====== Come Richiedere un certificato X509 per un server ====== Di seguito le istruzioni per richiedere un certificato X509 per host/server. Esistono diversi tipi di certificato: * **GÉANT OV Multi-Domain**: Certificato Organization Validated che puo' avere nomi multipli aggiuti in X//509v3 Subject Alternative Name//. E' generalmente il certificato X509 standard che si richiede di solito * **GÉANT EV Multi-Domain**: Certificato Extended Validation (Validazione Estesa). Per ottenere questo tipo di certificato il centro di certificazione verifica l’esistenza legale (presenza in un registro pubblico) e fisica (presenza in un catalogo online riconosciuto) dell’Ente che lo richiede. Non verranno richiesti singoli certificati EV ma la procedura e' di avere un Anchor EV certificate che servira' a validare in modo veloce richieste di certificato EV. Questo tipo di certificato non e' direttamente selezionabile dal menu' ma deve essere fatta esplicita richiesta a tcs-admin@lists.infn.it * **GÉANT IGTF Multi-Domain**: Certificato X509 compliant con i requirement IGTF, ovvero certificato di tipo GRID * **GÉANT Wildcard SSL**: Certificato wildcard che permette di certificare un intero dominio. Viene solo rilasciato in casi di effettiva necessita' previa richiesta di abilitazione a tcs-admin@lists.infn.it ===== Come effetture la richiesta ===== * preparare la richiesta di certificato. Ad esempio per l'host //server.sez.infn.it//
openssl req -nodes -newkey rsa:3072 -out server.csr -keyout server.key -subj "/C=IT/O=Istituto Nazionale di Fisica Nucleare/CN=server.sez.infn.it"dove **server.csr** conterra' la richiesta di certificato e **server.key** la chiave privata.
openssl req -nodes -newkey rsa:3072 -out server.csr -keyout server.key -subj "/C=IT/O=Istituto Nazionale di Fisica Nucleare/CN=server.sez.infn.it" -addext "subjectAltName = DNS:www.server.sez.infn.it, DNS:serverb.sez.infn.it"I nomi multipli possono anche essere omessi in questa fase e inseriti direttamente nella form opportuna sul portale SCM in fase di inserimento della richiesta di certificato. * [[cn:ccr:x509:home:DRAO:SCM|Accedere al portale SCM (sectigo)]] * Accedere a //Settings->Departments// e potete notare il nome del Dipartimento che amministrate {{:cn:ccr:x509:home:drao:screenshot_2020-05-08_at_15.50.27.png?nolink&600|}} * Accedere a //Certificates->SSL Certificates->Add// {{:cn:ccr:x509:home:drao:screenshot_2020-05-08_at_15.50.57.png?nolink&600|}} * Proseguire con //Manual Creation of CSR// e successivamente //Next// (pulsante in basso a destra){{:cn:ccr:x509:home:drao:screenshot_2020-05-08_at_15.51.16.png?nolink&600|}} * Inserire il contenuto del file **server.csr** ovvero fare l'upload del file e successivamente //Next//{{:cn:ccr:x509:home:drao:screenshot_2020-05-08_at_15.52.14.png?nolink&600|}} * Selezionare il proprio **Department** di competenza. ATTENZIONE che possono esserci amministratori DRAO che hanno competenza su piu' Department, quindi assicurarsi di scegliere il Department corretto corrispondente al campo **OU** nella richiesta che e' stata creata con openssl. Selezionare il tipo di certificato (il piu' comunemente utilizzato e' GEANT OV Multi-Domain oppure GEANT IGTF Multi-Domain), selezionare la durata del certificato (Certificate Term) e verificare che il **Common Name** (**CN**) che compare corrisponda correttamente al nome del server per il quale richiedete il certificato. Se il server ha nomi multipli che non sono stati inclusi nella fase di generazione del CSR con il comando //openssl// allora si possono inserire i nomi alternativi nella finestra **Subject Alternative Name** separati da VIRGOLA. Alternativamente se i nomi multipli (alternativi) sono stati inseriti nel CSR, copariranno automaticamente nella suddetta finestra. Controllare che siano corretti ed eventualmente modificateli. Se il server NON HA nomi multipli allora LACIARE LA FINESTRA VUOTA, priva di contenuto e non scrivere nulla. Selezionare il tipo di software per il quale si vuole installare il certificato. Vi sono varie opzioni, quella piu' comune/generica e' **Apache/ModSSL**. Continuare inserendo uno o piu' **External Requester**, ovvero l'indirizzo email dell'utente che vi ha richiesto il certificato (puo' essere anche una mailing list) . ATTENZIONE AL PASSO SUCCESSIVO non proseguire ancora su //Next// {{:cn:ccr:x509:home:drao:screenshot_2020-05-08_at_16.02.46.png?nolink&600|}}. * Cliccare su **//Click Here for advanced options//** e settare la spunta ovvero eliminare **Address1**, **State or Province** e **Postal Code** ovvero lasciare OBBLIGATORIAMENTE il campo **City**. Se non si fa questo i certificati IGTF (GRID) risulteranno NON COMPLIANT {{:cn:ccr:x509:home:drao:screenshot_2020-05-08_at_16.03.15.png?nolink&600|}} * proseguire con //Next// e si consiglia di NON ABILITARE il rinnovo automatico. Infine ultimmare la procedura con il tasto in basso a destra {{:cn:ccr:x509:home:drao:screenshot_2020-05-08_at_16.04.16.png?nolink&600|}} * Tipicamente entro pochi minuti la richiesta sara' approvata automaticamente e sara' inviato una e-mail proveniente da //support@cert-manager.com// all'External Requester e al DRAO dell'avvenuta emissione del certificato con le istruzioni per scaricarlo. Si consiglia di scaricare solo il certificato per l'host richiesto, nella mail che si riceve viene inidcato come //Certificate only, PEM encoded//. Successivamente poi si puo' scaricare il certificato della Intermediate CA (GEANT) relativa alla tipologia di certificato che si e' richiesto. Per certificati GÉANT OV Multi-Domain la CA e' [[https://crt.sh/?d=2475254782|GEANT OV RSA CA 4]], per i certificati GÉANT IGTF Multi-Domain la CA e' [[https://crt.sh/?d=2475254968|GEANT eScience SSL CA 4]]. In Particolare per i certificati IGTF si consiglia di installare il pacchetto ca-policy-egi-core e di seguire le istruzioni [[https://wiki.egi.eu/wiki/EGI_IGTF_Release|EGI IGTF Release]] * Il DRAO puo' anche scaricare il certificato dall'interfaccia di Sectigo (SCM) andando in //Certificates// e dalla lista selezionare il CN desiderato, selezionare //Details// e successivamente //Select//