Differences

This shows you the differences between two versions of the page.

--- cn:ccr:x509:home:utenti:personale [2020/05/26 10:41] – created veraldi@infn.it
+++ cn:ccr:x509:home:utenti:personale [2023/10/06 08:22] (current) – enrico@infn.it
@@ Line 1: / Line 1: @@
+====== Certificati Personali ======
+===== Limite numero certificati personali =====
+<del>Sectigo permette l'esistenza contemporanea di al massimo DUE certificati per ogni tipo per ogni persona. Alla richiesta del terzo certificato, il primo viene revocato automaticamente.
+La revoca avviene prima del rilascio del nuovo e quindi se il processo di rilascio va in errore, si rischia di rimanere senza certificati validi.</del>
+Sembra che quanto sopra non sia più vero. "Sembra" perché il GARR ha chiesto di portare a 5 il numero massimo di certificati, però da prove fatte da Barbara Monticini il certificato n. 1 non viene immediatamente revocato all'emissione del certificato n.6.
+Non essendoci certezze, in ogni caso, vi consigliamo di non esagerare con il numero di certificati ;-)
+====== Nuova CA (privata) per i certificati GRID ======
+I nuovi certificati "GRID"  sono rilasciati da una Certification Authority privata il cui subject è:
+  * Subject: C = NL, O = GEANT Vereniging, CN = GEANT TCS Authentication RSA CA 4B
+ed è firmato dalla CA
+  * Issuer: O = Research and Education Trust, CN = Research and Education Trust RSA Root CA
+Tale CA non fa parte delle Root CA installate per default all'interno dei vari sistemi e quindi, anche se i certificati personali GRID
+possono essere utilizzato anche per firmare e cifrare e-mail, questo porterebbe ad un errore (o warning) nel Mail User Agent, se il sistema (o il MUA) non è configurato opportunamente.
+===== Come richiedere un certificato personale =====
+  * Aprire il proprio Web Browser e aprire la URL [[https://cert-manager.com/customer/GARR/idp/clientgeant|https://cert-manager.com/customer/GARR/idp/clientgeant]]
+  * Cercare INFN e autenticarsi sul portale IdP di AAI {{:cn:ccr:x509:home:screenshot_2020-05-11_at_12.38.52.png?nolink&400|}}
+  * Vi troverete di fronte a una schermata di questo tipo: {{:cn:ccr:x509:home:screenshot_2023-09-21_at_11.12.57.png?nolink&600|}}
+  * Il proprio indirizzo email viene automaticamente ereditato come attributo dall'IdP INFN.
+  * Dal menu a tendina è possibile selezionare due tipi di certificati "GRID":
+    * **GEANT Personal Authentication** per ottenere un certificato personale GRID
+    * **GEANT Personal Automated Authentication** per ottenere un certificato //GRID Robot//
+  * Un tipo di certificato S/MIME
+    * **GEANT Personal email signing and encryption**
+  - Certificato GRID personale: **GEANT Personal Authentication** (la validità è fissata ad un anno)                   {{:cn:ccr:x509:home:screenshot_2023-07-06_at_10.50.24.png?nolink&300|}}
+  - Certificato GRID robot **GEANT Personal Automated Authentication**  (la validità è fissata ad un anno)                       {{:cn:ccr:x509:home:screenshot_2023-07-06_at_10.50.39.png?nolink&300|}}
+  - Certificato personale **GEANT Personal email signing and encryption** (si può scegliere come validità fino a DUE anni) {{{:cn:ccr:x509:home:screenshot_2023-09-21_at_11.12.57.png?nolink&300|}}
+====== Enrollment Method ======
+Per poter ottenere un certificato è necessario generare una richiesta, con relativa chiave privata. Questa generazione può essere effettuata in autonomia utilizzando i comandi OpenSSL (metodo CSR) oppure, per chi non è pratico di tali comandi, può essere delegata al servizio ceri-manager di Sectigo (metodo Key Generation).
+===== Key Generation =====
+Con questo metodo il server di ceri-manager genera la coppia chiave-richiesta, firma la richiesta e restituisce il certificato in un file formato .p12 che sarà protetto dalla password che inserirete nell'apposito form, e conterrà sia la chiave privata che il certificato.
+  * Selezionare RSA come tipo di chiave privata (Generate RSA)
+{{:cn:ccr:x509:home:screenshot_2020-05-14_at_11.33.49.png?nolink&300|}}
+  * Inserire la password che serve per proteggere e IMPORTARE successivamente il certificato nel proprio browser
+{{:cn:ccr:x509:home:screenshot_2020-05-14_at_11.33.58.png?nolink&300|}}
+  * Dopo alcuni istanti vi sara' rilasciato il certificato e richiesto di salvare il vostro certificato o di importarlo nel browser {{:cn:ccr:x509:home:screenshot_2020-05-11_at_12.41.08.png?nolink&600|}}
+===== CSR =====
+Questa è una operazione che richiede l’accesso ad una finestra terminale di un sistema nel quale sia installata la suite openssl. Tale suite è normalmente installata nei sistemi Unix (Linux, macOS) ma potrebbe essere disponibile anche su sistemi windows.
+Il comando openssl
+<code>
+openssl req -newkey rsa:2048 -keyout cert-key.pem -out cert-csr.pem -subj "/CN=<commonName>"
+</code>
+genera due file in formato PEM:
+  * uno contenente la richiesta (o CSR): cert-csr.pem
+  * uno contenente la chiave privata (o key) che deve essere mantenuta segreta: cert-key.pem
+**Nota Bene**
+Nella linea di comando riportata sopra, il valore del parametro <commonName> dovrà essere:
+  *per i certificati **personali** il “Nome Cognome” completo, come riportato nell’identità digitale in GODiVA (es:. “/CN=Enrico Maria Vincenzo Fasanelli”)
+  *per i certificati **GRID** il valore “Nome Cognome” completo come sopra seguito dal proprio ePPN (eduPersonPrincipalName) che è la concatenazione dell proprio UID e di “@infn.it” (es:. “/CN=Enrico Maria Vincenzo Fasanelli enrico@infn.it”)
+Per chi volesse approfondire, il GARR ha pubblicato [[https://wiki.idem.garr.it/wiki/GARRCS:GARR-TCS-4#Richiesta_Client_Certificate_con_portale_self-service_via_SAML|queste istruzioni]] disponibili sulla wiki del GARR e specifici video-tutorial [[https://www.servizi.garr.it/cs/certificati-personali|disponibili in questa pagina]] (cercare la sezione "Generare un certificato con CSR")
+====== Installazione del certificato ======
+Una vista scaricato il certificato deve essere installato nel browser
+  * Una volta importato verificate che compaia nella lista dei certificati personali all'interno della gestione certificati del vostro browser {{:cn:ccr:x509:home:screenshot_2020-05-11_at_12.42.54.png?nolink&600|}}