Buongiorno a tutti,
nella procedura per l’implementazione di SPID da parte di un SP è necessario generare il certificato applicativo per la generazione dei metadati da inviare ad AGID.
Riporto il comando di esempio per la generazione del certificato:
openssl req -newkey rsa:2048 -new -x509 -days 3652 -nodes -out cert/spid-sp.crt -keyout cert/spid-sp.pem
Domanda 1:
Questo certificato non è in nessun modo relazionato con il certificato utilizzato per esempio dall’istanza di Apache che espone il servizio dell’SP in https corretto?
Domanda 2:
Gli attributi “Country Name”, “State or Province Name”, “Locality Name”, “Organization Name”, “Organizational Unit Name”, “Common Name” e “Email Address” richiesti in fase di generazione del certificato sono vincolanti al fine dell’approvazione dell’attestazione da parte di AGID?
Ciao @umbros, sai mica darmi qualche indicazione su quando verrà pubblicato l’avviso di cui parli e se ci saranno grandi novità rispetto all’operatività attuale di SPID ?
Ciao @FedericoA,
sarà semplicemente un chiarimento sul certificato per il signing e l’encryption delle asserzioni.
Entro la metà della prossima settimana.
Non sarà il massimo, però per principio racchiude e riconosce un serio concetto. … l’autocertificazione digitale ! poi ovviamente in altri contesti di autenticazioni varie deve avere la sua bella Autorità di Certificazione
Bhè comunque io sono dalla parte delle CA, è giusto che facciano profitti (ovviamente in un mercato di libera concorrenza e non di monopolio), e cmq utile servizio e sicuramente si merita di essere pagato un servizio del genere (oltretutto affascinante nella sua forma logico-matemarica) che altri servizi che esistono al mondo .
Ciao rispondo come su un altro post che trattava il tema del self signed:
SAML utilizza la chiave pubblica, nella forma di un certificato X.509 che viene riportato sul metadata) per securizzare la trasmissione dei dati tra i soggetti federati (IDP/SP/AA). Questi certificati non sono utilizzati nelle transazioni tls via browser ma solo per la firma ed encryption (che presto attiveremo) delle asserzioni basando tutto sull’ Explicit Key Trust Model.
Secondo questo modello le chiavi pubbliche legate ai certificati nei metadati sono trustate, non i certificati stessi che sono concepiti come un contenitore di una chiave pubblica trustata. Questo è anche un motivo, sopratutto per gestione e scalabilità, per cui è accettata la creazione di certificati self-signed di lunga durata. Il contenuto del certificato è ignorato. Un processo importante è quindi la modalità di controllo delle informazioni sul metadata e di come vengono rilasciate. Proprio per questo motivo è AgID stessa a controllare il flusso di controllo e caricamento del metadata presso gli IDP.
Ovviamente se un’amministrazione utilizza un certificato emesso da una CA non c’è nulla in contrario.
Se avete necessità di ulteriori informazioni sono a disposizione.
Buongiorno,
ho un dubbio riguardo alla generazione dei metadati, nella parte che riguarda il certificato in questione: se nei metadati ci va la chiave pubblica, devo aspettare che AgID risponda alla mia richiesta di certificato (modulo relativo all’avviso n.23) prima di poter generare i metadati ed inviarli per l’iscrizione al Registro?
Spero di essermi spiegato, perchè ho un pò di confusione in merito.