Come Richiedere un certificato X509 per un server

Di seguito le istruzioni per richiedere un certificato X509 per host/server.

Esistono diversi tipi di certificato:

• GÉANT OV Multi-Domain: Certificato Organization Validated che puo' avere nomi multipli aggiuti in X509v3 Subject Alternative Name. E' generalmente il certificato X509 standard che si richiede di solito
• GÉANT EV Multi-Domain: Certificato Extended Validation (Validazione Estesa). Per ottenere questo tipo di certificato il centro di certificazione verifica l’esistenza legale (presenza in un registro pubblico) e fisica (presenza in un catalogo online riconosciuto) dell’Ente che lo richiede. Non verranno richiesti singoli certificati EV ma la procedura e' di avere un Anchor EV certificate che servira' a validare in modo veloce richieste di certificato EV. Questo tipo di certificato non e' direttamente selezionabile dal menu' ma deve essere fatta esplicita richiesta a tcs-admin@lists.infn.it
• GÉANT IGTF Multi-Domain: Certificato X509 compliant con i requirement IGTF, ovvero certificato di tipo GRID
• GÉANT Wildcard SSL: Certificato wildcard che permette di certificare un intero dominio. Viene solo rilasciato in casi di effettiva necessita' previa richiesta di abilitazione a tcs-admin@lists.infn.it

• preparare la richiesta di certificato. Ad esempio per l'host server.sez.infn.it

<html> <pre> openssl req -nodes -newkey rsa:3072 -out server.csr -keyout server.key -subj "/C=IT/O=Istituto Nazionale di Fisica Nucleare/CN=server.sez.infn.it" </pre> </html>

dove server.csr conterra' la richiesta di certificato e server.key la chiave privata. E' IMPORTANTE notare che nella richiesta DEVE essere inserito il campo OU=Dipartimento, dove Dipartimento equivale alla propria Sezione, Laboratorio, Gruppo Collegato, ecc. come definito dalla tabella ufficiale Ad esempio per un host chiamato server.roma2.infn.it il Dipartimento ovvero campo OU=Roma Tor Vergata. Per un host chiamato server.bo.infn.it il Dipartimento overo campo OU=Bologna. Nel caso in cui si necessiti di un certificato con nomi multipli allora e' possibile aggiungere questi nel CSR generato da openssl aggiungendo al comando precedente -addext. Per esempio se server.sez.infn.it ha anche un alias (CNAME) www.server.sez.infn.it e anche un ulteriore alias serverb.sez.infn.it i nomi devono essere aggiunti dopo -addtext come nell'esempio riportato seperati da virgola con il prefissio tag DNS (ATTENZIONE L'OPZIONE -addtext E' SUPPORTATA A PARTIRE DA openssl 1.1.1): <html> <pre> openssl req -nodes -newkey rsa:3072 -out server.csr -keyout server.key -subj "/C=IT/O=Istituto Nazionale di Fisica Nucleare/CN=server.sez.infn.it" -addext "subjectAltName = DNS:www.server.sez.infn.it, DNS:serverb.sez.infn.it" </pre> </html>

I nomi multipli possono anche essere omessi in questa fase e inseriti direttamente nella form opportuna sul portale SCM in fase di inserimento della richiesta di certificato.

• Accedere al portale SCM (sectigo)

• Accedere a Settings→Departments e potete notare il nome del Dipartimento che amministrate

• Accedere a Certificates→SSL Certificates→Add

• Proseguire con Manual Creation of CSR e successivamente Next (pulsante in basso a destra)

• Inserire il contenuto del file server.csr ovvero fare l'upload del file e successivamente Next

• Selezionare il proprio Department di competenza. ATTENZIONE che possono esserci amministratori DRAO che hanno competenza su piu' Department, quindi assicurarsi di scegliere il Department corretto corrispondente al campo OU nella richiesta che e' stata creata con openssl. Selezionare il tipo di certificato (il piu' comunemente utilizzato e' GEANT OV Multi-Domain oppure GEANT IGTF Multi-Domain), selezionare la durata del certificato (Certificate Term) e verificare che il Common Name (CN) che compare corrisponda correttamente al nome del server per il quale richiedete il certificato. Se il server ha nomi multipli che non sono stati inclusi nella fase di generazione del CSR con il comando openssl allora si possono inserire i nomi alternativi nella finestra Subject Alternative Name separati da VIRGOLA. Alternativamente se i nomi multipli (alternativi) sono stati inseriti nel CSR, copariranno automaticamente nella suddetta finestra. Controllare che siano corretti ed eventualmente modificateli. Se il server NON HA nomi multipli allora LACIARE LA FINESTRA VUOTA, priva di contenuto e non scrivere nulla. Selezionare il tipo di software per il quale si vuole installare il certificato. Vi sono varie opzioni, quella piu' comune/generica e' Apache/ModSSL. Continuare inserendo uno o piu' External Requester, ovvero l'indirizzo email dell'utente che vi ha richiesto il certificato (puo' essere anche una mailing list) . ATTENZIONE AL PASSO SUCCESSIVO non proseguire ancora su Next

.

• Cliccare su Click Here for advanced options e settare la spunta ovvero eliminare Address1, State or Province e Postal Code ovvero lasciare OBBLIGATORIAMENTE il campo City. Se non si fa questo i certificati IGTF (GRID) risulteranno NON COMPLIANT

• proseguire con Next e si consiglia di NON ABILITARE il rinnovo automatico. Infine ultimmare la procedura con il tasto in basso a destra

• Tipicamente entro pochi minuti la richiesta sara' approvata automaticamente e sara' inviato una e-mail proveniente da support@cert-manager.com all'External Requester e al DRAO dell'avvenuta emissione del certificato con le istruzioni per scaricarlo. Si consiglia di scaricare solo il certificato per l'host richiesto, nella mail che si riceve viene inidcato come Certificate only, PEM encoded. Successivamente poi si puo' scaricare il certificato della Intermediate CA (GEANT) relativa alla tipologia di certificato che si e' richiesto. Per certificati GÉANT OV Multi-Domain la CA e' GEANT OV RSA CA 4, per i certificati GÉANT IGTF Multi-Domain la CA e' GEANT eScience SSL CA 4. In Particolare per i certificati IGTF si consiglia di installare il pacchetto ca-policy-egi-core e di seguire le istruzioni EGI IGTF Release
• Il DRAO puo' anche scaricare il certificato dall'interfaccia di Sectigo (SCM) andando in Certificates e dalla lista selezionare il CN desiderato, selezionare Details e successivamente Select