Come Richiedere un certificato X509 per un server

Di seguito le istruzioni per richiedere un certificato X509 per host/server.

Esistono diversi tipi di certificato:

Come effetture la richiesta

<html> <pre> openssl req -nodes -newkey rsa:3072 -out server.csr -keyout server.key -subj "/C=IT/O=Istituto Nazionale di Fisica Nucleare/CN=server.sez.infn.it" </pre> </html>

dove server.csr conterra' la richiesta di certificato e server.key la chiave privata. E' IMPORTANTE notare che nella richiesta DEVE essere inserito il campo OU=Dipartimento, dove Dipartimento equivale alla propria Sezione, Laboratorio, Gruppo Collegato, ecc. come definito dalla tabella ufficiale Ad esempio per un host chiamato server.roma2.infn.it il Dipartimento ovvero campo OU=Roma Tor Vergata. Per un host chiamato server.bo.infn.it il Dipartimento overo campo OU=Bologna. Nel caso in cui si necessiti di un certificato con nomi multipli allora e' possibile aggiungere questi nel CSR generato da openssl aggiungendo al comando precedente -addext. Per esempio se server.sez.infn.it ha anche un alias (CNAME) www.server.sez.infn.it e anche un ulteriore alias serverb.sez.infn.it i nomi devono essere aggiunti dopo -addtext come nell'esempio riportato seperati da virgola con il prefissio tag DNS (ATTENZIONE L'OPZIONE -addtext E' SUPPORTATA A PARTIRE DA openssl 1.1.1): <html> <pre> openssl req -nodes -newkey rsa:3072 -out server.csr -keyout server.key -subj "/C=IT/O=Istituto Nazionale di Fisica Nucleare/CN=server.sez.infn.it" -addext "subjectAltName = DNS:www.server.sez.infn.it, DNS:serverb.sez.infn.it" </pre> </html>

I nomi multipli possono anche essere omessi in questa fase e inseriti direttamente nella form opportuna sul portale SCM in fase di inserimento della richiesta di certificato.

.