Richiesta di Certificati digitali
Protezione dei Certificati
-
Le chiavi private devo essere adeguatamente protette (chmod 400 per i sistemi Linux)
-
Le chiavi private non devono essere conservate su supporti accessibili via rete (ad esempio via AFS o NFS)
-
Il certificato personale deve essere protetto da password di lunghezza appropriata (minimo 12 caratteri)
Certificati
Il contratto stipulato tra Terena e Digicert per l'emissione di
certificati digitali e' scaduto il 30 aprile 2020.
I certificati emessi da Digicert rimangono comunque validi
fino alla loro scadenza.
Il nuovo contratto è stato stipulato con Sectigo (ex Comodo), con
inizio il 1 maggio 2020.
Certificati Personali
Certificati X509 Personali
Certificati Server
Inviare il mail di richiesta avente le seguenti caratteristiche:
- to: ra<AT>bo.infn.it (RA locali)
- Subject:
Richiesta certificato server per xxxx.bo.infn.it
- Attach: server.csr (allegare il file server.csr)
(di seguito troverete le procedure per generare il file server.csr)
- Body: Specificare il nome del server, gli eventuali alias
- il mail deve essere firmato digitalmente
Successivamente, dopo che la RA locale avrà sottomesso la richiesta, riceverete un mail con le istruzioni per scaricare il certificato.
Procedura per la generazione di richiesta di certificato server.
-
Comando da eseguire per richiedere un certificato per un host avente nome:
host.bo.infn.it
openssl req -new -newkey rsa:2048 -nodes -out server.csr -keyout server.key -subj "/O=Istituto Nazionale di Fisica Nucleare/OU=Bologna/CN=host.bo.infn.it"
-
Comando da eseguire per richiedere un certificato per un host avente nome:
host.bo.infn.it
e come alias (nomi alternativi)
alias1host.bo.infn.it
alias2host.bo.infn.it
openssl req -new -newkey rsa:2048 -nodes -out server.csr -keyout server.key -subj "/O=Istituto Nazionale di Fisica Nucleare/OU=Bologna/CN=host.bo.infn.it" -addext "subjectAltName = DNS:alias1host.bo.infn.it, DNS:alias2host.bo.infn.it"
Entrambi i comandi generano 2 file
server.csr
key.pem
server.csr è il file di richiesta certificato da allegare al mail di cui sopra
key.pem è la chiave privata del certificato, i cui permessi devono essere 400
Norme sulla privacy
12-10-2020 da Antonella Monducci