Servizio di gestione dei Certificati SSL
I certificati SSL del dominio uniud.it sono attualmente gestiti tramite il fornitore di servizi Sectigo e il servizio è rivolto ai docenti e al personale tecnico-amministrativo dell'Ateneo per il quale gestiscono alcuni servizi interni associati a siti web istituzionali.
La richiesta di un certificato SSL per un nuovo servizio o il rinnovo di uno in scadenza passano attraverso il sistema di ticketing dell’Helpdesk d’Ateneo.
I passi da seguire sono i seguenti:
1 – In base alle indicazioni fornite dal provider Sectigo:
https://sectigo.com/search/results?q=certificate+request
relative al proprio server web occorre produrre un nuovo file di richiesta certificato (Certificate Request) in formato PEM con estensione .csr.
Nel file csr si possono anche inserire eventuali alias.
2 – Si apre un ticket sul portale dell’Helpdesk d’Ateneo secondo queste modalità:
a - utenti con account @uniud.it: accedere al portale https://helpdesk.uniud.it/ inserendo le proprie credenziali e aprire un ticket (request) nella categoria Rete -> Rinnovo Certificati SSL
b - utenti senza account @uniud.it (tipicamente ditte esterne all’Università con gestione di siti interni): accedere a questo indirizzo
https://helpdesk.uniud.it/SubmitSR.jsp?type=req&accountId=universityofudine&populateSR_id=78336
Compilando in ogni caso i campi obbligatori e caricando il file .csr come allegato.
Ricordiamo che il mancato invio della richiesta in tempo utile (almeno 5 giorni prima della scadenza) comporterà la scadenza definitiva del certificato con conseguente disservizio per l’utenza.
Rinnovo automatico dei certificati
E' possibile richiedere l'attivazione del rinnovo automatico dei certificati secondo queste modalità operative:
1 – Richiedere al nostro servizio l’attivazione “Automatic Renewal”: in questo caso invece di generare un file di richiesta (Certificate Request) da trasmettere tramite ticket è sufficiente comunicare via email o ticket l’intenzione di attivare il rinnovo automatico specificando il sito web e quanti giorni prima ricevere la mail con il nuovo certificato. Questa modalità non cambia la chiave privata che rimane immutata sui sistemi e non è possibile aggiungere un alias al certificato esistente. E’ utile nei casi in cui il servizio non cambia nome e non sono richieste particolari misure di sicurezza (es.: sito interno). Nel caso si voglia cambiare la chiave privata, rinnovare il certificato in altra data o aggiungere un alias occorre fare una nuova request come al solito lasciando poi scadere il vecchio certificato. Se è stato attivato l’automatic renewal, il referente del sito riceverà in automatico la mail da Sectigo con i link per scaricare il nuovo certificato nei giorni precedenti la scadenza di quello vecchio.
Nella pagina di richiesta di un nuovo certificato, sul portale Helpdesk, è stato aggiunto un nuovo campo per specificare l’eventuale adesione al rinnovo automatico.
2 – Attivare il protocollo ACME sui propri sistemi. In questo caso bisogna procedere come segue e come spiegato dettagliatamente nella guida Garr:
https://wiki.idem.garr.it/wiki/GARRCS:GARR-TCS-4#ACME_e_gestione_automatizzata_dei_certificati_SSL
a – effettuare la richiesta inviando una email a certificati.ssl(at)uniud.it specificando il sito web (URL / FQDN del server web) e un referente a cui verranno comunicati i dati per la connessione: verrà creato un account su Sectigo per gestire le chiavi di connessione alle loro API del protocollo ACME.
b – installare sul proprio sistema il programma “certbot” e seguire le istruzioni della guida utilizzando le chiavi fornite.
In questo modo i certificati verranno rinnovati periodicamente in automatico dal proprio sistema. Ogni variazione di nome, alias ecc. partirà dal proprio sistema che riconfigurerà la richiesta verso Sectigo. E' lo stesso meccanismo utilizzato da Let’sEncrypt ma a differenza di questo richiede un account verificato su Sectigo.
Risoluzione problemi relativi ai certificati
Nel caso sorgano problemi in fase di installazione dei certificati è possibile riaprire il ticket di richiesta/rinnovo se presente oppure scrivere un email all’indirizzo certificati.ssl(at)uniud.it specificando il nome del servizio/server e il motivo della richiesta. Se il certificato risulta compromesso occorre chiede la revoca e il successivo rinnovo.
Informazioni utili
Questa è la pagina ufficiale del servizi di gestione dei certificati SSL gestito dal Garr e la pagina del provider per la generazione della Request:
https://wiki.idem.garr.it/wiki/GARRCS:GARR-TCS-4
https://www.sectigo.com/knowledge-base/product/Certificate_Signing_Request_CSR