Per creare la CSR e la relativa chiave si può utilizzare il seguente comando openssl, che genera una chiave privata a 3072 bit (server.key) in formato pem e la richiesta di certificato (server.csr) in formato pem:
openssl req -nodes -newkey rsa:3072 -keyout myserver.key -out server.csr -subj "/C=IT/CN=mysubdomain.mydomain.unipd.it"
Comando openssl per visualizzare il contenuto della richiesta:
openssl req -in server.csr -noout -text
Certificati multidominio
Nel caso di certificati multidominio (più nomi di dominio nello stesso certificato), la procedura rimane la stessa. Inserire il nome principale nella CSR, e tutti gli alias richiesti nel ticket helpdesk.
Certificati in scadenza
Raccomandiamo di non aspettare l'ultimo giorno per inoltrare la richiesta di rinnova di un certificato. Per quanto —in genere— la risposta sia pressoché immediata, in molte occasioni la CA può metterci anche 2 giorni per emettere un certificato, e in questo caso, ASIT non ha modo di intervenire.
Inoltrare la richiesta
Creata la CSR aprire un ticket Helpdesk dell’Amministrazione Centrale nell’area Servizi Informatici e Telematici, sottoarea Ufficio Infrastruttura e telecomunicazioni, coda _Richiesta Certificati SSL, specificando il dominio per cui si richiede il certificato, i suoi eventuali alias, un indirizzo di posta elettronica di servizio associato alla CSR (in assenza di questo verrà inserito quello della persona che apre il ticket), e inserendo fra gli allegati il file pem contenente la CSR.
La richiesta verrà processata e il certificato, appena pronto, verrà allegato nella chiusura del ticket Helpdesk.
Per ulteriori informazioni aprire un ticket Helpdesk dell’Amministrazione Centrale nell’area Servizi Informatici e Telematici, sottoarea Ufficio Infrastruttura e telecomunicazioni, coda _Richiesta Certificati SSL
Gestione autonoma certificati SSL
Nel caso la mole di servizi e di conseguenza di certificati ssl che vengono gestiti da un dipartimento sia elevata, è consigliato richiedere la nomina a DRAO (Department Registration Authority Officer) per uno o più tecnici,
di modo che i certificati possano essere gestiti in autonomia.
Per fare questo:
Far aprire personalmente dal direttore un ticket helpdesk sulla coda dei certificati ssl (AREA SERVIZI INFORMATICI E TELEMATICI - ASIT::UFFICIO INFRASTRUTTURA SISTEMI E TELECOMUNICAZIONI::_Richiesta Certificati SSL),
con una richiesta formulata più o meno in questi termini:
Oggetto: "Richiesta ruolo DRAO per il DIPARTIMENTO DI NOMEDIP"
Buongiorno, chiedo che sia assegnato il ruolo di DRAO (Department Registration
Authority Officer) per il DIPARTIMENTO DI NOMEDIP a nome cognome dei tecnici interessati.Indicare i domini per cui si chiede il ruolo di DRAO.
Il Direttore
Una volta abilitati si è autonomi nella gestione dei certificati, nell'aggiunto o rimozione di altri DRAO, e nella creazone di account ACME.
Il protocollo ACME, Automated Certificate Management Environment, è uno standard IETF (RFC 8555) per la gestione automatizzata dei certificati X.509.
Il client di riferimento per l'uso di Let's Encrypt e del protocollo ACME è certbot ed è l'unico attualmente supportato da Sectigo, almeno in forma ufficiale.
Tutte le informazioni si trovano sul wiki del GARR https://wiki.idem.garr.it/wiki/GARRCS:GARR-TCS-4.
Come fare per...
Per il supporto effettuare una richiesta tramite il sistema di helpdesk di Ateneo selezionando area tematica “AREA SERVIZI INFORMATICI E TELEMATICI - ASIT” ->ufficio 'INFRASTRUTTURA, SISTEMI E TELECOMUNICAZIONI'-> coda '_Richiesta Certificati SSL'.
NB tutti i ticket devono essere aperti accedendo all'helpdesk con profilo Utente Istituzionale @unipd.it.
Ultima modifica: 05/09/2024 - 11:23