{"id":555,"date":"2025-03-21T16:26:16","date_gmt":"2025-03-21T15:26:16","guid":{"rendered":"http:\/\/159.213.227.18\/wordpress\/?page_id=555"},"modified":"2025-03-21T16:44:04","modified_gmt":"2025-03-21T15:44:04","slug":"richiesta-ed-emissione-certificati","status":"publish","type":"page","link":"http:\/\/159.213.227.18\/wordpress\/it\/integrazione-degli-applicativi\/richiesta-ed-emissione-certificati\/","title":{"rendered":"Linee guida per emissione e gestione di certificati"},"content":{"rendered":"\n

In caso di comunicazioni col CART protette da Mutua Autenticazione (mTLS) in ambito fruitore o erogatore, \u00e8 responsabilit\u00e0 delle applicazioni integrate richiedere, gestire operativamente e rinnovare i certificati SSL\/TLS<\/strong> in uso dai loro server sui canali TLS attivi, amministrando e mantenendo segrete le chiavi private associate.<\/p>\n\n\n\n

La parte pubblica dei certificati generati (*.cer\/pem) dovr\u00e0 essere inviata tramite ticket al ServiceDesk CART (cartdesk@regione.toscana.it<\/a>), per richiederne il trust sull\u2019infrastruttura di Interoperabilit\u00e0 di Regione Toscana, allegando anche la catena completa delle CA firmatarie nel caso di si utilizzi un certificato proprio e non rilasciato dall\u2019ente regionale preposto.<\/p>\n\n\n\n

Contatti e Assistenza Tecnica sui Certificati<\/h2>\n\n\n\n

Nel caso in cui sia necessario ulteriore supporto o emergessero dubbi tecnici, potete contattare direttamente il team PKI preposto scrivendo mail a ra.pki@regione.toscana.it<\/a> ed illustrando nel dettaglio la necessit\u00e0.<\/p>\n\n\n\n

Supporto all’emissione di certificati<\/h2>\n\n\n\n

Qualora un applicativo non sia provvisto di certificati (validi) per l\u2019integrazione mTLS con la componente CART, Regione Toscana mette a disposizione l’infrastruttura PKI per l’emissione di nuovi certificati<\/strong> su CA Privata RTRT.
I certificati sono rilasciati in conformit\u00e0 con i vincoli di sicurezza indicati di seguito.<\/p>\n\n\n\n

Dopo aver contattato il ServiceDesk CART<\/strong> per segnalare l\u2019esigenza, ottenendo un ID Ticket dell\u2019attivit\u00e0 e concordando con loro i CN adatti, ogni applicativo pu\u00f2 procedere in autonomia nell\u2019inoltrare richiesta dei certificati necessari. Di seguito trovate una guida step-by-step, contenente link al portale di regione ed i vari passi da effettuare per ottenere nuovi certificati:<\/p>\n\n\n\n

Guida rilascio certificati App2App integrazione CART<\/a><\/p>\n\n\n\n

ATTENZIONE<\/strong>
Per motivi di sicurezza legati alla riservatezza e non-divulgazione delle chiavi private, la generazione di certificati dovrebbe essere effettuata dai referenti degli applicativi che gestiranno materialmente le chiavi associate e si occuperanno poi dell’installazione sui server interessati.<\/em><\/p>\n\n\n\n

Vincoli sui Certificati<\/h2>\n\n\n\n

Di seguito l’elenco dei vincoli da applicare durante l\u2019emissione di un certificato<\/strong> per integrazione col CART, secondo le linee guida di Regione Toscana:<\/p>\n\n\n\n

  1. No certificati self-signed (in nessun ambiente)<\/li><\/ol>\n\n\n\n
    1. No certificati emessi da CA Private di soggetti terzi
      Per CA particolari (non-pubbliche) emesse da enti amministrativi specifici, \u00e8 necessario chiedere in prima battuta una verifica ed approvazione al team PKI<\/em><\/li>
    2. No certificati con domini wildcard (se necessario utilizzare SAN)<\/li>
    3. Chiavi e hashing: RSA (minimo 2048), SHA (minimo SHA256)
      \"\"<\/li>
    4. Attributo \u00abUtilizzo Avanzato Chiave\u00bb (EKU) correttamente configurato in base all\u2019utilizzo del certificato stesso: deve includere \u2018Autenticazione Client’ se usato lato fruitore e ‘Autenticazione Server’ se invece esposto lato erogatore
      \"\"<\/li>
    5. No utilizzo dello stesso certificato sia in Collaudo che in Produzione. Per ciascun ambiente \u00e8 necessario procurarsi certificati distinti con diversi CN.<\/li>
    6. CN di lunghezza massima 64 caratteri (evitando se possibile caratteri speciali)
      \"\"<\/li><\/ol>\n","protected":false},"excerpt":{"rendered":"

      In caso di comunicazioni col CART protette da Mutua Autenticazione (mTLS) in ambito fruitore o erogatore, \u00e8 responsabilit\u00e0 delle applicazioni integrate richiedere, gestire operativamente e rinnovare i certificati SSL\/TLS in uso dai loro server sui canali TLS attivi, amministrando e mantenendo segrete le chiavi private associate. La parte pubblica dei certificati generati (*.cer\/pem) dovr\u00e0 essere […]<\/p>\n","protected":false},"author":1,"featured_media":0,"parent":274,"menu_order":0,"comment_status":"closed","ping_status":"closed","template":"","meta":[],"_links":{"self":[{"href":"http:\/\/159.213.227.18\/wordpress\/wp-json\/wp\/v2\/pages\/555"}],"collection":[{"href":"http:\/\/159.213.227.18\/wordpress\/wp-json\/wp\/v2\/pages"}],"about":[{"href":"http:\/\/159.213.227.18\/wordpress\/wp-json\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"http:\/\/159.213.227.18\/wordpress\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"http:\/\/159.213.227.18\/wordpress\/wp-json\/wp\/v2\/comments?post=555"}],"version-history":[{"count":4,"href":"http:\/\/159.213.227.18\/wordpress\/wp-json\/wp\/v2\/pages\/555\/revisions"}],"predecessor-version":[{"id":565,"href":"http:\/\/159.213.227.18\/wordpress\/wp-json\/wp\/v2\/pages\/555\/revisions\/565"}],"up":[{"embeddable":true,"href":"http:\/\/159.213.227.18\/wordpress\/wp-json\/wp\/v2\/pages\/274"}],"wp:attachment":[{"href":"http:\/\/159.213.227.18\/wordpress\/wp-json\/wp\/v2\/media?parent=555"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}