Linee guida per emissione e gestione di certificati

In caso di comunicazioni col CART protette da Mutua Autenticazione (mTLS) in ambito fruitore o erogatore, è responsabilità delle applicazioni integrate richiedere, gestire operativamente e rinnovare i certificati SSL/TLS in uso dai loro server sui canali TLS attivi, amministrando e mantenendo segrete le chiavi private associate.

La parte pubblica dei certificati generati (*.cer/pem) dovrà essere inviata tramite ticket al ServiceDesk CART (cartdesk@regione.toscana.it), per richiederne il trust sull’infrastruttura di Interoperabilità di Regione Toscana, allegando anche la catena completa delle CA firmatarie nel caso di si utilizzi un certificato proprio e non rilasciato dall’ente regionale preposto.

Contatti e Assistenza Tecnica sui Certificati

Nel caso in cui sia necessario ulteriore supporto o emergessero dubbi tecnici, potete contattare direttamente il team PKI preposto scrivendo mail a ra.pki@regione.toscana.it ed illustrando nel dettaglio la necessità.

Supporto all’emissione di certificati

Qualora un applicativo non sia provvisto di certificati (validi) per l’integrazione mTLS con la componente CART, Regione Toscana mette a disposizione l’infrastruttura PKI per l’emissione di nuovi certificati su CA Privata RTRT.
I certificati sono rilasciati in conformità con i vincoli di sicurezza indicati di seguito.

Dopo aver contattato il ServiceDesk CART per segnalare l’esigenza, ottenendo un ID Ticket dell’attività e concordando con loro i CN adatti, ogni applicativo può procedere in autonomia nell’inoltrare richiesta dei certificati necessari. Di seguito trovate una guida step-by-step, contenente link al portale di regione ed i vari passi da effettuare per ottenere nuovi certificati:

Guida rilascio certificati App2App integrazione CART

ATTENZIONE
Per motivi di sicurezza legati alla riservatezza e non-divulgazione delle chiavi private, la generazione di certificati dovrebbe essere effettuata dai referenti degli applicativi che gestiranno materialmente le chiavi associate e si occuperanno poi dell’installazione sui server interessati.

Vincoli sui Certificati

Di seguito l’elenco dei vincoli da applicare durante l’emissione di un certificato per integrazione col CART, secondo le linee guida di Regione Toscana:

  1. No certificati self-signed (in nessun ambiente)
  1. No certificati emessi da CA Private di soggetti terzi
    Per CA particolari (non-pubbliche) emesse da enti amministrativi specifici, è necessario chiedere in prima battuta una verifica ed approvazione al team PKI
  2. No certificati con domini wildcard (se necessario utilizzare SAN)
  3. Chiavi e hashing: RSA (minimo 2048), SHA (minimo SHA256)
  4. Attributo «Utilizzo Avanzato Chiave» (EKU) correttamente configurato in base all’utilizzo del certificato stesso: deve includere ‘Autenticazione Client’ se usato lato fruitore e ‘Autenticazione Server’ se invece esposto lato erogatore
  5. No utilizzo dello stesso certificato sia in Collaudo che in Produzione. Per ciascun ambiente è necessario procurarsi certificati distinti con diversi CN.
  6. CN di lunghezza massima 64 caratteri (evitando se possibile caratteri speciali)