.
Informazioni importanti
La Swiss Government PKI ha delegato l'emissione di certificati SSL/TLS di fiducia pubblica a una società partner ("QuoVadis"). Questa società è stata rilevata qualche tempo fa da "DigiCert". A seguito di questo cambiamento, tutti gli utenti autorizzati (abbonati) che hanno ottenuto certificati SSL tramite la piattaforma "QuoVadis" devono essere migrati alla nuova piattaforma "DigiCert".
La Swiss Government PKI contatterà tutti gli abbonati direttamente via e-mail. Questa contiene l'indirizzo del mittente "DigiCert" e contiene l'invito a registrarsi sulla piattaforma "DigiCert". Chiediamo a tutti i destinatari di seguire le istruzioni contenute nell'e-mail per completare la nuova registrazione.
Tutte le organizzazioni esistenti su "QuoVadis" e i domini esistenti sono stati pre-registrati dalla Swiss Government PKI su "DigiCert". Se necessario, gli abbonati devono comunque registrare il "RandomValue" nel DNS del dominio per la convalida. In questo caso, la PKI contatterà nuovamente gli abbonati.
Per consentire agli abbonati di familiarizzare con la nuova piattaforma "DigiCert", la Swiss Government PKI li contatterà e/o, se necessario, organizzerà una riunione virtuale con tutte le persone autorizzate dell'organizzazione.
Una volta completata la migrazione, i nuovi certificati TLS/SSL potranno essere emessi solo sulla piattaforma "DigiCert".
Documentazione
- Le informazioni sulla radice e sui certificati per la catena di convalida possono essere scaricate da: https://www.digicert.com/kb/digicert-root-certificates.htm.
- Le istruzioni di supporto per l'emissione di certificati TLS/SSL sono disponibili su : SSL Certificate, Client Certificate & Code Signing Certificate Support (digicert.com).
Alla voce Certificati: raccolta moduli/documenti si trovano tutti i moduli e i documenti.
La Swiss Government PKI (SG-PKI) ha delegato la procedura di rilascio dei certificati SSL/TLS publicly trusted a un’impresa partner esterna.
Con questa collaborazione vengono adattate le procedure di rilascio dei certificati SSL/TLS web, la registrazione delle unità organizzative (UO) e domini, i criteri di valutazione e i requisiti di sicurezza del nostro partner. Naturalmente anche le procedure di rilascio della nostra impresa partner sono sottostanno alle normative internazionali e alle disposizioni del CA/Browser Forum, così come alle relative procedure di verifica.
Secondo le loro autorizzazioni SSL/TLS, gli utenti registrati (denominati dall’impresa partner «subscriber») hanno la possibilità di ordinare o revocare autonomamente certificati.
Il controllo e l’approvazione dei subscriber e delle richieste continuano a essere di competenza della SG-PKI.
Ordinazione/Fornitura
Affinché un subscriber possa richiedere un certificato SSL/TLS, devono essere soddisfatti i requisiti indicati di seguito.
- Certificato di classe B
Il subscriber deve essere in possesso di un certificato di classe B della SG-PKI. - Amministratore del rispettivo server
La richiesta viene presentata mediante una Certificate Signing Request (CSR). Quest’ultima deve essere generata sul rispettivo server con una nuova coppia di chiavi. Il subscriber/l’amministratore del server deve disporre sia delle conoscenze necessarie per creare tale CSR, sia delle autorizzazioni amministrative sul rispettivo server. - Autorizzazione del dominio
Il subscriber deve essere autorizzato a creare i certificati per i rispettivi domini. Altrimenti detto, deve essere registrato presso la SG-PKI per questa funzione. I nuovi subscriber per i certificati SSL/TLS devono registrarsi tramite l’apposito modulo della SG-PKI (vedi sotto). - Registrazione dell’organizzazione
Mediante la registrazione, la SG-PKI verifica l’esistenza e l’operabilità dell’organizzazione. Viene altresì verificato il numero IDI dell’organizzazione (vedi anche_www.uid.admin.ch). - Certificati EV SSL/TLS
Per i certificati EV SSL/TLS, il servizio di certificazione partner necessita anche di una lettera di autorizzazione da parte dell’organizzazione. In questa pagina è disponibile un modello per la suddetta lettera.
Ordine
- Per preparare la richiesta di certificato SSL/TLS (EV), è necessario generare un CSR sul server interessato.
- Questa deve essere creata con una nuova chiave, poiché il riutilizzo di una chiave esistente comporterebbe un errore durante l'elaborazione della richiesta.
Ordinare il certificato SSL/TLS tramite Ticket
(Service Desk BIT 058 465 88 88 o RoBIT.
Generazione di coppie di chiavi e CSR
Se non siete ancora sicuri di come generare correttamente un CSR, potete trovare una descrizione dettagliata della procedura qui: Generazione della coppia di chiavi e del CSR.
Revoca
- Tutti i subscriber del portale dell’impresa partner possono revocare autonomamente i certificati rilasciati.
- La revoca di un certificato TLS/SSL può essere richiesta anche tramite ticket (Service Desk BIT 058 465 88 88 / RoBIT).
Documentazione
QuoVadis Global Privacy Notices