Menu

Istruzioni per richiedere certificati personali X509

L’INFN, tramite GARR, usufruisce del contratto stipulato da GÈANT (associazione delle reti europee dell’istruzione e della ricerca) con l’autorità di certificazione HARICA.

È possibile richiedere in autonomia certificati personali X509 per email e autenticazione web oppure certificati personali GRID, utilizzando l’apposito portale web di HARICA:  https://cm.harica.gr

Per accedere cliccare su “Academic login” e scegliere come istituzione l’INFN: verranno richieste le credenziali AAI.

Il rilascio dei certificati avviene in 2 fasi:

    1. invio richiesta
    2. validazione indirizzo di posta ed emissione del certificato

La fase A è diversa a seconda del tipo di certificato richiesto, mentre la fase B è comune ad entrambe le tipologie

Fase A

Richiesta di un certificato personale per email (firma/cifratura) e autenticazione web

    1. nella colonna a sinistra della dashboard click su “Email
    2. nell’elenco che appare a destra scegliere “Email-only
    3. verificare che l’indirizzo che sarà associato al certificato sia corretto e cliccare su “next
    4. cliccare ancora su “next” per accettare il metodo di validazione proposto (via email)
    5. spuntare la dichiarazione di presa visione dei termini di utilizzo e inviare la richiesta

Richiesta di un certificato personale per autenticazione GRID (IGTF)

    1. nella colonna a sinistra della dashboard click su “IGTF Client Auth
    2. scegliere “GÈANT Personal Authentication
    3. spuntare la dichiarazione di presa visione dei termini di utilizzo e inviare la richiesta

Fase B

Una volta inviata la richiesta dovrebbe arrivare un mail con un link per la verifica dell’indirizzo di posta. Potrebbe volerci qualche minuto prima che il messaggio arrivi.

Nel frattempo sulla dashboard in basso sarà apparsa la voce “pending certificates“con la richiesta di un certificato (S/MIME o IGTF).

Quando arriva l’email, cliccare sul link e poi sul pulsante di conferma.

A questo punto nella dashboard sul certificato pending sarà apparso il pulsante “enroll your certificate“.

Cliccare sul pulsante e apparirà una finestra dove si può scegliere se generare la richiesta di certificato (CSR) tramite il sito, oppure inserirla manualmente dopo averla generata a parte, assieme alla chiave privata, usando il comando openssl, come descritto più avanti.

Se non si conosce l’uso del comando openssl, conviene scegliere la prima opzione (Generate Certificate). Lasciare invariati i campi “Algorithm” e “Key Size” e impostare una password che poi servirà per importare nel browser il certificato e la chiave privata contenuti nel file .p12 che verrà fornito dalla procedura.

Cliccare sulla spunta riguardante il fatto che HARICA dichiara di non avere accesso a questa password 🙂

A questo punto si potrà cliccare su “Enroll certificate” e si potrà scaricare il file .p12, completando così la procedura.

Se invece si preferisce generare autonomamente CSR e chiave privata, si deve usare openssl (disponibile sui sistemi linux e mac, ma installabile anche su windows) dando questo comando:

openssl req -newkey rsa:8192 -keyout key.pem -out csr.pem -subj "/CN=Nome Cognome"

dove al posto di “Nome” e “Cognome” vanno sostituiti il proprio nome e cognome.

Si otterranno così due file, key.pem e csr.pem, che contengono rispettivamente la chiave privata e la richiesta del certificato. Ora nella procedura precedente, invece di scegliere “Generate Certificate“, si sceglie l’opzione per inserire manualmente la CSR e si copia il contenuto del file csr.pem nell’apposito riquadro.

Procedendo in modo analogo al caso precedente, alla fine si potrà scaricare un file .pem che contiene il solo certificato e non la chiave privata (che abbiamo già).

Per generare il file .p12, necessario per importare il certificato nel browser o nel programma di posta, bisogna utilizzare di nuovo il comando openssl:

openssl pkcs12 -export -in cert.pem -inkey key.pem -out cert.p12

dove cert.pem è il file contenente il certificato appena scaricato, key.pem è il file con la chiave privata generato da noi e cert.p12 e` il file .p12, contenente certificato e chiave privata, che otterremo e che potremo importare nel browser.