Security Group INFN Certification Authority english version italian version

> Home

> Documentazione

> Policy and CPS

> Certificato INFN CA

> Richiesta certificati personali

> Rinnovo certificati personali

> Richiesta certificati robot

> Consultazione certificati

> Certificate Revocation List

 
> Registration Authority (RA)

 
> Statistiche

Frequently asked questions



In questo documento abbiamo cercato di rispondere alle domande più frequenti relative alle procedure di richiesta, installazione ed utilizzo dei certificati digitali rilasciati dalla Certification Authority INFN ai propri utenti.

NOTE: Le tipologie e le versioni dei browser utilizzati da tutta la nostra utenza è talmente vasta che sarebbe impossibile trattare dettagliatamente ogni singolo caso. In questo documento faremo riferimento ai browser Mozilla Firefox 1.0.4 su piattaforma Fedora Core 4 e Microsoft Internet Explorer versione 6 sp 2 su piattaforma Microsoft Windows XP, ed ai client di posta Mozilla Firefox versione 1.0.7 e Outlook Express versione 6 sp 2.




Problemi di connessione alla pagina di richiesta dei certificati personali

  1. Impossibile connettersi alla pagina di richiesta certificati
  2. Firefox: Il suo browser non ha generato correttamente la richiesta
  3. Tabella dei browser supportati per la richiesta

Problemi di scarico ed installazione del certificato personale

  1. Seguendo il link non si riesce a scaricare il certificato personale
  2. Si è verificato l'errore 80092004 in Microsoft Internet Explorer
  3. Si è verificato l'errore 0x800B0109 in Microsoft Internet Explorer
  4. Non si riceve alcun messaggio dopo aver scaricato il certificato con Mozilla/Netscape 7/Mozilla Firefox
  5. Come installare il certificato personale in Opera

Problemi nel rinnovo del certificato

  1. Non si riesce a rinnovare il certificato
  2. Non si riesce a rinnovare il certificato su Internet Explorer 7
  3. Cambiare l'indirizzo e-mail nel certificato

Problemi di impostazione del certificato INFN CA

  1. Come installare e rendere valido il certificato della CA INFN in Internet Explorer
  2. Come installare e rendere valido il certificato della CA INFN in Mozilla Firefox

Importazione ed Esportazione dei certificati personali

  1. Importazione ed Esportazione dei certificati personali con Internet Explorer
  2. Importazione ed Esportazione dei certificati personali con Mozilla Firefox

Utilizzo della firma digitale

  1. Utilizzo della firma digitale in Outlook Express
  2. Utilizzo della firma digitale in Thunderbird
  3. Utilizzo della firma digitale in Mail (Mac OS X 10.3 e sup.)
  4. La firma digitale viene corrotta ad opera del mail server

Problemi con le richieste dei certificati per server

  1. Come creare una richiesta di certificato per un server Microsoft IIS
  2. Quali sono le modalità ed i requisiti per inoltrare una richiesta di certificato per un server
  3. Ho inoltrato una richiesta di certificato per un server da diversi giorni ma non ho ancora ottenuto il certificato dalla CA

Formati dei certificati digitali

  1. Informazioni sui formati standard

Errori non compresi nella faq

  1. Come segnalare un errore



Problemi di connessione alla pagina di richiesta dei certificati personali

  1. Impossibile connettersi alla pagina di richiesta certificati
    • verificare che il nodo da cui si tenta l'accesso sia registrato sul dns;
    • sono ammesse connessioni da nodi appartenenti ai domini .it .ch .edu .ma .sy .cy .org .tn e da determinati .com
  2. Firefox: Il suo browser non ha generato correttamente la richiesta
    • Controllare la presenza di una Master Password in Security/Change Master Password
    • Se fosse stata impostata una Master Password ma non se ne conosce il valore sarà necessario rimuoverla
    • Istruzioni per rimuovere la Master Password
  3. Tabella dei browser supportati per la richiesta
  4. Windows Linux Mac OS
    Internet Explorer (v. 7, 8, 9)
    Firefox (v. 3.6.24 +)
    Safari
    Opera
    Chrome

Problemi di scarico ed installazione del certificato personale

  1. Seguendo il link non si riesce a scaricare il certificato personale
    • controllare di aver installato correttamente e reso valido il certificato della CA;
    • accertarsi di aver usato lo stesso browser/pc sia durante la fase di richiesta che di scarico del certificato;
    • considerare che c'è un certo intervallo temporale tra la spedizione del mail contenente le istruzioni e l'aggiornamento del server: se il tentativo di scarico viene fatto immediatamente alla ricezione del mail, è possibile ottenere a video il messaggio di "numero certificato errato", in questo caso è sufficiente riprovare dopo qualche minuto.
  2. Si è verificato l'errore 80092004 in Microsoft Internet Explorer
    • controllare di aver installato correttamente e reso valido il certificato della CA in Internet Explorer;
    • accertarsi di aver usato lo stesso browser/pc sia durante la fase di richiesta sia durante lo scarico del certificato;
    • accertarsi di non aver provveduto ad aggiornare o reinstallare il browser tra la fase di richiesta e quella di scarico del certificato
    • se ricevete ancora lo stesso errore, nonostante tutto sia impostato correttamente, purtroppo non c'e' alcun modo di risolvere il problema: si tratta di un errore non documentato di Microsoft Internet Explorer. In questo caso e' necessario richiedere la revoca del certificato
  3. Si è verificato l'errore 0x800B0109 in Microsoft Internet Explorer
    • controllare di aver installato correttamente il certificato della CA in Windows Vista;
    • Attenzione all'opzione Show physical stores nelle istruzioni qui sopra
  4. Non si riceve alcun messaggio dopo aver scaricato il certificato con Mozilla/Netscape 7/Mozilla Firefox
    • Nel caso stia usando Mozilla/Netscape 7/Firefox, la procedura di scarico non produce nessun messaggio: per vedere se è andata a buon fine basta guardare nel database dei certificati
    • Mozilla - certificati personali
    • se nessun certificato personale è presente nel database, accertarsi di non aver provveduto ad aggiornare o reinstallare il browser tra la fase di richiesta e quella di scarico del certificato
  5. Come installare il certificato personale in Opera
    • Aprire il link indicato in fondo alla mail contenente le istruzioni per lo scarico ed quando richiesto salvare il certificato su file mantenendo il nome suggerito dalla procedura (.pem)
    • Dal menù di Opera selezionare Preferenze/Avanzate/Security/Manage Certificates/Import
    • Importare il file .pem appena salvato e verificare la presenza del vostro certificato nella lista dei certificati personali

Problemi nel rinnovo del certificato

  1. Non si riesce a rinnovare il certificato personale
    • accertare la presenza del proprio certificato personale all'interno del database dei certicati del browser. Istruzioni per IE - Istruzioni per Mozilla
    • controllare di aver installato correttamente e reso valido il certificato della CA;
    • controllare la data di scadenza del proprio certificato
    • aggiornare il browser all'ultima versione disponibile
  1. Non si riesce a rinnovare il certificato personale in Internet Explorer 7 (dopo aver seguito i punti del passo precedente)
    • Aprire il browser ed andare in Tools/Internet options/security e selezionare "trusted sites"
    • Premere il bottone "Sites" ed inserire il sito https://security.fi.infn.it
    • Premere "add", poi "close" ed infine "ok"
    • Chiudere tutte le istanze di IE7 e riprovare a sottomettere la richiesta di rinnovo di certificato
  1. Cambiare l'indirizzo e-mail nel certificato
  2. Se al momento in cui si cerca di rinnovare on-line il proprio certificato personale ci si accorge che l'indirizzo email specificato non è più valido è necessario interrompere la procedura e procedere come segue:
    • Chiedere la revoca del certificato personale o attenderne la scadenza
    • Recarsi dalla propria RA per ottenere una nuova autorizzazione
    • Richiedere un nuovo certificato personale on-line con il codice di autorizzazione ottenuto

Problemi di impostazione del certificato INFN CA

  1. Come installare e rendere valido il certificato della CA INFN in Internet Explorer
    • scaricare il certificato della CA e seguire le istruzioni a video come in figura
    • Internet Explorer - Certificato CA
    • quando il certificato è stato scaricato controllare tra le 'Autorità di certificazione fonti attendibili' attraverso il bottone 'Avanzate' che il certificato INFN abbia le funzionalità impostate come in figura
    • Internet Explorer - Certificato CA
  2. Come installare e rendere valido il certificato della CA INFN in Mozilla Firefox
    • scaricare il certificato della CA e impostare tutte le funzionalità come in figura
    • Mozilla - Certificato CA
    • se il certificato è già stato scaricato controllare che le funzionalità siano impostate come in figura
    • Mozilla - Certificato CA

Importazione ed Esportazione dei certificati personali

  1. Importazione ed Esportazione dei certificati personali con Internet Explorer
    • Esportazione: dal database dei certificati personali selezionare quello richiesto, premere il bottone Esporta e seguire le istruzioni a video; sarà necessario specificare una password di backup (doppia immissione) che dovrà essere annotata per gli usi futuri e mantenuta in un luogo sicuro.
    • Internet Explorer - Esportazione
    • Importazione: fare doppio click sul file che contiene il certificato oppure partendo dal database dei certificati personali premere il bottone Importa e seguire le istruzioni a video; sarà necessario specificare la password di backup, abilitare la protezione avanzata della chiave privata e contrassegnarla esportabile (altrimenti non sarà più possibile esportare completamente il certificato!
    • Internet Explorer - Importazione
  2. Importazione ed Esportazione dei certificati personali con Mozilla Firefox
    • Esportazione: dal database dei certificati personali selezionare quello richiesto, premere il bottone Archivia e seguire le istruzioni a video; sarà necessario specificare una password di backup (doppia immissione) che dovrà essere annotata per gli usi futuri (importazioni in altri browser)
    • Mozilla Firefox - Esportazione
    • Importazione: dal database dei certificati personali premere il bottone Importa e seguire le istruzioni a video; sarà necessario specificare la password di backup
    • Mozilla Firefox - Importazione
    • Mozilla Firefox protegge i vostri dati attraverso i cosidetti Dispositivi di Sicurezza; sarà dunque necessario, durante la prima importazione, stabilire una Password principale per il dispositivo di sicurezza con una lunghezza di almeno 12 caratteri

Utilizzo della firma digitale

  1. Utilizzo della firma digitale in Outlook Express
    • Assicurarsi di aver selezionato il proprio certificato personale INFN, necessario per la firma
    • Outlook Express
    • Durante la composizione del messaggio premere il bottone Firma e notare la presenza del simbolo di un sigillo
    • Outlook Express - firma
    • Prestare inoltre attenzione al fatto che il nome contenuto nel campo CN del certificato coincida con il nome del mittente registrato per l'account nel client di posta
  2. Utilizzo della firma digitale in Thunderbird
    • Importare il proprio certificato personale rilasciato dalla CA INFN all'interno del client di posta: Thunderbird possiede un database dei certificati simile a quello di Mozilla Firefox a cui consigliamo di fare riferimento per ottenere le istruzioni relative all'importazione.
    • Da Edit/Account Settings scegliere per l'account richiesto la voce Security e selezionare nel riquadro Digital Signing il certificato digitale con cui si desidera firmare. Dallo stesso pannello sarà anche possibile consultare il database dei certificati.
    • Thunderbird - scelta del certificato
    • Durante la composizione del messaggio che si vuole firmare abilitare la firma (almeno che non sia scelto di abilitarla come default nella screenshot precedente) e inviare il messaggio. Consigliamo, come controllo per le prime volte, di aggiungere il proprio indirizzo in 'cc' al fine di verificare l'effettivo buon andamento della procedura.
    • Thunderbird - firma digitale
    • Prestare inoltre attenzione al fatto che il nome contenuto nel campo CN del certificato coincida con il nome del mittente registrato per l'account nel client di posta
  3. Utilizzo della firma digitale in Mail (Mac OS X 10.3 e sup.)
  4. Fare riferimento alle istruzioni disponibili nell'articolo Mac OS X 10.3: Mail - How to Use a Secure Email Signing Certificate (Digital ID)
  5. La firma digitale viene corrotta ad opera del mail server
    • Può succedere che durante il transito sul mail server il vostro messaggio di posta (firmato) venga alterato. Il risultato che si ottiene è una non verifica dell'integrità del contenuto messaggio che si traduce per il destinatario in una firma non valida
    • In tal caso consigliamo di rivolgersi agli amministratori di rete della propria struttura descrivendo la problematica riscontrata
    • Molto spesso la causa è l'impiego di caratteri accentati all'interno del body.

Problemi con le richieste dei certificati per server

  1. Come creare una richiesta di certificato per un server Microsoft IIS
  2. Purtroppo non è possibile impiegare la procedura di rinnovo certificato fornita da Microsoft IIS in quanto le richieste generate non contengono il campo Email del Server Manager richiesto dalla policy della CA INFN. Le richieste di rinnovo dovranno essere dunque generate attraverso le librerie di OpenSSL che sono disponibili anche per ambiente Windows o in alternativa disponibili attraverso un ambiente quale Cygwin.

    Questi in breve i passi da seguire:

    • Lanciare la mmc (Microsoft Management Console) e selezionare lo snap-in Certificates: tra i certificati Personal si cancella il certificato server scaduto (o in scadenza)
    • Rimuovere anche da IIS il vecchio certificato. Ciò è possibile aprendo IIS e passando da Proprietà/Directory Security/Server Certificate/Next/Remove the current Certificate
    • Generare la richiesta di certificato a partire dal file di configurazione per host con il seguente comando:
      openssl req -new -nodes -out req-nome-server.pem -keyout key.pem -config host.conf
      dal quale vengono generati i file key.pem e req-nome-server.pem
    • Il file di richiesta generato req-nome-server.pem dovrà essere inoltrato con un mail firmato alla propria Registration Autority.
    • Quando il certificato sarà pronto lo si deve salvare in file con estensione .PEM (per convenzione nome-server.pem)
    • Per creare un certificato completo di chiave privata per IIS lanciare il comando:
      openssl pkcs12 -export -in nome-server.pem -inkey key.pem -out nome-server.pfx
    • Tale .PFX può successivamente essere importato nel database dei certificati di Windows e in IIS passando da Proprietà/Directory Security/Server Certificate/Next/Assign an existing certificate
  3. Quali sono le modalità ed i requisiti per inoltrare una richiesta di certificato per un server
    • Il server per il quale viene richiesto il certificato deve essere registrato sul DNS (direct e reverse)
    • Le richieste devono essere generate esclusivamente seguendo le istruzioni in http://security.fi.infn.it/CA/docs/ ricordando che la struttura dei certificati per host è /C=IT/O=INFN/OU=Host/L=<Nome RA>/CN=<servizio/FQDN>. Attenzione quindi a non modificare il campo O=INFN!
    • Una volta generata la richiesta essa deve essere inoltrata, con messaggio firmato con il proprio certificato personale, alla Registration Authority competente per la struttura a cui il server afferisce: la lista della Registration Authority attualmente attive è disponibile alla pagina https://security.fi.infn.it/CA/RA/ dove è inoltre possibile consultare il valore relativo per il campo L (il <Nome RA> da specificare durante la generazione della richiesta)
  4. Ho inoltrato una richiesta di certificato per un server da diversi giorni ma non ho ancora ottenuto il certificato dalla CA
    • Controllare di aver specificato un indirizzo email valido all'interno della richiesta di certificato
    • Accertarsi di aver risposto al messaggio di verifica dell'indirizzo email contenuto nella richiesta di certificato spedito dalla CA INFN come prova di validità dell'indirizzo stesso

Formati dei certificati digitali

  1. Informazioni sulle estensioni più comuni dei file di certificato
  2. Le più comuni estensioni per i file di certificato X.509 sono:

    • .CER - certificato codificato con metodo DER, talvolta può essere anche una sequenza di certificati
    • .DER - certificato codificato con metodo DER
    • .PEM - certificato codificato con schema Base64 e racchiuso dalle stringhe "-----BEGIN CERTIFICATE-----" e "-----END CERTIFICATE-----". Può anche contenere la chiave privata del certificato debitamente racchiusa da apposite linee BEGIN/END
    • .P7C - PKCS#7 conosciuto con il nome di Cryptographic Message Syntax è uno standard che definisce la struttura generali per i messaggi contenenti elementi crittografici quali firme digitali ed cifratura
    • .PFX - Vedere .p12
    • .P12 - PKCS#12, può contenere sia il certificato che la chiave privata (protetta da password)

    DER acronimo di Distinguished Encoding Rules è un metodo per la codifica di oggetti contenenti dati, quali le richieste per certificati X.509, destinati ad essere firmati digitalmente o a subire un processo di verifica della firma digitale.

    PKCS #7 è uno standard per "l'imbustamento" della firma o dell'oggetto cifrato. Per verificare un oggetto di tipo firma digitale è richiesto il certificato il quale può essere incluso all'interno del file .P7C

    PKCS #12 è uno standard nato come evoluzione del formato PFX (Personal inFormation eXchange) ed è utilizzato per lo scambio di oggetti pubblici e privati all'interno di un singolo file.

Errori non compresi nella faq

  1. Come segnalare un errore
  2. Il gestore della CA INFN è contattabile all'indirizzo infn-ca@fi.infn.it. Nella segnalazione degli errori, per aiutarci a risolvere più rapidamente il problema, siete pregati di indicare le seguenti informazioni:
    • messaggio di errore;
    • nome completo del nodo da cui è stata fatta la richiesta;
    • data e ora del tentativo;
    • modello e versione del browser utilizzato.