Generazione certificato per SP privato

donatissimo · 3 Maggio 2021, 12:58am

Buongiorno a tutti,
qualcuno mi aiuta a generare con openssl un certificato per un SP privato aderente all’avviso nr. 29 – Versione 3 in un formato compatibile con la funzione di generazione del file metadata utilizzata da spid-php-lib?
Grazie

ClaudioP · 4 Maggio 2021, 6:38am

Vai qui https://github.com/italia/spid-compliant-certificates

donatissimo · 4 Maggio 2021, 7:09am

grazie per la risposta. Ci sono andato ma lo script gencert-private.sh genera la chiave privata e il csr ma non il crt come invece accade per la versione public. La libreria spid-php-lib vuole chiave privata e crt. Se gli do il csr si arrabbia

ClaudioP · 4 Maggio 2021, 7:31am

Il crt te lo invia AGID per SP privati.

donatissimo · 4 Maggio 2021, 7:40am

ah ok. E intanto però come faccio a generare un xml con i metadata? All’Agid non serve un metadata.xml per vedere se è tutto apposto prima di dare ok?

ClaudioP · 4 Maggio 2021, 7:58am

Allora, se devi testare con AGID e i vari tools, devi generarti un certificato conforme all’avviso: segui questa guida sino al punto 2 https://github.com/claudiopizzillo/spid-certificates-privatesector e usa questo comando per generarti il certificato: openssl req -new -x509 -config spid_private.conf -days 730 -keyout privkey.pem -out certificato.pem -extensions req_ext.
Infine firmati il metadata cosi: ./xmlsectool.sh --sign --inFile sp-metadata.xml --outFile sp-metadata-signed.xml --certificate certificato.pem --keyFile privkey.pem
Per convertire certificato.pem in .crt: openssl x509 -outform der -in certificato.pem -out certificato.crt

donatissimo · 4 Maggio 2021, 9:21am

Grazie mille. ci provo, gentilissimo

donatissimo · 9 Maggio 2021, 5:21pm

Nel tuo tutorial https://github.com/claudiopizzillo/spid-certificates-privatesector dici di mettere in commonName il valore https://VOSTRODOMINIO. Ma nell’avviso n.29v3 c’è scritto di metterci organizationName. Invece il tutorial https://github.com/italia/spid-compliant-certificates (il primo da te indicato) sembra essere aderente al suddetto avviso

ClaudioP · 13 Maggio 2021, 12:29pm

Si, il primo è errato. Usa il spid-compliant-certificates dove ho impostato tutto correttamente.

pasqualecocchiero · 17 Maggio 2021, 1:11pm

@donatissimo grazie per avermi indirizzato qui.
Ho un dubbio: nelle Regole tecniche (https://docs.italia.it/italia/spid/spid-regole-tecniche/it/stabile/metadata.html) viene indicato che il commonName deve avere lo stesso valore dell’entityId. Dall’avviso 37 (https://www.agid.gov.it/sites/default/files/repository_files/spid-avviso-n37-entityid_mt_sp.pdf) si evince che da giugno l’entityId dovrà essere un URL, cosa che @ClaudioP indica come errore.

donatissimo · 17 Maggio 2021, 1:42pm

“Il presente Avviso è applicabile ai metadati inviati dai nuovi fornitori di servizi ad AgID a decorrere dal 1 giugno 2021” quindi fino ad allora penso si debba utilizzare il formato corrente. Non so se l’avviso vale anche per chi eventualmente aggiorna i metadati