Richiesta certificati personali
Da un browser aprire la pagina Sectigo Personal Certificate Manager, cercare INFN e autenticarsi sull'IdP di INFN-AAI:
La schermata iniziale sarà, mutatis muandis, questa:
Name e Email vengono passati a Sectigo direttamente dall'IdP di INFN-AAI.
Dal menu a tendina Certificate Profile* selezionare:
- GÉANT Personal Certificate per generare un certificato per utilizzo generico (crittografia e firma di messaggi di posta elettronica - NON documenti PDF; autenticazione clienti web e VPN);
- GÉANT IGTF-MICS Personal per generare un certificato per la GRID;
- GÉANT IGTF-MICS-Robot Personal per generare un cerificato robot per la GRID.
A questo punto indicare il periodo di validità del certificato - si può scegliere tra 1 e 3 anni:
Scegliere quindi Key Generation come Enrollment Method (la chiave privata del certificato verrà generata dal server remoto; in alternativa è possibile generare una CSR - Certificate Signing Request - e trasferirla sul server):
Selezionare il tipo di chiave (Key Type) e la sua lunghezza:
Sono disponibili chiavi RSA di lunghezza compresa tra 2048 e 8192 bit, e chiavi ellittiche da 256 e 384 bit. La lunghezza di una chiave determina grosso modo la sua robustezza e resistenza ad attacchi brute-force - per quanto riguarda le chiavi RSA, le più diffuse, si stima che quelle di lunghezza 2048 saranno sicure sino al 2030; si pensava peraltro che le chiavi di lunghezza 1024 sarebbero state crackate tra il 2006 e il 2010, ma la chiave di maggior lunghezza fattorizzata a tutto il 2020 è una RSA-250 (vale a dire un primo di 250 cifre decimali) da 829 bit.
Sono state provate con successo su Firefox, Thunderbird e il cliente standard OpenVPN chiavi RSA da 3072 e 4096 bit; quelle da 8192 allo stato attuale non funzionano in alcune applicazioni (segnatamente i clienti OpenVPN), e quindi sono sconsigliate. Le chiavi ellittiche di entrambe le lunghezze disponibili non creano problemi con Firefox e il cliente OpenVPN, ma non sembrano compatibili con Thunderbird.
È possibile generare (e quindi possedere) più di un certificato personale, per esempio per distinguere - e quindi individuare - i vari clienti che ne fanno uso; i server SMTP autenticati in produzione (longino.mib.infn.it/cassio.mib.infn.it e seven.mib.infn.it) non supportano più l'autenticazione tramite certificato, cionondimeno importare un certificato personale in Thunderbird è consigliato (sia per firmare ed eventualmente crittografare i messaggi, sia per introdurre un ulteriore strumento di verifica delle connessioni).
Terminare il processo inserendo la passphrase che proteggerà la chiave privata:
idealmente tale passphrase andrebbe scelta con gli stessi criteri con cui si sceglie una password e, ovviamente, non appuntata su fogli volanti o agende (o scritta nel file segreto che prima o poi verrà stampato e dimenticato sulla stampante) - scordarsi (o perdere) la passphrase equivale a rendere inservibile il certificato; è altresì sconsigliato eliminarla, vale a dire creare copie del certificato sprotette: un certificato non protetto da passphrase equivale più o meno a credenziali d'accesso ad alcuni servizi in chiaro.
Accettate infine l'EULA clockando sull'apposita checkbox I have read and agree to the terms of the EULA e sottomettete: il processo di generazione del certificato durerà qualche secondo - una volta terminato un finestra pop-up vi chiederà se aprire o scaricare il nuovo certificato in formato PKCS#12 (certs.p12): salvatelo, rinominatelo e importatelo in Firefox o Thunderbird, da dove potrà successivamente essere esportato.