Certification Service
Certification Service
CS
Supporto e Contatti
+06 4962 2000
+39 050 221 3158
Altri contatti
Per richieste di adesione, supporto, problemi tecnici e gestione degli account Admin scrivete a:
Per domande generali sull'uso della piattaforma, sui tipi di certificati, la loro creazione ed il loro uso utilizzate la mailing list:
L'iscrizione alla lista è a cura di GARR CS ed è riservata ai Registration Authority Officers e i Department Registration Authority Officers nominati da ogni organizzazione.
GARR CS (Certification Service)
Il Certification Service rilascia gratuitamente alla propria comunità certificati digitali, sia nella versione personale che server, emessi da una delle maggiori Certification Authority commerciali: SECTIGO, riconosciuta automaticamente dalla quasi totalità dei browser web esistenti.
è il servizio è gratuito per tutti gli enti connessi alla rete GARR.
adesione al servizio
GARR partecipa al Trusted Certificate Service (TCS) promosso da Géant a favore delle reti della ricerca europee
TIPOLOGIA DI CERTIFICATI RILASCIATI
GARR partecipa al Trusted Certificate Service (TCS) promosso da Géant a favore delle reti della ricerca europee.
Tramite questo servizio, GARR offre gratuitamente alla propria comunità certificati digitali x.509 (disponibili anche in versione e-Science, validi cioè per l'autenticazione su risorse GRID ) emessi da una delle maggiori Certification Authority commerciali: Sectigo Limited, riconosciuta automaticamente dalla quasi totalità dei browser web esistenti.
-
certificati SSL: per l'autenticazione dei server e la protezione delle sessioni con i client;
-
certificati GRID: per l'autenticazione di server e servizi Grid (IGTF compliant);
-
certificati personali e personali GRID: per l'autenticazione di utenti e per la protezione della posta elettronica;
-
certificati Code signing: per l'autenticazione di software distribuito attraverso la rete internet;
-
certificati Document signing: per l'autenticazione di documenti creati con Adobe PDF, Microsoft Office, OpenOffice e LibreOffice.
Certificati server TCS
GENERAZIONE DI CERTIFICATI SERVER
A partire dal 1 Maggio 2020 il nuovo fornitore del servizio TCS sarà la Certification Authority Sectigo Limited. Tutti i certificati già emessi con Digicert resteranno validi e manterranno la propria validità fino alla scadenza indicata nel certificato stesso.
Per la generazione di richieste di certificato (CSR), fai riferimento alle istruzioni fornite da Sectigo sul wiki di GARRCS.
Per la sottomissione di richieste fai riferimento alle istruzioni fornite dagli Amministratori della tua Organizzazione.
Riferimenti nelle organizzazioni
Nomi alternativi
È possibile richiedere certificati con nomi multipli.
Puoi inserire nomi alternativi direttamente all'interno della CSR ma più semplicemente puoi aggiungerli durante la compilazione della form di richiesta partendo da una CSR con un solo nome:
Istruzioni per nomi multipli
Un admin può richiedere certificati con nomi multipli facendo login sul portale SCM di Sectigo e scegliendo la tipologia Géant OV Multi-Domain
All'interno della form di richiesta certificati, dopo aver caricato la CSR, è presente una specifica text area denominata Subject Alternative Names che permette di inserire facilmente, separati da una virgola, gli ulteriori nomi a dominio da includere nel certificato.
Wild Card
Puoi richiedere certificati contenenti una wildcard (*) sia nel campo CN sia all'interno dei nomi alternativi con le seguenti restrizioni:
1. un * può sostituire un sottodominio, ma non una sua parte
- *.dir.garr.it CORRETTO
- xyz*.dir.garr.it SBAGLIATO!
2. non possono essere richiesti nomi alternativi se il campo CN contiene una wilcard
- ATTENZIONE: i certificati con wildcard del tipo *.dominio.it non possono essere impiegati per l'autenticazione di nomi a dominio della forma abc.sottodominio.dominio.it.
- Per motivi di sicurezza, l'uso di questo tipo di certificati è bene sia il più limitato possibile. In ogni caso, il loro rilascio dovrà essere discusso preventivamente con il servizio.
Riferimenti
Certificati personali TCS
RICHIESTA E RINNOVO CERTIFICATI PERSONALI
Gli utenti possono richiedere e rinnovare certificati personali e personali grid collegandosi al sito di Sectigo dedicato a GARR. Dovrai autenticarti usando le credenziali IDEM della tua organizzazione.
Dal modulo di richiesta potrai selezionare i seguenti tipi di certificato:
- GÉANT Personal email signing and encryption
Certificati personali emessi da un CA pubblica per la firma e la cifratura di email. Non adatti per la firma di documenti e la client authentication - GÉANT Personal Authentication
Certificati personali emessi da una CA privata da usare in ambito grid/IGTF e per la client authentication. Non adatti per la firma e la cifratura di email e per la firma di documenti. - GÉANT Personal Automated Authentication certificati personali robot emessi da una CA privata da usare in agenti software che si autenticano per conto dell'utente (ambito grid/IGTF). Non adatti per la firma e la cifratura di email e per la firma di documenti.
Gli Enti aderenti alla Federazione IDEM possono attivare il servizio per i loro utenti seguendo le istruzioni di configurazione:
Segui i tutorial per la richiesta di certificati personali su Sectigo
ACCESSO CON IDEM: 1,01 min.
Generare un certificato: 57 sec.
GENERARE UN CERTIFICATO CON CSR: 1,14 min.
codice per generare il CSR da terminale
openssl req -newkey rsa:2048 -keyout nome_cognome-key.pem -out nome_cognome-csr.pem -subj "/CN=Nome Cognome"
Istruzioni per generare una richiesta con CSR
Generiamo un file in formato PKCS12 (.p12) usando il file certificato appena scaricato (.crt) e il file chiave private.key che abbiamo visto nel tutorial. Per farlo utilizziamo nuovamente il terminale e lanciamo il comando:
codice per generare il file in formato PKCS12
openssl pkcs12 -export -in mario_rossi.crt -inkey private.key -out mioCertificato.p12
Importiamo il certificato generato dentro il nostro browser.
I certificati personali TCS possono essere rilasciati solamente agli appartenti ad Organizzazioni aderenti a IDEM e che siano state abilitate al servizio.
Openssl è un software disponibile per sistemi Linux, MAC e Windows
Avvisi e notizie
Statistiche
fonte: GARR annual report 2022
Per maggiori informazioni sui servizi o per richiederne l'attivazione
Durata dei certificati TLS ridotta ad un anno
A partire da mercoledì 19 Agosto 2020 la CA Sectigo ha interrotto l'emissione dei certificati TLS con validità di 2 anni per conformarsi ad una recente regolamentazione (CAB/Forum: https://cabforum.org/2019/09/10/ballot-sc22-reduce-certificate-lifetimes-v2/) richiesta ed imposta da Apple e Google che prevede che tutti i certificati TLS con validità 2 anni emessi successivamente al 30 Agosto 2020 siano considerati invalidi. Tutti i certificati emessi prima del 19 Agosto 2020 con validità 2 anni resteranno validi fino alla naturale scadenza.
Nuova Certification Authority
Dopo 5 anni di attività con la CA Digicert il servizio TCS si rinnova e a partire dal 1 Maggio 2020 entrerà in una nuova fase il cui nuovo fornitore sarà la Certification Authority Sectigo Limited.
Tutti i certificati già emessi con Digicert resteranno validi e manterranno la propria validità fino alla scadenza indicata nel certificato stesso.
Nuova Certification Authority dal 1 Maggio 2020
Dopo 5 anni di attività con la CA Digicert il servizio TCS si rinnova e a partire dal 1 Maggio 2020 entrerà in una nuova fase il cui nuovo fornitore sarà la Certification Authority Sectigo Limited.
Tutti i certificati già emessi con Digicert resteranno validi e manterranno la propria validità fino alla scadenza indicata nel certificato stesso.