Sectigo permette l'esistenza contemporanea di al massimo DUE certificati per ogni tipo per ogni persona. Alla richiesta del terzo certificato, il primo viene revocato automaticamente.
La revoca avviene prima del rilascio del nuovo e quindi se il processo di rilascio va in errore, si rischia di rimanere senza certificati validi.
Sembra che quanto sopra non sia più vero. "Sembra" perché il GARR ha chiesto di portare a 5 il numero massimo di certificati, però da prove fatte da Barbara Monticini il certificato n. 1 non viene immediatamente revocato all'emissione del certificato n.6.
Non essendoci certezze, in ogni caso, vi consigliamo di non esagerare con il numero di certificati
I nuovi certificati "GRID" sono rilasciati da una Certification Authority privata il cui subject è:
ed è firmato dalla CA
Tale CA non fa parte delle Root CA installate per default all'interno dei vari sistemi e quindi, anche se i certificati personali GRID possono essere utilizzato anche per firmare e cifrare e-mail, questo porterebbe ad un errore (o warning) nel Mail User Agent, se il sistema (o il MUA) non è configurato opportunamente.
Per poter ottenere un certificato è necessario generare una richiesta, con relativa chiave privata. Questa generazione può essere effettuata in autonomia utilizzando i comandi OpenSSL (metodo CSR) oppure, per chi non è pratico di tali comandi, può essere delegata al servizio ceri-manager di Sectigo (metodo Key Generation).
Con questo metodo il server di ceri-manager genera la coppia chiave-richiesta, firma la richiesta e restituisce il certificato in un file formato .p12 che sarà protetto dalla password che inserirete nell'apposito form, e conterrà sia la chiave privata che il certificato.
Questa è una operazione che richiede l’accesso ad una finestra terminale di un sistema nel quale sia installata la suite openssl. Tale suite è normalmente installata nei sistemi Unix (Linux, macOS) ma potrebbe essere disponibile anche su sistemi windows.
Il comando openssl
openssl req -newkey rsa:2048 -keyout cert-key.pem -out cert-csr.pem -subj "/CN=<commonName>"
genera due file in formato PEM:
Nota Bene
Nella linea di comando riportata sopra, il valore del parametro <commonName> dovrà essere:
Per chi volesse approfondire, il GARR ha pubblicato queste istruzioni disponibili sulla wiki del GARR e specifici video-tutorial disponibili in questa pagina (cercare la sezione "Generare un certificato con CSR")
Una vista scaricato il certificato deve essere installato nel browser