Security Group INFN Certification Authority english version italian version

> Home

> Documentazione

> Policy and CPS

> Certificato INFN CA

> Richiesta certificati personali

> Rinnovo certificati personali

> Richiesta certificati robot

> Consultazione certificati

> Certificate Revocation List

 
> Registration Authority (RA)

 
> Statistiche

Documentazione

È disponibile una presentazione con la spiegazione dei concetti principali ed una Frequently Asked Questions con le risposte alle domande più frequenti.

Address Space

I certificati rilasciati dall'INFN CA sono della forma:
  • /C=IT/O=INFN/OU=Personal Certificate/L=<Nome RA>/CN=<Nome e Cognome> (certificati personali);
  • /C=IT/O=INFN/OU=Robot/L=<Nome RA>/CN=Robot: <Funzione del Robot> - <Nome e Cognome> (certificati robot);
  • /C=IT/O=INFN/OU=Host/L=<Nome RA>/CN=<FQDN> (certificati per server)
  • /C=IT/O=INFN/OU=Service/L=<Nome RA>/CN=<servizio/FQDN> (certificati per servizio)

Certificati personali

Per richiedere un certificato, selezionare "Richiesta Certificati" da un browser Netscape Communicator (almeno versione 4) o Internet Explorer (almeno versione 5), dopo essere stati autenticati dalla propria Registration Authority (RA).

Se siete in possesso di un certificato ancora valido potete selezionare "Rinnovo Certificati": il certificato verrà rinnovato dopo l'approvazione della propria Registration Authority.

Istruzioni per la gestione dei certificati in:

E' disponibile per la consultazione una tabella dei browser supportati da questo sito per la generazione di richieste di certificato personale.

Certificati robot

Per richiedere un certificato, selezionare "Richiesta Certificati Robot" da un browser Netscape Communicator (almeno versione 4) o Mozilla dopo essere stati autenticati dalla propria Registration Authority (RA). (Internet Explorer non è ancora supportato dalla CA INFN)

Certificati per un server

Il nome del server deve essere correttamente registrato (direct e reverse) nel DNS, fate quindi attenzione ai ritardi di propagazione!

La richiesta per un nuovo certificato, o il rinnovo di uno già esistente, in formato PEM e firmata con un certificato personale valido, deve essere inviata alla propria Registration Authority (RA). Il certificato verrà rilasciato solo dopo una verifica della raggiungibilità dell'indirizzo di e-mail indicato nella richiesta.

Per generare la richiesta vi preghiamo di utilizzare questo file di configurazione per OpenSSL (modificato il 30/01/06): richieste in formato non conforme verranno rifiutate.
N.B.: Il campo "Nome Struttura" deve contenere il valore del campo L del certificato personale (quello indicato nella tabella delle Registration Authority)

Esempio di generazione di richiesta
> openssl req -new -nodes -out req.pem -keyout key.pem -config host.conf
 Using configuration from host.conf
Using configuration from ./host.conf
Generating a 1024 bit RSA private key
...............................++++++
.++++++
writing new private key to 'key.pem'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Nazione []:IT
Organizzazione []:INFN
Tipo di certificato [ ]:Host
Nome Struttura (ad es. Pisa) []:Firenze
FQDN del server [ ]:postino.fi.infn.it
Email del Server Manager [ ]:roberto.cecchini@fi.infn.it

> chmod 600 key.pem

Se il server è un IIS (Windows2000 e probabilmente XP), Paolo Pierini, dell'INFN di Milano, ha scritto un documento su come fare per generare una richiesta di certificato valida.

Il certificato verrà normalmente rilasciato entro 2 giorni lavorativi (ricordiamo, comunque, che il servizio è svolto su base best effort).

Certificati per un server con nomi multipli

Tutti i nomi del server devono essere correttamente registrati (direct e reverse) nel DNS, fate quindi attenzione ai ritardi di propagazione!

La richiesta per un nuovo certificato, o il rinnovo di uno già esistente, in formato PEM e firmata con un certificato personale valido, deve essere inviata alla propria Registration Authority (RA). Il certificato verrà rilasciato solo dopo una verifica della raggiungibilità dell'indirizzo di e-mail indicato nella richiesta.

Per generare la richiesta vi preghiamo di utilizzare questo file di configurazione per OpenSSL: richieste in formato non conforme verranno rifiutate.

Tutti i nomi alternativi del server, ad eccezione di quello primario, devono essere inseriti nella sezione [server_cert] del file di configurazione fornito, prima di generare la richiesta di certificato.

Ad esempio:

[server_cert] subjectAltName = DNS:altname1.your.dom, DNS:altname2.your.dom, DNS:altname3.your.dom

ATTENZIONE a rispettare la sintassi fornita!

Per generare la richiesta è necessario utilizzare l'opzione -reqexts e il file di configurazione opportunamente personalizzato.

Un caso Pratico

Si vuole un certificato per mercurio.fi.infn.it con il nome alternativo hermes.fi.infn.it

  1. Personalizzare host_multi.conf:
    [ server_cert ]
    subjectAltName = DNS:hermes.fi.infn.it
  2. lanciare il comando:
    > openssl req -new -nodes -out req.pem -keyout key.pem -config host_multi.conf -reqexts server_cert

Esempio di generazione di richiesta
> openssl req -new -nodes -out req.pem -keyout key.pem -config host_multi.conf -reqexts server_cert
	
Using configuration from host_multi.conf
Using configuration from ./host_multi.conf
Generating a 1024 bit RSA private key
...............................++++++
.++++++
writing new private key to 'key.pem'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Nazione []: IT
Organizzazione []: INFN
Tipo di certificato [ ]: Host
Nome Struttura (ad es. Pisa) []: Firenze
FQDN del server (nome primario) [ ]: mercurio.fi.infn.it
Email del Server Manager [ ]: roberto.cecchini@fi.infn.it
	
> chmod 600 key.pem

Il certificato verrà normalmente rilasciato entro 2 giorni lavorativi (ricordiamo, comunque, che il servizio è svolto su base best effort).

Certificati per un servizio

ATTENZIONE, sono certificati richiesti da specifiche applicazioni e non servono per garantire l'identità di host (ad es. web server): per questo scopo devono essere usati i certificati per server.

Il nome del server deve essere correttamente registrato (direct e reverse) nel DNS, fate quindi attenzione ai ritardi di propagazione!

La richiesta per un nuovo certificato, o il rinnovo di uno già esistente, in formato PEM e firmata con un certificato personale valido, deve essere inviata alla propria RA. Il certificato verrà rilasciato solo dopo una verifica della raggiungibilità dell'indirizzo di e-mail indicato nella richiesta.

Per generare la richiesta vi preghiamo di utilizzare questo file di configurazione per OpenSSL (modificato il 30/01/06): richieste in formato non conforme verranno rifiutate.
N.B.: Il campo "Nome Struttura" deve contenere il valore del campo L del certificato personale (quello indicato nella tabella delle Registration Authority)

Esempio di generazione di richiesta
> openssl req -new -nodes -out req.pem -keyout key.pem -config service.conf
 Using configuration from service.conf
Using configuration from ./service.conf
Generating a 1024 bit RSA private key
...............................++++++
.++++++
writing new private key to 'key.pem'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Nazione []:IT
Organizzazione []:INFN
Tipo di certificato [ ]:Service
Nome Struttura (ad es. Pisa) []:Firenze
Nome servizio/FQDN del server (ad es. ftp/a.b.c.d) [ ]:ftp/postino.fi.infn.it
Email del Server Manager [ ]:roberto.cecchini@fi.infn.it

> chmod 600 key.pem

Il certificato verrà normalmente rilasciato entro 2 giorni lavorativi (ricordiamo, comunque, che il servizio è svolto su base best effort.

Certificati object-signing

La richiesta in formato PEM, firmata con un certificato personale valido, deve essere inviata a infn-ca@fi.infn.it. Nel caso che l'indirizzo di e-mail contenuto nella richiesta sia diverso da quello del richiedente, il certificato verrà rilasciato dopo verifica della sua raggiungibilità.

Per generare la richiesta vi preghiamo di utilizzare questo file di configurazione per OpenSSL (ATTENZIONE: modificato il 9/12/03): richieste in formato non conforme verranno rifiutate.
N.B.: Il campo "Nome Struttura" deve contenere il valore del campo L del certificato personale del firmatario.

Revoca di un certificato

 La revoca del proprio certificato personale deve essere fatta inviando un mail firmato con il proprio certificato e indicando il motivo.

Il soggetto del mail deve contenere il proprio nome e il numero del certificato di cui si chiede la revoca.

Se non si è in grado di firmare il messaggio la revoca deve pervenire tramite la propria Registration Authority.

La revoca di un certificato per servizio o macchina, deve sempre essere fatta tramite la propia Registration Authority.

Per ulteriori informazioni vi preghiamo di consultare il documento INFN CA Certificate Policy and Certification Practice Statement.