====== Portale per le richieste di certificati TLS e S/MIME ======

<WRAP center round info 80%>
GARR CS (Certification Service)
GARR Certification Service rilascia gratuitamente certificati digitali, sia nella versione personale che server, a tutti gli enti connessi alla rete GARR.

I certificati sono emessi dalla Certification Authority HARICA tramite il Trusted Certificate Service di GEANT.
</WRAP>


Il servizio TCS GARR partecipa al Trusted Certificate Service (TCS) gestito e coordinato da Géant a favore delle reti della ricerca europee.

Tramite questo servizio, GARR offre gratuitamente alla propria comunità certificati digitali x.509 (disponibili anche in versione e-Science, validi cioè per l'autenticazione su risorse GRID ) emessi da una delle maggiori Certification Authority commerciali: HARICA, riconosciuta automaticamente dalla quasi totalità dei browser web esistenti.

{{:guide_pubbliche:certificatitls:tcs_01.png?800|}}

Inoltre sono disponibili anche certificati Code signing per la firma del software ad un prezzo scontato.

A partire da Gennaio 2025 il fornitore del servizio TCS è diventato la Certification Authority HARICA. Tutti i certificati già emessi con Sectigo resteranno validi e manterranno la propria validità fino alla scadenza indicata nel certificato stesso.

===== Indirizzo web del portale HARICA =====

https://cm.harica.gr/

===== Accesso al portale =====

Per poter effettuare richieste di certificati occorre accedere al portale https://cm.harica.gr/,
utilizzando il pulsante "Academic Login" e selezionando Università di parma come proprio istituto di provenienza.

{{:guide_pubbliche:certificatitls:tcs_03.png?400|}}

{{:guide_pubbliche:certificatitls:tcs_04.png?400|}}

===== Richiesta certificato server =====

Dalla propria Dashboard selezionare dal menu di sinistra la voce "Server"

{{:guide_pubbliche:certificatitls:certificato_01.png?nolink&600|}}

A) Indicare un nome mnemonico a scelta per identificare facilmente il certificato\\
B) Indicare l'FQDN (Fully Qualified Domain Name) per il quale si desidera ottenere il certificato\\
C) Spuntando l'opzione si ottiene la validità del certificato anche per il suffisso www\\
D) Eventualmente aggiungere ulteriori nomi alternativi validi per il certificato.\\

{{:guide_pubbliche:certificatitls:certificato_02.png?nolink&600|}}

Proseguire premendo il pulsante "Next"\\

Al passaggio successivo selezionare a propria scelta il tipo di certificato desiderato.
Differenza fra le due opzioni:

Certificato DV: certificato semplice per certificare uno o più domini\\
Certificato OV: certificato per validare uno o più domini contenente anche le informazioni della propria organizzazione di riferimento per il dominio.\\

{{:guide_pubbliche:certificatitls:certificato_03.png?nolink&600|}}

Dopo la selezione compare un riepilogo della selezione appena effettuata, scegliere il pulsante "Next" per proseguire

{{:guide_pubbliche:certificatitls:certificato_04.png?nolink&600|}}

Nel caso di certificato di tipo OV compare un riepilogo dei dati dell'organizzazione, premere "Next per proseguire"

{{:guide_pubbliche:certificatitls:certificato_06.png?nolink&600|}}

Proseguendo compare un riepilogo e l'accettazione esplicita da parte dell'utente (da accettare obbligatoriamente) con la quale si dichiara di aver letto e di aver accettato, inviando la presente richiesta, i termini d'uso e le CPS (certification practices) di HARICA. Si accetta altresì che HARICA processi, utilizzi e salvi i dati di questa richiesta in accordo con la dichiarazione relativa alla Privacy dei dati.

{{:guide_pubbliche:certificatitls:certificato_07.png?nolink&600|}}

Nella schermata successiva si può scegliere (da noi consigliato) di auto generare la CSR, oppure sottomettere una CSR creata manualmente dall'utente (per utenti esperti).

Consigliamo di scegliere "Auto-generate CSR" e apporre la spunta sulla dichiarazione di accettazione dei termini come nella schermata precedente. Premere il pulsante "Submit request"

{{:guide_pubbliche:certificatitls:certificato_08.png?nolink&600|}}

Nella schermata successiva si imposta una password per proteggere l'esportazione della chiave privata e si deve spuntare la casella con la quale si afferma di comprendere che la password è sotto la propria responsabilità e che HARICA non ha accesso a queta password.
Occorre apporre altresì la spunta per accettare i termini come nelle schermate precedenti.

{{:guide_pubbliche:certificatitls:certificato_09.png?nolink&600|}}

Al passaggio successivo si ottiene una conferma che la richiesta è stata inviata.

{{:guide_pubbliche:certificatitls:certificato_10.png?nolink&600|}}

Premere su link "Download" per scaricare la propria chiave privata. Questo download si può effettuare solamente in questa occasione, pertanto occorre non saltare questo passaggio e salvare e conservare con cura la password.

{{:guide_pubbliche:certificatitls:certificato_11.png?nolink&600|}}

Infine apporre la spunta in basso a sinistra per confermare di aver scaricato la propria chiave privata. Proseguire premendo il pulsante "Go back to dahsboard".

{{:guide_pubbliche:certificatitls:certificato_12.png?nolink&600|}}


Nella propria Dashboard, nella sezione "Pending Certificates" sarà visibile la richiesta appena sottomessa.\\

<WRAP center round tip 80%>
Consigliamo di aprire un ticket a helpdesk.informatico@unipr.it per richiedere l'accettazione della richiesta per il certificato TLS relativo al dominio ... (indicare il nome di dominio scelto)
</WRAP>


{{:guide_pubbliche:certificatitls:certificato_13.png?nolink&800|}}


Quando la richiesta di certificato sarà stata accettata, riceverete una notifica via email con il link alla Dashboard per scaricare il certificato.

{{:guide_pubbliche:certificatitls:certificato_14.png?nolink&600|}}

Nella vostra Dashboard, sezione "Valid Certificates", vedrete il certificato disponibile per il download. Premete sull'icona a destra indicata dalla freccia

{{:guide_pubbliche:certificatitls:certificato_15.png?nolink&800|}}

Il pannello presenta diverse sezioni, la principale è quella chiamata "Download", dalla quale è possibile scaricare il certificato in diversi formati.\\
PEM: contiene esclusivamente il certificato richiesto
PEM bundle: include anche i certificati della root CA e delle CA intermedie

Se avete esigenza di creare un file di tipo .p12 utilizzate il tool automatico sul sito https://www.harica.gr/en/Tools/PemToP12 utilizzando i file PEM, PEM bundle e la chiave privata scaricata precedentemente (privateKey.pem)

{{:guide_pubbliche:certificatitls:certificato_16.png?nolink&800|}}

La sezione "Revocation" consente di revocare un vostro certificato, specificando le ragioni della revoca.

{{:guide_pubbliche:certificatitls:certificato_17.png?nolink&800|}}

Infine la sezione "Notification" consente di personalizzare l'invio di email di notifica per la scadenza del certificato 15, 5 e 1 giorno prima della scadenza. Si possono aggiungere eventuali ulteriori destinatari email per queste notifiche.

{{:guide_pubbliche:certificatitls:certificato_18.png?nolink&800|}}