Richiesta in modalita' manuale
- Preparare la richiesta di certificato. Ad esempio per l'host server.sez.infn.it
<html> <pre> openssl req -nodes -newkey rsa:3072 -out server.csr -keyout server.key -subj "/C=IT/O=Istituto Nazionale di Fisica Nucleare/CN=server.sez.infn.it" </pre> </html>
dove server.csr conterra' la richiesta di certificato e server.key la chiave privata. E' IMPORTANTE notare che nella richiesta DEVE essere inserito il campo OU=Dipartimento, dove Dipartimento equivale alla propria Sezione, Laboratorio, Gruppo Collegato, ecc. come definito dalla tabella ufficiale
Ad esempio per un host chiamato server.roma2.infn.it il Dipartimento ovvero campo OU=Roma Tor Vergata. Per un host chiamato server.bo.infn.it il Dipartimento overo campo OU=Bologna.
Nel caso in cui si necessiti di un certificato con nomi multipli allora e' possibile aggiungere questi nel CSR generato da openssl aggiungendo al comando precedente -addext. Per esempio se server.sez.infn.it ha anche un alias (CNAME) www.server.sez.infn.it e anche un ulteriore alias serverb.sez.infn.it i nomi devono essere aggiunti dopo -addtext come nell'esempio riportato seperati da virgola con il prefissio tag DNS (ATTENZIONE L'OPZIONE -addtext E' SUPPORTATA A PARTIRE DA openssl 1.1.1):
<html>
<pre>
openssl req -nodes -newkey rsa:3072 -out server.csr -keyout server.key -subj "/C=IT/O=Istituto Nazionale di Fisica Nucleare/CN=server.sez.infn.it" -addext "subjectAltName = DNS:www.server.sez.infn.it, DNS:serverb.sez.infn.it"
</pre>
</html>
- Inoltrare la richiesta generata al proprio amministratore DRAO competente per il proprio Dipartimento (Sezione o Laboratorio o Progetto Nazionale). Si puo' inoltrare il file server.csr o alternativamente copiare il contenuto del file e incollarlo nel corpo del messaggio da inviare al DRAO
- La notifica di rilascio del certificato arrivera' all'utente via email da support@cert-manager.com. Si consiglia di selezionare l'opzione relativa al solo certificato in formato PEM, ovvero il link dal quale scaricare il certificato
- Il file PEM scaricato server_sez_infn_it_cert.cer contentente il CERTIFICATO X509 assieme al file contenente la chiave privata generata precedentemente server.key vanno entrambi utilizzati per l'installazione corretta del Certificato seguendo le opportune procedure a seconda del servizio per cui e' stato richiesto (ad es. Apache/httpd)