cn:ccr:x509:home:utenti:personale
Differences
This shows you the differences between two versions of the page.
Next revision | Previous revision | ||
cn:ccr:x509:home:utenti:personale [2020/05/26 10:41] – created veraldi@infn.it | cn:ccr:x509:home:utenti:personale [2023/10/06 08:22] (current) – enrico@infn.it | ||
---|---|---|---|
Line 1: | Line 1: | ||
+ | |||
+ | |||
+ | ====== Certificati Personali ====== | ||
+ | |||
+ | ===== Limite numero certificati personali ===== | ||
+ | |||
+ | < | ||
+ | |||
+ | La revoca avviene prima del rilascio del nuovo e quindi se il processo di rilascio va in errore, si rischia di rimanere senza certificati validi.</ | ||
+ | |||
+ | Sembra che quanto sopra non sia più vero. " | ||
+ | |||
+ | Non essendoci certezze, in ogni caso, vi consigliamo di non esagerare con il numero di certificati ;-) | ||
+ | |||
+ | ====== Nuova CA (privata) per i certificati GRID ====== | ||
+ | |||
+ | I nuovi certificati " | ||
+ | |||
+ | * Subject: C = NL, O = GEANT Vereniging, CN = GEANT TCS Authentication RSA CA 4B | ||
+ | |||
+ | ed è firmato dalla CA | ||
+ | |||
+ | * Issuer: O = Research and Education Trust, CN = Research and Education Trust RSA Root CA | ||
+ | |||
+ | Tale CA non fa parte delle Root CA installate per default all' | ||
+ | possono essere utilizzato anche per firmare e cifrare e-mail, questo porterebbe ad un errore (o warning) nel Mail User Agent, se il sistema (o il MUA) non è configurato opportunamente. | ||
+ | |||
+ | |||
+ | ===== Come richiedere un certificato personale ===== | ||
+ | |||
+ | |||
+ | * Aprire il proprio Web Browser e aprire la URL [[https:// | ||
+ | |||
+ | |||
+ | * Cercare INFN e autenticarsi sul portale IdP di AAI {{: | ||
+ | |||
+ | * Vi troverete di fronte a una schermata di questo tipo: {{: | ||
+ | |||
+ | |||
+ | * Il proprio indirizzo email viene automaticamente ereditato come attributo dall' | ||
+ | |||
+ | * Dal menu a tendina è possibile selezionare due tipi di certificati " | ||
+ | * **GEANT Personal Authentication** per ottenere un certificato personale GRID | ||
+ | * **GEANT Personal Automated Authentication** per ottenere un certificato //GRID Robot// | ||
+ | * Un tipo di certificato S/MIME | ||
+ | * **GEANT Personal email signing and encryption** | ||
+ | |||
+ | - Certificato GRID personale: **GEANT Personal Authentication** (la validità è fissata ad un anno) | ||
+ | - Certificato GRID robot **GEANT Personal Automated Authentication** | ||
+ | - Certificato personale **GEANT Personal email signing and encryption** (si può scegliere come validità fino a DUE anni) {{{: | ||
+ | |||
+ | |||
+ | |||
+ | ====== Enrollment Method ====== | ||
+ | |||
+ | Per poter ottenere un certificato è necessario generare una richiesta, con relativa chiave privata. Questa generazione può essere effettuata in autonomia utilizzando i comandi OpenSSL (metodo CSR) oppure, per chi non è pratico di tali comandi, può essere delegata al servizio ceri-manager di Sectigo (metodo Key Generation). | ||
+ | |||
+ | ===== Key Generation ===== | ||
+ | |||
+ | Con questo metodo il server di ceri-manager genera la coppia chiave-richiesta, | ||
+ | |||
+ | * Selezionare RSA come tipo di chiave privata (Generate RSA) | ||
+ | {{: | ||
+ | |||
+ | * Inserire la password che serve per proteggere e IMPORTARE successivamente il certificato nel proprio browser | ||
+ | {{: | ||
+ | |||
+ | * Dopo alcuni istanti vi sara' rilasciato il certificato e richiesto di salvare il vostro certificato o di importarlo nel browser {{: | ||
+ | |||
+ | |||
+ | |||
+ | ===== CSR ===== | ||
+ | |||
+ | |||
+ | Questa è una operazione che richiede l’accesso ad una finestra terminale di un sistema nel quale sia installata la suite openssl. Tale suite è normalmente installata nei sistemi Unix (Linux, macOS) ma potrebbe essere disponibile anche su sistemi windows. | ||
+ | |||
+ | Il comando openssl | ||
+ | |||
+ | < | ||
+ | openssl req -newkey rsa:2048 -keyout cert-key.pem -out cert-csr.pem -subj "/ | ||
+ | </ | ||
+ | |||
+ | genera due file in formato PEM: | ||
+ | * uno contenente la richiesta (o CSR): cert-csr.pem | ||
+ | * uno contenente la chiave privata (o key) che deve essere mantenuta segreta: cert-key.pem | ||
+ | |||
+ | **Nota Bene** | ||
+ | |||
+ | Nella linea di comando riportata sopra, il valore del parametro < | ||
+ | *per i certificati **personali** il “Nome Cognome” completo, come riportato nell’identità digitale in GODiVA (es:. “/ | ||
+ | *per i certificati **GRID** il valore “Nome Cognome” completo come sopra seguito dal proprio ePPN (eduPersonPrincipalName) che è la concatenazione dell proprio UID e di “@infn.it” (es:. “/ | ||
+ | |||
+ | |||
+ | Per chi volesse approfondire, | ||
+ | |||
+ | |||
+ | ====== Installazione del certificato ====== | ||
+ | |||
+ | Una vista scaricato il certificato deve essere installato nel browser | ||
+ | |||
+ | * Una volta importato verificate che compaia nella lista dei certificati personali all' | ||
+ | |||