Buongiorno a tutti,
chiedo scusa se la mia domanda è stata già posta in passato ma, con qualche ricerca rapida, non ho trovato la risposta che mi occorre.
Lavoro per una società, fornitrice di una PA, che si è occupata dell’integrazione con sistemi SPID e CIE. La PA mi ha comunicato che ha acquistato un nuovo certificato https, con una nuova private key, da un diverso fornitore e mi sto organizzando per sostituirlo sul portale aziendale.
Il mio dubbio è il seguente: come bisogna regolarsi per la questione delle integrazioni con i sistemi SPID e CIE?
Mi spiego meglio. Le asserzioni SAML sono firmate mediante il precedente certificato https che, tra l’altro, scadrà a breve; le chiamate SAML potranno continuare ad essere firmate con il “vecchio” certificato (anche se scaduto)? Oppure bisogna registrare/comunicare il nuovo ad AgID in qualche modo (firmando nuovamente il metadata e caricandolo, magari)?
Grazie in anticipo a chiunque sarà in grado di aiutarmi o indirizzarmi.
Potrei confondermi ma il certificato lato applicazione basta che sia valido e fornito da una CA affidabile , in tal caso non richiede lavoro di integrazione. La scadenza del certificato fornito da IdP è quello che genera bloccanti. Ammetto di non essere un esperto quindi potrei aver detto baggianate.
Ho trovato, nel frattempo, questo thread nel quale, pare, si dica che occorra una comunicazione ad AgID:
Qualcuno sa dirmi, gentilmente, se è ancora così che bisogna procedere?
E, ancora, qual è la procedura corretta da seguire per aggiornare le informazioni?
Chiedo scusa ma non sono molto pratico della materia.
L’aggiornamento dei certificati della connessioni HTTPS non coinvolgono l’operatività delle delle federazioni SAML (in questo caso della federazione SPID).
In altre parole, il certificato utilizzato nel protocollo HTTPS e quello utilizzato nella firma delle asserzioni SAML non sono assolutamente correlati.
Fra l’altro, i certificati per la firma delle asserzioni SAML devono soddisfare i requisiti indicati nell’Avviso SPID n° 29.
Ti ringrazio per i dettagli, i riferimenti normativi e i link per i tools.
Il “problema” è che, per la CIE, non erano/sono ammessi certificati self-signed e, non avendo altro che il certificato https del cliente, ho dovuto utilizzare quello (anche) per la firma delle asserzioni SAML: ecco perchè ho “mischiato” le due cose.
Per SPID, in effetti, è attualmente in uso un certificato self-signed ma, dato che è vicina la scadenza anche di quello, ho pensato di recuperare informazioni sulla procedura da seguire anche per il suo aggiornamento.
Provvederò a contattare gli enti preposti per farmi indicare le modalità di “sostituzione” dei certificati.