User Tools

Site Tools


cn:ccr:x509:home:utenti:server:manuale

Richiesta in modalita' manuale

  • Preparare la richiesta di certificato. Ad esempio per l'host server.sez.infn.it

<html> <pre> openssl req -nodes -newkey rsa:3072 -out server.csr -keyout server.key -subj "/C=IT/O=Istituto Nazionale di Fisica Nucleare/CN=server.sez.infn.it" </pre> </html>

dove server.csr conterra' la richiesta di certificato e server.key la chiave privata. E' IMPORTANTE notare che nella richiesta DEVE essere inserito il campo OU=Dipartimento, dove Dipartimento equivale alla propria Sezione, Laboratorio, Gruppo Collegato, ecc. come definito dalla tabella ufficiale Ad esempio per un host chiamato server.roma2.infn.it il Dipartimento ovvero campo OU=Roma Tor Vergata. Per un host chiamato server.bo.infn.it il Dipartimento overo campo OU=Bologna. Nel caso in cui si necessiti di un certificato con nomi multipli allora e' possibile aggiungere questi nel CSR generato da openssl aggiungendo al comando precedente -addext. Per esempio se server.sez.infn.it ha anche un alias (CNAME) www.server.sez.infn.it e anche un ulteriore alias serverb.sez.infn.it i nomi devono essere aggiunti dopo -addtext come nell'esempio riportato seperati da virgola con il prefissio tag DNS (ATTENZIONE L'OPZIONE -addtext E' SUPPORTATA A PARTIRE DA openssl 1.1.1): <html> <pre> openssl req -nodes -newkey rsa:3072 -out server.csr -keyout server.key -subj "/C=IT/O=Istituto Nazionale di Fisica Nucleare/CN=server.sez.infn.it" -addext "subjectAltName = DNS:www.server.sez.infn.it, DNS:serverb.sez.infn.it" </pre> </html>

  • Inoltrare la richiesta generata al proprio amministratore DRAO competente per il proprio Dipartimento (Sezione o Laboratorio o Progetto Nazionale). Si puo' inoltrare il file server.csr o alternativamente copiare il contenuto del file e incollarlo nel corpo del messaggio da inviare al DRAO
  • La notifica di rilascio del certificato arrivera' all'utente via email da support@cert-manager.com. Si consiglia di selezionare l'opzione relativa al solo certificato in formato PEM, ovvero il link dal quale scaricare il certificato
  • Il file PEM scaricato server_sez_infn_it_cert.cer contentente il CERTIFICATO X509 assieme al file contenente la chiave privata generata precedentemente server.key vanno entrambi utilizzati per l'installazione corretta del Certificato seguendo le opportune procedure a seconda del servizio per cui e' stato richiesto (ad es. Apache/httpd)
cn/ccr/x509/home/utenti/server/manuale.txt · Last modified: 2023/01/16 09:33 by enrico@infn.it

Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki