Istruzioni per la richiesta di certificati Personali TCS
Gli utenti INFN possono richiedere e rinnovare certificati personali e certificati personali Grid collegandosi al sito di DIGICERT e autenticandosi con le credenziali AAI.
- Collegarsi https://www.digicert.com/sso
- Inserire le iniziali del nome dell'Ente (INFN) e selezionarlo nella lista che compare e proseguire su "start single sign-on"
- Autenticarsi con le credenziali AAI o con il Certificato sulla pagina dell'IdP INFN
- Selezionare il tipo di certificato che si desidera richiedere (Premium, Grid Premium, Grid Robot Name)
- Generare il CSR ovvero la richiesta di certificato in formato PEM e inserire la richiesta nel campo CSR come di sequito:
- Aprire una finestra terminale (Linux/Unix) e utilizzare openssl per generare la richiesta di certificato su un'unica riga di comando (senza andare a capo fino alla fine)
openssl req -new -newkey rsa:2048 -nodes -out certificateReq.csr -keyout private.key -subj "/CN=Mario Rossi"
- Nel caso di ambiente Windows 10 aprire un command prompt "cmd" ed eseguire il comando analogo al precedente avendo l'accortezza di essere nella cartella Documents
cd Documents
"\Program Files\OpenSSL-Win64\bin\openssl.exe" openssl req -new -newkey rsa:2048 -nodes -out certificateReq.csr -keyout private.key -subj "/CN=Mario Rossi"
- Il contenuto del file "certificateReq.csr" va inserito nell'apposita form sopra illustrata, dove chiede il "CSR" che con le recenti versioni dei browser Chrome e Firefox non è più un campo opzionale ma OBBLIGATORIO. Il contenuto di cui fare copia-incolla sarà del tipo:
-----BEGIN CERTIFICATE REQUEST-----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-----END CERTIFICATE REQUEST-----
- Conservare il file private.key perchè servirà al punto successivo ed è la chiave privata del certificato
- Scaricare il certificato rilasciato da Digicert e salvarlo ad esempio con nome file mycert.crt nella stessa locazione dove si trova il file private.key
- Generare il file in formato p12 che conterrà sia il certificato sia la relativa chiave privata. Per fare questo bisogna utilizzare openssl da terminale:
openssl pkcs12 -export -in mycert.crt -inkey private.key -out mycert.p12
- Se la richiesta è stata generata da Windows allora il comando da dare è:
"\Program Files\OpenSSL-Win64\bin\openssl.exe" pkcs12 -export -in mycert.crt -inkey private.key -out mycert.p12
- Importare il certificato generato dentro il proprio Browser.