Differences

This shows you the differences between two versions of the page.

--- cn:ccr:x509:home:utenti:server:manuale [2020/05/26 10:53] – created veraldi@infn.it
+++ cn:ccr:x509:home:utenti:server:manuale [2023/01/16 09:33] (current) – enrico@infn.it
@@ Line 1: / Line 1: @@
+====== Richiesta in modalita' manuale ======
+  * Preparare la richiesta di certificato. Ad esempio per l'host //server.sez.infn.it//
+<html>
+<pre>
+openssl req -nodes -newkey rsa:3072 -out server.csr -keyout server.key -subj "/C=IT/O=Istituto Nazionale di Fisica Nucleare/CN=server.sez.infn.it"
+</pre>
+</html>
+dove **server.csr** conterra' la richiesta di certificato e **server.key** la chiave privata. <del>E' IMPORTANTE notare che nella richiesta DEVE essere inserito il campo //OU=Dipartimento//, dove //Dipartimento// equivale alla propria Sezione, Laboratorio, Gruppo Collegato, ecc. come definito dalla [[cn:ccr:x509:home:DRAO:tabella-ufficiale|tabella ufficiale]]
+Ad esempio per un host chiamato server.roma2.infn.it il Dipartimento ovvero campo //OU=Roma Tor Vergata//. Per un host chiamato server.bo.infn.it il Dipartimento overo campo //OU=Bologna//.</del>
+Nel caso in cui si necessiti di un certificato con nomi multipli allora e' possibile aggiungere questi nel CSR generato da openssl aggiungendo al comando precedente **-addext**. Per esempio se  **server.sez.infn.it** ha anche un alias (CNAME) **www.server.sez.infn.it** e anche un ulteriore alias **serverb.sez.infn.it** i nomi devono essere aggiunti dopo **-addtext** come nell'esempio riportato seperati da virgola con il prefissio tag DNS (ATTENZIONE L'OPZIONE -addtext E' SUPPORTATA A PARTIRE DA openssl 1.1.1):
+<html>
+<pre>
+openssl req -nodes -newkey rsa:3072 -out server.csr -keyout server.key -subj "/C=IT/O=Istituto Nazionale di Fisica Nucleare/CN=server.sez.infn.it" -addext "subjectAltName = DNS:www.server.sez.infn.it, DNS:serverb.sez.infn.it"
+</pre>
+</html>
+  * Inoltrare la richiesta generata al proprio amministratore DRAO competente per il proprio Dipartimento (Sezione o Laboratorio o Progetto Nazionale). Si puo' inoltrare il file //server.csr// o alternativamente copiare il contenuto del file e incollarlo nel corpo del messaggio da inviare al DRAO
+  * La notifica di rilascio del certificato arrivera' all'utente via email da //support@cert-manager.com//. Si consiglia di selezionare l'opzione relativa al solo certificato in formato PEM, ovvero il link dal quale scaricare il certificato {{:cn:ccr:x509:home:utenti:server:screenshot_2020-05-26_at_13.02.20.png?nolink&600|}}
+  * Il file PEM scaricato **server_sez_infn_it_cert.cer** contentente il CERTIFICATO X509 assieme al file contenente la chiave privata generata precedentemente **server.key** vanno entrambi utilizzati per l'installazione corretta del Certificato seguendo le opportune procedure a seconda del servizio per cui e' stato richiesto (ad es. Apache/httpd)