Generazione certificato Self signed - Avviso SPID 29V3

mpratesi · 18 Novembre 2020, 6:32pm

Buonasera, l’avviso SPID 29v3 ha introdotto alcune specifiche nella struttura dei certificati di sigillo elettronico per gli SP pubblici/privati che riporto di seguito:

Nel campo SubjectDN : a. organizationName (OID 2.5.4.10) — Denominazione completa e per esteso del SP, così come indicata nei pubblici registri, come riportata nel tag XML del metadata del SP (esempio: “Comune di Forlì” e non “COMUNE DI FORLI’”; anche “Agenzia per l’Italia Digitale” e non “Agenzia per l’italia digitale”).

b. commonName (OID 2.5.4.3) — La denominazione che valorizza l’estensione organizationName, eventualmente senza esplicitazione degli acronimi, come riportata nel tag XML del metadata del SP (esempio: “AgID”).

c. uri (OID 2.5.4.83) — EntityID del SP, così come riportato nell’attributo entityID del tag XML del metadata del SP.

d. organizationIdentifier (OID 2.5.4.97) — Un codice identificativo unico del SP all’interno della federazione SPID, conforme alla sintassi prevista dalla norma ETSI EN 319-412-1, §5.1.4: i. SP pubblici — in base al §5.1.4 punto 3 della suddetta norma, valorizzato con il prefisso ‘PA:IT-’ seguito dal codice IPA dell’Ente — ad esempio, per il Comune di Roma (codice IPA ‘c_h501’) tale estensione è valorizzata come “PA:IT-c_h501”;

ii. SP privati — la seguente alternativa di codici utilizzando, in ordine di preferenza: § il numero di partita IVA (in base al §5.1.4 punto 1 della suddetta norma), preceduto dal prefisso ‘VAT,’ seguito dal codice ISO 3166-1 α-2 del Paese, seguito dal carattere ‘-’ (0x2D) (ad esempio, “VAT IT - 12345678901 ”);

§ per i soggetti non provvisti di partita IVA, il codice fiscale (in base al §5.1.4 punto 2 della suddetta norma), preceduto dal prefisso ‘CF:IT-’ (esempio; “CF: IT - XYZABCAAMGGJ000W ”);

iii. altro codice alternativo fornito da AgID in casi particolari.

e. countryName (OID 2.5.4.6) — il codice ISO 3166-1 α-2 del Paese ove è situata la sede legale del SP (esempio: “IT”);

f. localityName (OID 2.5.4.7) — il nome completo della città ove è situata la sede legale del SP (esempio: “Forlì” e non “Forli’”).

2

Nel campo CertificatePolicies : a. policyIdentifier — contenente quantomeno uno dei seguenti identificatori: i. SP pubblici — spid-publicsector-SP (OID 1.3.76.16. 4.2.1 );

ii. SP privati — spid-privatesector-SP (OID 1.3.76.16. 4.3.1 ).

I certificati di sigillo elettronico conformi con la Determinazione AgID №121/2019 s.m.i.OID 1.3.76.16 .6 ). 1 – anche se non qualificati2 – contengono inoltre l’estensione agIDcert OID 1.3.76.16 .6 ).

Qualcuno ha definito una procedura per la generazione con openssl o tools analoghi di questa specifica tipologia di certificati?

Grazie

marmarmar · 24 Novembre 2020, 5:50pm

Salve, mi accodo anche io alla richiesta, perchè ho la stessa difficoltà nel generare il certificato.
Grazie

Massimo_Greco · 15 Gennaio 2021, 11:23am

Salve, anche se la richiesta è un po vecchia, provo a dare qualche indicazione sperando che possa servire a qualcuno.

Io ho generato un certificato SelfSign con il seguente comando di OpenSSL versione 1.1.1h:

openssl.exe req -x509 -nodes -newkey rsa:2048 -sha256 -keyout “file.key” -out “file.cer” -subj “/C=IT/ST=MI/L=Milano/O=012017/OU=COMUNE DI PROVA/CN=COMUNE DI PROVA/organizationIdentifier=PA:IT-a_a000” -addext “subjectAltName = URI:https:\/\/blablabla.it\/bla\/bla” -days 1095 -config “openssl.cfg”

Il file openssl.cfg è così composto:

[req]
distinguished_name = req_distinguished_name
x509_extensions = usr_cert

[req_distinguished_name]
countryName = C
countryName_default =
stateOrProvinceName = ST
stateOrProvinceName_default =
localityName = L
localityName_default = <Citta’>
organizationName = O
organizationName_default =
organizationalUnitName = OU
organizationalUnitName_default = <Ragione Sociale dell’Ente>
commonName = CN (MAX 64char)
commonName_default =
commonName_max = 64

[usr_cert]
keyUsage = digitalSignature
extendedKeyUsage = codeSigning
certificatePolicies = @pl_section

[pl_section]
policyIdentifier = 1.3.76.16.4.2.1
userNotice.1 = @notice

[notice]
explicitText = “spid-publicsector-SP”

Spero di essere stato sufficientemente chiaro.

Saluti.

Denis_Bragato · 18 Marzo 2022, 9:33am

Buongiorno,
scusate se riprendo questa conversazione, ma non riesco ad aggiungere l’attributo di cui al punto “c.” (uri , valorizzato con l’EntityID) in fase di generazione del certificato.
Mi potete aiutare?

Saluti a tutti.