Sectigo permette l'esistenza contemporanea di al massimo DUE certificati per ogni tipo per ogni persona. Alla richiesta del terzo certificato, il primo viene revocato automaticamente. La revoca avviene prima del rilascio del nuovo e quindi se il processo di rilascio va in errore, si rischia di rimanere senza certificati validi.

Sembra che quanto sopra non sia più vero. "Sembra" perché il GARR ha chiesto di portare a 5 il numero massimo di certificati, però da prove fatte da Barbara Monticini il certificato n. 1 non viene immediatamente revocato all'emissione del certificato n.6.

Non essendoci certezze, in ogni caso, vi consigliamo di non esagerare con il numero di certificati

I nuovi certificati "GRID" sono rilasciati da una Certification Authority privata il cui subject è:

• Subject: C = NL, O = GEANT Vereniging, CN = GEANT TCS Authentication RSA CA 4B

ed è firmato dalla CA

• Issuer: O = Research and Education Trust, CN = Research and Education Trust RSA Root CA

Tale CA non fa parte delle Root CA installate per default all'interno dei vari sistemi e quindi, anche se i certificati personali GRID possono essere utilizzato anche per firmare e cifrare e-mail, questo porterebbe ad un errore (o warning) nel Mail User Agent, se il sistema (o il MUA) non è configurato opportunamente.

• Aprire il proprio Web Browser e aprire la URL https://cert-manager.com/customer/GARR/idp/clientgeant

• Cercare INFN e autenticarsi sul portale IdP di AAI

• Vi troverete di fronte a una schermata di questo tipo:

• Il proprio indirizzo email viene automaticamente ereditato come attributo dall'IdP INFN.

• Dal menu a tendina è possibile selezionare due tipi di certificati "GRID":
  • GEANT Personal Authentication per ottenere un certificato personale GRID
  • GEANT Personal Automated Authentication per ottenere un certificato GRID Robot
• Un tipo di certificato S/MIME
  • GEANT Personal email signing and encryption

1. Certificato GRID personale: GEANT Personal Authentication (la validità è fissata ad un anno)
2. Certificato GRID robot GEANT Personal Automated Authentication (la validità è fissata ad un anno)
3. Certificato personale GEANT Personal email signing and encryption (si può scegliere come validità fino a DUE anni)

Per poter ottenere un certificato è necessario generare una richiesta, con relativa chiave privata. Questa generazione può essere effettuata in autonomia utilizzando i comandi OpenSSL (metodo CSR) oppure, per chi non è pratico di tali comandi, può essere delegata al servizio ceri-manager di Sectigo (metodo Key Generation).

Con questo metodo il server di ceri-manager genera la coppia chiave-richiesta, firma la richiesta e restituisce il certificato in un file formato .p12 che sarà protetto dalla password che inserirete nell'apposito form, e conterrà sia la chiave privata che il certificato.

• Selezionare RSA come tipo di chiave privata (Generate RSA)

• Inserire la password che serve per proteggere e IMPORTARE successivamente il certificato nel proprio browser

• Dopo alcuni istanti vi sara' rilasciato il certificato e richiesto di salvare il vostro certificato o di importarlo nel browser

Questa è una operazione che richiede l’accesso ad una finestra terminale di un sistema nel quale sia installata la suite openssl. Tale suite è normalmente installata nei sistemi Unix (Linux, macOS) ma potrebbe essere disponibile anche su sistemi windows.

Il comando openssl

openssl req -newkey rsa:2048 -keyout cert-key.pem -out cert-csr.pem -subj "/CN=<commonName>"

genera due file in formato PEM:

• uno contenente la richiesta (o CSR): cert-csr.pem
• uno contenente la chiave privata (o key) che deve essere mantenuta segreta: cert-key.pem

Nota Bene

Nella linea di comando riportata sopra, il valore del parametro <commonName> dovrà essere:

• per i certificati personali il “Nome Cognome” completo, come riportato nell’identità digitale in GODiVA (es:. “/CN=Enrico Maria Vincenzo Fasanelli”)
• per i certificati GRID il valore “Nome Cognome” completo come sopra seguito dal proprio ePPN (eduPersonPrincipalName) che è la concatenazione dell proprio UID e di “@infn.it” (es:. “/CN=Enrico Maria Vincenzo Fasanelli enrico@infn.it”)

Per chi volesse approfondire, il GARR ha pubblicato queste istruzioni disponibili sulla wiki del GARR e specifici video-tutorial disponibili in questa pagina (cercare la sezione "Generare un certificato con CSR")

Una vista scaricato il certificato deve essere installato nel browser

• Una volta importato verificate che compaia nella lista dei certificati personali all'interno della gestione certificati del vostro browser