certification practice statement (cps) registration e
TRANSCRIPT
Documento pubblico 1
TITO
LO P
RO
CED
UR
A T
ITO
LO
PR
PO
CED
UR
A T
ITO
LO P
RO
CED
UR
A
Questo documento è di proprietà eni spa che se ne riserva tutti i diritti
Rev. Descrizione Emissione
1.0 18/12/2014
Manuale Operativo
Certification Practice Statement (CPS)
Registration e Certification Authority eni
Documento pubblico 2
Questo documento è di proprietà eni spa che se ne riserva tutti i diritti
VA R
EPO
RT
TITOLO:
Certification Practice Statement (CPS). Registration e Certification Authority eni
NOTE:
Documento pubblico di diffusione delle policy della CA eni.
REV.: REDATTO DA: VERIFICATO DA: APPROVATO DA:
1.0 Ufficio Servizi di terza Parte Fidata eni
G.Roselli A.Cozza
Documento pubblico 3
Questo documento è di proprietà eni spa che se ne riserva tutti i diritti
VA R
EPO
RT
STORIA DELLE REVISIONI
Rev. Descrizione: Data emissione
1.0 Primo rilascio 18/12/2014
Indice
Documento pubblico 4
Questo documento è di proprietà eni spa che se ne riserva tutti i diritti
VA R
EPO
RT
Indice 1. Introduzione .............................................................................................................. 8
1.1. Contesto ........................................................................................................... 8
1.2. Identificazione del documento .............................................................................. 8
1.3. Modifiche introdotte rispetto alle versioni precedenti ................................................ 9
1.4. Tabella di Acronimi e Abbreviazioni ....................................................................... 9
1.5. Comunità ed Applicabilità .................................................................................. 10
1.5.1. Certification Authority ................................................................................. 10
1.5.2. Registration Authority ................................................................................ 10
1.5.3. Responsabile dell’identificazione ................................................................... 10
1.5.4. Utente ...................................................................................................... 10
1.6. Tipologia dei certificati ...................................................................................... 11
1.7. Responsabile del Manuale .................................................................................. 11
1.7.1. Assistenza sui servizi di CA .......................................................................... 12
1.7.2. Servizio Internet ........................................................................................ 12
1.8. Riferimenti ...................................................................................................... 12
2. Condizioni Generali di Erogazione ............................................................................... 14
2.1. Obblighi .......................................................................................................... 14
2.1.1. Obblighi della CA ........................................................................................ 14
2.1.2. Obblighi del Titolare .................................................................................... 14
2.2. Responsabilità della CA ..................................................................................... 14
2.2.1. Verso il Titolare .......................................................................................... 14
2.3. Pubblicazione e directory ................................................................................... 15
2.3.1. Informazioni sulla CA .................................................................................. 15
2.3.2. Certificati e CRL.......................................................................................... 16
2.4. Legge Applicabile e Foro Competente .................................................................. 16
3. Processi Operativi ..................................................................................................... 17
Indice
Documento pubblico 5
Questo documento è di proprietà eni spa che se ne riserva tutti i diritti
VA R
EPO
RT
3.1. Generazione della richiesta di Certificato .............................................................. 17
3.1.1. Certificato Firme Digitiali Qualificate e Certificati CNS-LIKE ............................... 17
3.1.2. Firme Digitali su Dispositivi HSM ................................................................... 17
3.1.3. Certificati SSL Client ................................................................................... 17
3.1.4. Certificati SSL Server CA Pubblica ................................................................. 18
3.1.5. Certificati SSL Server CA eni ........................................................................ 18
3.2. Registrazione del Titolare .................................................................................. 18
3.2.1. Certificato Firme Digitiali Qualificate e Certificati CNS-LIKE ............................... 18
3.2.2. Firme Digitali su Dispositivi HSM ................................................................... 19
3.2.3. Certificati SSL Client ................................................................................... 19
3.2.4. Certificati SSL Server CA Pubblica ................................................................. 19
3.2.5. Certificati SSL Server CA eni ........................................................................ 19
3.3. Verifica dei Dati ................................................................................................ 20
3.3.1. Certificato Firme Digitiali Qualificate e Certificati CNS-LIKE ............................... 20
3.3.2. Firme Digitali su Dispositivi HSM ................................................................... 20
3.3.3. Certificati SSL Client ................................................................................... 21
3.3.4. CERTIFICATI SSL SERVER CA PUBBLICA ........................................................ 21
3.3.5. CERTIFICATI SSL SERVER CA eni .................................................................. 21
3.4. Generazione del Certificato ................................................................................ 21
3.5. Pubblicazione del Certificato ............................................................................... 21
3.6. Accettazione del Certificato ................................................................................ 22
3.7. Installazione del Certificato ................................................................................ 22
3.8. Variazione dei dati di Registrazione ..................................................................... 22
3.9. Revoca del Certificato ....................................................................................... 22
3.9.1. Circostanza per la revoca ............................................................................. 22
3.9.2. Richiesta di Revoca da parte del Titolare ........................................................ 23
3.9.3. Richiesta di Revoca da parte della CA ............................................................ 23
3.10. Gestione degli Archivi ........................................................................................ 23
3.11. Livelli di Servizio .............................................................................................. 24
Indice
Documento pubblico 6
Questo documento è di proprietà eni spa che se ne riserva tutti i diritti
VA R
EPO
RT
3.12. Compromissione e Disaster Recovery .................................................................. 24
4. Aspetti Di Sicurezza .................................................................................................. 26
4.1. Protezione Fisica dei Locali ................................................................................. 26
4.2. Sicurezza del Sistema di Certificazione ................................................................ 26
4.3. Sicurezza del Modulo Crittografico ....................................................................... 27
4.4. Sicurezza degli Elaboratori ................................................................................. 27
4.5. Sicurezza delle Rete .......................................................................................... 27
5. Profilo dei Certificati e delle CRL ................................................................................. 29
5.1. Profilo dei Certificati .......................................................................................... 29
5.1.1. Root CA .................................................................................................... 29
5.1.2. SUBCA ...................................................................................................... 31
5.1.3. Certificati Firme Digitali Qualificate e Certificati CNS-LIKE ................................. 32
5.1.4. Certificati Firme Digitali su HSM .................................................................... 33
5.1.5. Certificati SSL Client ................................................................................... 34
5.1.6. Certificati CodeSigning ................................................................................ 34
5.1.7. Certificati Crittografia Utente ........................................................................ 35
5.1.8. Certificati SSL SERVER CA Pubblica ............................................................... 36
5.1.9. Certificati SSL Server CA eni ........................................................................ 37
5.2. Profilo della CRL ............................................................................................... 38
Indice delle figure
Documento pubblico 7
Questo documento è di proprietà eni spa che se ne riserva tutti i diritti
VA R
EPO
RT
Indice delle figure Non è stata trovata alcuna voce dell'indice delle figure.
1.Introduzione
Documento pubblico 8
Questo documento è di proprietà eni spa che se ne riserva tutti i diritti
VA R
EPO
RT
1. Introduzione
1.1. Contesto
Il presente documento ha lo scopo di definire la Certificate Practice Statement (CPS) di eni, l’insieme delle regole e procedure operative adottate dalla Registration Authority (RA) eni per l’emissione dei certificati digitali.
La descrizione di questi fattori è contenuta nel Manuale Operativo, documento che comprende l'insieme delle norme operative utilizzate da una Certification Authority (CA) nell'emissione dei certificati. Il Manuale Operativo rappresenta la “dichiarazione delle procedure utilizzate da un Certificatore nel rilascio dei certificati”. Le informazioni presenti all’interno dei certificati sono definite dalle policy, un’insieme di regole che indicano l’applicabilità del certificato a ben determinate comunità di utenti e/o classi di applicazioni con requisiti di sicurezza comuni.
Ogni nuova versione del Manuale Operativo annulla e sostituisce le precedenti versioni, che rimangono tuttavia applicabili ai certificati emessi durante la loro vigenza e fino alla scadenza degli stessi.
La struttura e di questo CPS si basa sulla specifica pubblica [RFC 3647] governata dall’IETF (Internet Engineering Task Force).
IMPORTANTE: le CPS eni, adottate dalla RA eni, sono emesse in coerenza con le CPS di Actalis, Certificatore accreditato presso l’AgID di riferimento per eni. Le CPS Actalis per l’emissione dei certificati qualificati e dei certificati di SSL Server sono disponibili al sito web del Certificatore.
1.2. Identificazione del documento
Il presente documento costituisce il Manuale Operativo di eni per l’emissione dei certificati delle linee di servizio di certificazione dei Servizi di terza Parte Fidata eni e prende il nome di:
Manuale Operativo. Certification Practice Statement (CPS). Registratione e Certification Authority eni
Il Manuale Operativo specifico è identificato attraverso il numero di versione. Il corrispondente file elettronico che lo contiente è identificabile dal nome “CPS_CA_ENI_01” ed è consultabile per via telematica a partire dall’indirizzo Internet http://ca.eni.com/Info/CPS della RA e CA eni.
1.Introduzione
Documento pubblico 9
Questo documento è di proprietà eni spa che se ne riserva tutti i diritti
VA R
EPO
RT
1.3. Modifiche introdotte rispetto alle versioni precedenti
Il presente Manuale Operativo sostituisce le attuali policy della CA eni
1.4. Tabella di Acronimi e Abbreviazioni
CA CertificationAuthority
CN Common Name
MO Manuale Operativo
CRL Certificate Revocation List
CSR Certificate SigningRequest
DN DistinguishedName
ITSEC Information Technology Security Evaluation Criteria
PKI Public KeyInfrastructure
RA Registration Authority
RSA Rivest-Shamir-Adleman
SSL Secure Sockets Layer
TCSEC Trusted Computer System Evaluation Criteria
1.Introduzione
Documento pubblico 10
Questo documento è di proprietà eni spa che se ne riserva tutti i diritti
VA R
EPO
RT
1.5. Comunità ed Applicabilità
1.5.1. Certification Authority
Per l’erogazione di certificati di chiave pubblica rivolti a soddisfare esigenze di sicurezza in Internet / Intranet, eni prevede l’utilizzo di una CA che consente il riconoscimento dei certificati emessi.
Eni, attraverso la funzione ICT preposta, eroga alle controparti di riferimento (corporate, società controllate) i servizi di certificazione classificati nei servizi di Terza Parte Fidata.
1.5.2. Registration Authority
La funzione di identificazione e registrazione del Richiedente, la verifica della documentazione fornita da tale soggetto, è svolta dall’ICT attraverso la funzione aziendale dei Servizi di Terza Parte Fidata di eni.
1.5.3. Responsabile dell’identificazione
Il Responsabile dell’identificazione, o in scenari specifici il Client Manager dell’applicazione/servizio, dovrà provvedere ad espletare le fasi di identificazione e registrazione del futuro Titolare del certificato al servizio, come descritto nel paragrafo Registrazione del Richiedente.
1.5.4. Utente
Gli utenti, ovvero i Titolari dei certificati, sono i soggetti delle organizzazioni che richiedono un certificato e che detengono nel tempo la corrispondente chiave privata
Con “Titolare del Certificato” si intende l’entità chiamata “Subscriber” o “Subject” in [POLREQ] ed [EVCG].
Il rapporto con la CA viene normalmente attivato dal soggetto richiedente che diverrà Titolare del certificato, il quale dunque coincide col cliente (“Customer”); è comunque ammesso che il cliente agisca come richiedente in nome e per conto del Titolare del certificato (ad es. nel caso di richiesta di certificati server il cui richiedente è una figura distinta dal Titolare, il quale a sua volta garantisce
1.Introduzione
Documento pubblico 11
Questo documento è di proprietà eni spa che se ne riserva tutti i diritti
VA R
EPO
RT
per il sistema server da certificare), circostanza che deve essere dimostrata dagli interessati in sede di richiesta.
1.6. Tipologia dei certificati
Il presente Manuale Operativo si riferisce unicamente alla emissione e gestione di certificati per:
Certificati SSL: Client
CA eni CA esterna (o pubblica/trusted del Certificatore di riferimento)
Server CA eni
singolo server multisan
CA esterna (o pubblica/trusted del Certificatore di riferimento) singolo server multisan
Certificati Firma Qualificata / CNS-like Certificati di Sub-CA
CA eni Cerificati di Code Signing
CA esterna (o pubblica/trusted del Certificatore di riferimento) Cerificati di Crittografia
CA esterna (o pubblica/trusted del Certificatore di riferimento)
1.7. Responsabile del Manuale
Eni è responsabile della definizione, pubblicazione ed aggiornamento del presente documento.
La persona da contattare per questioni riguardanti il presente documento è:
Giuseppe Roselli, Responsabile dei Servizi di Terza parte Fidata eni
Via Paolo di Dono 223, 00142 – Roma –
1.Introduzione
Documento pubblico 12
Questo documento è di proprietà eni spa che se ne riserva tutti i diritti
VA R
EPO
RT
1.7.1. Assistenza sui servizi di CA
L'assistenza è disponibile attraverso la casella di servizio [email protected], dal lunedì al venerdì (orario ufficio).
1.7.2. Servizio Internet
Per avere avere maggiori informazioni sul servizio è possibile inviare una e-mail all'indirizzo:
1.8. Riferimenti
[DLGS196] Decreto Legislativo 30 giugno 2003, n. 196, “Codice in materia di protezione dei dati personali”, pubblicato nel Supplemento Ordinario n.123 della Gazzetta Ufficiale n. 174, 29 luglio 2003.
[RFC2251] Wahl, M., Howes, T., and S. Kille, "Lightweight Directory Access Protocol (v3)", RFC 2251, December 1997. (http://www.ietf.org/rfc/rfc2251.txt)
[RFC2314] Kaliski, B., "PKCS #10: Certification Request Syntax Version 1.5", RFC 2314, March 1998. (http://www.ietf.org/rfc/rfc2314.txt)
[RFC2560] Myers, M., R. Ankney, A. Malpani, S. Galperin and C. Adams, "Online Certificate Status Protocal - OCSP", June 1999. (http://www.ietf.org/rfc/rfc2560.txt)
[RFC2616] [RFC2616] Fielding, R., Gettys, J., Mogul, J., Frystyk, H., Masinter, L., Leach, P. and T. Berners-Lee, "Hypertext Transfer Protocol, HTTP/1.1", RFC 2616, June 1999. (http://www.ietf.org/rfc/rfc2616.txt)
[RFC2818] Rescorla, E., "HTTP Over TLS", RFC 2818, May 2000. (http://www.ietf.org/rfc/rfc2818.txt)
[RFC3647] Chokhani, S., Ford, W., Sabett, R., Merrill, C., and S. Wu, "Internet X.509 Public Key Infrastructure Certificate Policy and Certification Practices Framework", RFC 3647, November 2003. (http://www.ietf.org/rfc/rfc3647.txt)
[RFC5280] Cooper, D., Santesson, S., Farrell, S., Boeyen, S., Housley, R., and W. Polk, "Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile", RFC 5280, May 2008. (http://www.ietf.org/rfc/rfc5280.txt)
1.Introduzione
Documento pubblico 13
Questo documento è di proprietà eni spa che se ne riserva tutti i diritti
VA R
EPO
RT
[X.509] ITU-T Recommendation X.509 (2005) | ISO/IEC 9594-8:2005, Information technology - Open Systems Interconnection - The Directory: Public-key and attribute certificate frameworks. (http://www.iso.ch)
[POLREQ] ETSI TS 101 042: Electronic Signatures and Infrastructures (ESI); Policy requirements for certification authorities issuing public key certificates, v2.2.1 (2011-12)
[BR] CA/Browser Forum, “Baseline Requirements for the Issuance and Management of Publicly-Trusted Certificates”, Version 1.1.
[EVCG] CA/Browser Forum, “Guidelines For The Issuance And Management Of Extended Validation Certificates”, Version 1.5.2
2.Condizioni Generali di Erogazione
Documento pubblico 14
Questo documento è di proprietà eni spa che se ne riserva tutti i diritti
VA R
EPO
RT
2. Condizioni Generali di Erogazione
2.1. Obblighi
2.1.1. Obblighi della CA
eni si impegna a:
Verificare, secondo quanto descritto all’interno del presente Manuale Operativo, la correttezza della documentazione fornita con la richiesta di certificazione;
Rilasciare e rendere pubblico il certificato in accordo ai requisiti descritti nel presente Manuale Operativo;
Dare tempestiva comunicazione, mediante pubblicazione nelle Liste di Revoca (CRL), della revoca dei certificati.
2.1.2. Obblighi del Titolare
Il Titolare è obbligato a:
Fornire informazioni e documentazione veritieri in fase di registrazione; Generare e conservare la propria chiave privata in sicurezza, adottando le necessarie precauzioni
per evitare danni, alterazioni o usi non autorizzati della stessa; Inviare la richiesta di certificazione con le modalità indicate nel presente Manuale Operativo; Installare e utilizzare il certificato digitale rilasciato da eni in base al presente Manuale Operativo
unicamente in base all’uso per il quale è stato emesso (per i certificati SSL server deve essere utilizzato a protezione del sistema definito nel campo CommonName);
Informare tempestivamente eni nel caso in cui le informazioni presenti sul certificato rilasciato non siano più valide, richiedendo la revoca del certificato;
Informare tempestivamente eni nel caso in cui ritenga che la sicurezza del web server, sistema, applicazione su cui è stato installato il certificato possa essere compromessa, richiedendo la revoca del certificato stesso;
Provvedere immediatamente a rimuovere dal web server, sistema, applicazione il certificato per il quale è stata richiesta la revoca;
Custodire con la massima cura il "codice di revoca".
2.2. Responsabilità della CA
2.2.1. Verso il Titolare
Eni non è responsabile nei confronti del Titolare o di utenti terzi, per eventuali danni, di qualsiasi tipo, derivanti dalla mancata emissione del certificato o da un uso improprio del certificato.
2.Condizioni Generali di Erogazione
Documento pubblico 15
Questo documento è di proprietà eni spa che se ne riserva tutti i diritti
VA R
EPO
RT
2.3. Pubblicazione e directory
La CA pubblica almeno la seguente documentazione sul proprio sito web:
CertificationPractice Statement (CPS) Certificati di CA (Root CA e Sub CA)
La CA, inoltre, pubblica le CRL sul proprio directory server.
2.3.1. Informazioni sulla CA
Per l’intero periodo di validità dei certificati emessi in conformità al presente Manuale Operativo, eni si impegna a pubblicare sul proprio sito web, https://ca.eni.com/Info/CPS , almeno le seguenti informazioni:
I certificati delle chiavi di certificazione per firmare digitalmente i certificati intermedi e di entità finale;
Il presente Manuale Operativo.
Si riportano di seguito i dati salienti dei certificati di CA al servizio descritto nel presente Manuale Operativo:
2.Condizioni Generali di Erogazione
Documento pubblico 16
Questo documento è di proprietà eni spa che se ne riserva tutti i diritti
VA R
EPO
RT
2.3.2. Certificati e CRL
Il servizio di pubblicazione delle CRL utilizza i protocolli http e LDAP. Il sistema LDAP è in outsourcing presso il Certificatore di riferimento Actalis.
Gli url per i certificati dalla CA eni sono i seguenti:
X509v3 CRL Distribution Points:
Full Name:
URI:ldap://ca.eni.com/cn%3deni%20Certification%20Authority%20for%20Legacy%20Applications,ou%3dTTP%20Services,o%3deni%20S.p.A.,c%3dIT?certificateRevocationList;binary
Full Name:
URI:http://ca.eni.com/Repository/eni-LA/getCRL
2.4. Legge Applicabile e Foro Competente
Le presenti Condizioni Generali sono soggette alla legge italiana. Per le controversie che dovessero insorgere tra le parti in relazione alle disposizioni del presente Manuale Operativo, competente a giudicare sarà esclusivamente il Foro di Roma.
3.Processi Operativi
Documento pubblico 17
Questo documento è di proprietà eni spa che se ne riserva tutti i diritti
VA R
EPO
RT
3. Processi Operativi
3.1. Generazione della richiesta di Certificato
3.1.1. Certificato Firme Digitiali Qualificate e Certificati CNS-LIKE
Il Titolare compila il Modulo di Registrazione specifico per la tipologia inserendo tutti i dati richiesti, lo sottoscrive, allega la fotocopia di un documento di identità valido e consegna il tutto al Responsabile dell’Identificazione.
Il Responsabile dell’Identificazione verifica la corretta e completa compilazione del Modulo di Registrazione, completa la parte a lui riservata indicando la tipologia di certificato richiesta, firma il modulo e lo invia, unitamente alla copia del documento e al foglio excel riassuntivo dei dati, alla RA Eni (Mbx Enica, [email protected]).
L’invio alla casella di servizio [email protected] è effettuato dal Responsabile dell’Identificazione o di suoi collaboratori, oppure dal Titolare (purché il Responsabile sia tra i destinatari del messaggio).
3.1.2. Firme Digitali su Dispositivi HSM
La fase di generazione della richiesta si compone dei passi previsti nel 3.1.1.
La funzione sistemistica ICT:
opera in sicurezza per GENERARE LA COPPIA DI CHIAVI RSA presso il sito nel quale è ubicato l’HSM, oppure collegandosi da remoto. Contestualmente viene generato il PIN distinto per credenziale utente e la certificate request
Invia tramite e-mail il file contenente la certificate request all’utente e/o ai servizi di Terza Parte Fidata e eventualmente al supporto tecnico ICT che segue l’utente
3.1.3. Certificati SSL Client
Il Titolare compila la richiesta inserendo tutti i dati richiesti e lo consegna al Responsabile dell’Identificazione.
Il Responsabile dell’Identificazione ne verifica la corretta e completa compilazione e lo invia al Client Manager del Portale E-Finance (l’invio può essere eseguito da un suo collaboratore o dal Titolare,
3.Processi Operativi
Documento pubblico 18
Questo documento è di proprietà eni spa che se ne riserva tutti i diritti
VA R
EPO
RT
purchè il Responsabile sia tra i destinatari del messaggio), oppure, qualora il certificato sia necessario per altro tipo di applicativo, direttamente alla RA Eni (Mbx Enica, [email protected]).
3.1.4. Certificati SSL Server CA Pubblica
Il richiedente compila la richiesta inserendo tutti i dati richiesti e prepara la CSR (file di Certificate Signing Request). Il Responsabile dell’Identificazione ne verifica la corretta e completa compilazione. L’invio della richiesta e della CSR avviene a mezzo mail alla casella di servizio [email protected] da parte del Responsabile dell’Identificazione referente dei sistemi da certificare o di suoi collaboratori (purché il Responsabile sia tra i destinatari del messaggio).
3.1.5. Certificati SSL Server CA eni
Il richiedente compila la richiesta inserendo tutti i dati richiesti, la posizione anagrafica di CA a cui associare il certificato stesso e prepara la CSR (file di Certificate Signing Request). L’invio avviene a mezzo mail alla casella di servizio [email protected] da parte del Responsabile dell’Identificazione o di suoi collaboratori (purché il Responsabile sia tra i destinatari del messaggio).
3.2. Registrazione del Titolare
3.2.1. Certificato Firme Digitiali Qualificate e Certificati CNS-LIKE
La registrazione dell’utente è il passo preliminare che consente alla CA di autenticare la richiesta di certificazione e acquisire i dati del Titolare.
La RA eni, alla ricezione della richiesta:
a) esegue gli opportuni controlli; b) registra il nuovo titolare presso la Certification Authority del certificatore Accreditato c) predispone e invia al Richiedente un plico contenente: un Codice Riservato Personale (CRP) univocamente associato all’utente il kit contenente il token,il microchip e il relativo software la ricevuta di integrità del CRP, da firmare e restituire a cura del Richiedente la ricevuta di ricezione del token, da firmare e restituire a cura del Richiedente
3.Processi Operativi
Documento pubblico 19
Questo documento è di proprietà eni spa che se ne riserva tutti i diritti
VA R
EPO
RT
3.2.2. Firme Digitali su Dispositivi HSM
La fase di registrazione si compone dei passi già previsti nel paragrafo 3.2.1 fatta eccezione per l’invio del token kit (non necessario per questa tipologia di certificato).
3.2.3. Certificati SSL Client
La RA eni, alla ricezione della richiesta:
a) esegue gli opportuni controlli; b) registra il nuovo titolare presso la Certification Authority eni. c) predispone e invia al Richiedente un plico contenente: un Codice Riservato Personale (CRP) univocamente associato all’utente la ricevuta di integrità del CRP da firmare e restituire in alternativa ai precedenti, invia un messaggio elettronico PEC contenente il CRP
Qualora la Società del Gruppo abbia individuato come referente per i CRP il Responsabile dell’Identificazione, è cura di quest’ultimo garantire la consegna dei CRP agli utenti.
Modello Centro servizio: in alcuni casi, per ottimizzare il business specifico, i certificati vengono richiesti da un referente autorizzato linea di business eni, che si occupa anche del prelievo degli stessi per conto degli utenti. Ciò avviene, per esempio, nel caso dei gestori della “Refining & Marketing” e dei “SUPPLIER”.
3.2.4. Certificati SSL Server CA Pubblica
Gli utenti registrati con utenze di CA sono i soli Registration Auhtority Officer (RAO), riconosciuti dal Certificatore di riferimento.
La RA eni, alla ricezione della modulistica di richiesta esegue gli opportuni controlli e autorizza il certificato.
3.2.5. Certificati SSL Server CA eni
La registrazione dell’utente è il passo preliminare che consente alla CA di autenticare la richiesta di certificazione e acquisire i dati del web server o sistema per il quale si richiede il certificato.
La RA eni, alla ricezione della modulistica di richiesta:
3.Processi Operativi
Documento pubblico 20
Questo documento è di proprietà eni spa che se ne riserva tutti i diritti
VA R
EPO
RT
a) esegue gli opportuni controlli; b) registra il nuovo Titolare al quale verrà associato il certificato presso la Certification Authority
eni. c) predispone e invia al Richiedente un plico contenente: un Codice Riservato Personale (CRP) univocamente associato all’utente la ricevuta di integrità del CRP, da firmare e restituire a cura del Richiedente
3.3. Verifica dei Dati
3.3.1. Certificato Firme Digitiali Qualificate e Certificati CNS-LIKE
Alla ricezione della ricevuta di integrità del CRP firmata dal Richiedente, la RA eni:
autorizza il certificato richiesto invia notifica dell’avvenuta autorizzazione al Titolare e/o al Responsabile dell’Identificazione.
3.3.2. Firme Digitali su Dispositivi HSM
La fase di verifica dei dati si compone dei passi eseguiti al paragrafo 3.3.1
Il Titolare:
riceve la certificate request dalla funzione ICT e/o dalla RA eni; si collega al portale web della RA eni tramite il proprio account e inserisce la certificate
request preleva il certificato e lo invia tramite email alla funzione ICT e/o ai servizi di Terza Parte
Fidata
La funzione ICT:
riceve il certificato utente dal Titolare installa il certificato sull’HSM
3.Processi Operativi
Documento pubblico 21
Questo documento è di proprietà eni spa che se ne riserva tutti i diritti
VA R
EPO
RT
3.3.3. Certificati SSL Client
Alla ricezione della ricevuta di integrità del CRP firmata dal Richiedente, la RA eni:
autorizza il certificato richiesto invia notifica dell’avvenuta autorizzazione al Titolare e/o al Responsabile dell’Identificazione in alternativa ai precedenti, in caso di precedente invio di messaggio elettronico PEC
contenente il CRP, si autorizza il certificato.
3.3.4. CERTIFICATI SSL SERVER CA PUBBLICA
La RA eni, autorizza ed emette il certificato richiesto, invia una mail di notifica con il certificato emesso.
3.3.5. CERTIFICATI SSL SERVER CA eni
La RA eni, autorizza il certificato richiesto e invia una mail di notifica di autorizzazione al richiedente.
Il Titolare (possessore della posizione anagrafica di CA al quale è stato associato il certificato) riceve una notifica di autorizzazione anche da Actalis e provvede a prelevare e installare il certificato.
3.4. Generazione del Certificato
Una volta ricevuta l'approvazione della RA, la CA verificherà che il formato PKCS#10 della richiesta sia corretto. Se le verifiche previste hanno esito positivo, la CA genera il certificato in accordo al profilo descritto nel paragrafo “Profilo dei certificati”. Il DN apparirà come valore del campo subject del certificato.
Se le verifiche non hanno esito positivo, la CA, tramite la RA, notifica al richiedente l'evento, richiedendo la generazione di una nuova richiesta di certificazione.
3.5. Pubblicazione del Certificato
Il certificato viene pubblicato nel Directory Server X.500 ed inviato, a cura della CA, all'indirizzo di posta elettronica del Titolare autorizzato.
3.Processi Operativi
Documento pubblico 22
Questo documento è di proprietà eni spa che se ne riserva tutti i diritti
VA R
EPO
RT
3.6. Accettazione del Certificato
Il certificato si intende senz’altro accettato dal Titolare trascorsi 30 giorni dalla data di consegna, come attestata dalla data del messaggio di posta elettronica tramite il quale esso viene inviato al cliente, in assenza di comunicazioni in senso contrario da parte del Titolare stesso.
3.7. Installazione del Certificato
Al ricevimento del certificato, il Tichiedente potrà installarlo, seguendo le istruzioni dello specifico prodotto utilizzato.
3.8. Variazione dei dati di Registrazione
Il Titolare, il Responsabile dell’Identificazione (o un suo collaboratore), il richiedente nel caso dei certificati server (informando il o i precedenti utenti) deve informare tempestivamente la RA eni nel caso in cui ci siano delle variazioni dei dati contemplati nel paragrafo Registrazione del Titolare. Se le variazioni riguardano dati presenti sul certificato, il Titolare deve altresì richiedere la revoca del certificato.
La RA eni si riserva la facoltà di revocare il certificato del Titolare nel caso in cui la variazione dei dati di registrazione lo richieda.
3.9. Revoca del Certificato
3.9.1. Circostanza per la revoca
La revoca di un certificato è l’operazione con cui la CA annulla la validità del certificato prima della naturale scadenza. Quando un certificato viene revocato, il suo numero seriale viene aggiunto ad una lista chiamata Certificate Revocation List (o CRL).
I soggetti che possono richiedere questa operazione, comunemente chiamata revoca, sono i Titolari, la RA e le CA, mentre l’attuazione della revoca è effettuata soltanto dalla CA.
Il Titolare può richiedere l’emissione di un nuovo certificato prima della scadenza di quello in suo possesso. L’entità che richiede la revoca (RA) genera una richiesta di revoca verso la CA.
La revoca è effettiva dal momento della registrazione, che segue immediatamente alla verifica. Il certificato revocato viene aggiunto alla CRL e distribuito in occasione della
3.Processi Operativi
Documento pubblico 23
Questo documento è di proprietà eni spa che se ne riserva tutti i diritti
VA R
EPO
RT
prima emissione periodica utile della CRL. La entry nella CRL del certificato revocato deve contenere nell’apposita estensione la data di richiesta della revoca.
Non è prevista la sospensione a tempo determinato del certificato. Ogni evento che limiti il livello di affidabilità della certificazione dà luogo alla richiesta di revoca.
La CRL viene emessa e aggiornata con scadenza giornaliera e resa disponibile alla URL indicata. La sua acquisizione e consultazione è a cura dell’utenza.
I motivi che portano alla revoca di un certificato possono essere classificati nei seguenti:
3.9.2. Richiesta di Revoca da parte del Titolare
Avviene in caso di:
Sospetto - o certezza - di compromissione della propria chiave privata; Cambio di almeno uno dei dati inclusi nel certificato: in questo caso la richiesta
deve pervenire alla CA dall’entità autorizzata alla validazione dei dati degli utenti; Fine dell'adesione al servizio: anche in questo caso la richiesta deve pervenire alla
CA dall’entità autorizzata alla validazione dei dati degli utenti;
3.9.3. Richiesta di Revoca da parte della CA
Può avvenire:
Su espressa richiesta del Titolare; Se viene riscontrata una sostanziale condizione di non rispetto delle relative
regole che normano il servizio (CPS); Per cessazione dell’attività della CA;
3.10. Gestione degli Archivi
La CA deve mantenere traccia in appositi archivi di logging degli eventi riguardanti:
Emissione di certificati; Revoca di certificati; Emissione di CRL; Emissione o variazione dei documenti di Policy e CPS; Backup e recovery della base dati;
3.Processi Operativi
Documento pubblico 24
Questo documento è di proprietà eni spa che se ne riserva tutti i diritti
VA R
EPO
RT
Backup e recovery degli archivi di logging.
Le registrazioni degli eventi in archivio vanno mantenute accessibili in linea agli operatori per un tempo non minore di un (1) anno dalla cessazione degli effetti dovuti all’evento stesso (es. la registrazione di un evento di emissione certificato va mantenuta per almeno un anno dopo la scadenza del certificato stesso). Trascorso questo periodo sono archiviate su supporto magnetico rimovibile (tape, CD o altro supporto ritenuto opportuno) e mantenute off-line per un periodo non inferiore a due (2) anni.
Eventuali richieste di consultazione vanno inviate a eni, Servizi di Terza Parte Fidata e devono specificare la motivazione della richiesta. Eni si riserva di valutare la richiesta e di fornire, se ritenuto opportuno i dati richiesti.
3.11. Livelli di Servizio
L’autorizzazione del certificato avviene entro 3 (tre) giorni lavorativi dalla registrazione e delle informazioni previste nel paragrafo "Registrazione del Titolare".
La revoca del certificato avviene entro 4 (quattro) ore dal ricevimento della richiesta, entro il periodo di disponibilità dei Servizi di Terza parte Fidata (dal Lunedì al Venerdì, dalle 8:30 alle 18:00).
L'accesso al Directory Server ed alle CRL è disponibile 7 giorni su 7, 24 ore su 24, salvo i fermi per manutenzione programmata.
3.12. Compromissione e Disaster Recovery
Si intende una chiave come compromessa quando:
Sia venuta meno la sua segretezza; Sia stato smarrito il supporto di archiviazione; Sia divenuta impossibile la sua lettura dal supporto di archiviazione e non sia
disponibile un recupero mediante copia di backup; Si sia verificato un qualunque evento che abbia compromesso il livello di
affidabilità della chiave.
Se la chiave privata viene smarrita o si suppone sia stata compromessa e’ necessario richiedere alla Registration Authority:
L’emissione di un nuovo certificato; La revoca di quello usato in precedenza;
3.Processi Operativi
Documento pubblico 25
Questo documento è di proprietà eni spa che se ne riserva tutti i diritti
VA R
EPO
RT
Ogni compromissione delle chiavi non recuperabile con procedure standard di restore di copie archiviate in maniera sicura (vedere par. ) non dà luogo ad ulteriori procedure di recovery ma all’attivazione di una procedura di revoca certificato.
4.Aspetti Di Sicurezza
Documento pubblico 26
Questo documento è di proprietà eni spa che se ne riserva tutti i diritti
VA R
EPO
RT
4. Aspetti Di Sicurezza
4.1. Protezione Fisica dei Locali
I sistemi tecnologici coinvolti sono situati in un’area protetta il cui accesso è consentito esclusivamente al personale del Certificatore di riferimento che gestisce in Outsourcing le la CA eni, ed è controllato mediante dispositivi di autenticazione (smart card). L'area è situata all'interno del datacenter del Certificatore di riferimento. Gli edifici del datacenter sono sorvegliati e protetti 24 ore su 24, 7 giorni su 7.
4.2. Sicurezza del Sistema di Certificazione
La piattaforma di gestione delle attività di certificazione, composta da vari moduli appartenenti alle suite software di PKI aderenti agli standard di riferimento, offre le seguenti funzioni di sicurezza:
Identificazione e autenticazione
L’accesso ai moduli applicativi della piattaforma avviene mediante identificazione dell'utente. Il meccanismo di autenticazione è previsto anche per l’avvio e/o fermo del servizio legato al modulo applicativo.
Controllo accessi
L’accesso ai moduli applicativi della piattaforma avviene mediante meccanismi di strong authentication. L’accesso ai moduli è consentito solo previa verifica del corretto inserimento della passphrase.
Tracciamento
Tutte le applicazioni in esecuzione all’interno del sistema di certificazione del Certificatore di riferimento mantengono traccia su appositi database delle operazioni effettuate.
Sono prodotti dei log in formato testo ove vengono riportate informazioni relative all’avvio, fermo o allarmi relativi ai servizi legati ai moduli applicativi, nonché contenenti traccia di eventuali modifiche di configurazione apportate ai servizi. Ciascuna registrazione all’interno dei log è firmata digitalmente.
Archiviazione dei dati: tutti i dati e gli audit log sono registrati nel database relativo a ciascun modulo. Tali registrazioni sono firmate in modo digitale dai moduli proprietari del DB. Ogni registrazione ha un numero d’identificazione univoco.
4.Aspetti Di Sicurezza
Documento pubblico 27
Questo documento è di proprietà eni spa che se ne riserva tutti i diritti
VA R
EPO
RT
4.3. Sicurezza del Modulo Crittografico
Per la generazione delle chiavi di certificazione e dei certificati digitali di eni viene utilizzato l’algoritmo a chiavi asimmetriche RSA (Rivest-Shamir- Adleman).
Tutti i certificati emessi da eni – a partire dai certificati relativi alle chiavi di certificazione, fino ai certificati relativi alle chiavi pubbliche dei web server dei sistemi e delle applicazioni– vengono firmati utilizzando l’algoritmo RSA. Lo stesso algoritmo RSA deve essere utilizzato dall'utente per generare la propria coppia di chiavi. Le chiavi pubbliche dei web server, sistemi e applicazioni vengono adeguate alle crescenti esigenze di robustezza (lunghezza pari a 2048 bit), le chiavi di certificazione sono lunghe 2048 bit. Ad oggi non esistono ancora sistemi di cripto-analisi in grado di compromettere chiavi della suddetta lunghezza. Poiché in futuro le probabilità di compromettere chiavi a 2048 bit potrebbero aumentare, eni si riserva il diritto di adeguare la lunghezza delle chiavi alle tecnologie future.
Per quel che concerne le funzioni di hash, viene utilizzata la funzione definita nella norma ISO/IEC 10118-3:2004 per la generazione dell’impronta digitale: DedicatedHash-Function 4, corrispondente alla funzione SHA-2.
4.4. Sicurezza degli Elaboratori
I sistemi sono configurati in modo tale da ridurre al minimo il rischio di alterazione delle configurazioni. Sono quindi previsti, nel normale uso dei sistemi stessi, profili con diritti di accesso non assimilabili a quelli amministrativi.
Gli operatori di CA accedono alla funzione di log on per la certificazione delle chiavi mediante meccanismi di strong authentication.
4.5. Sicurezza delle Rete
L’infrastruttura di rete prevede una prima linea costituita da un sistema firewall, configurato in alta affidabilità, che filtra il traffico da Internet verso la rete DMZ, dove risiedono i server che devono essere accessibili da Internet (come il Directory Server ed il web server che pubblica le CRL), ed una seconda linea che filtra il traffico tra rete DMZ e Secure LAN, dove sono invece installati i sistemi per la certificazione.
4.Aspetti Di Sicurezza
Documento pubblico 28
Questo documento è di proprietà eni spa che se ne riserva tutti i diritti
VA R
EPO
RT
L'utilizzo di questa tecnologia offre la possibilità di utilizzare il NAT Network AddressTranslation per "mascherare" gli ip interni verso la rete Internet, permette di intercettare i tentativi di creare interruzioni al servizio con attacchi di tipo DoS SYN flood, impostare regole Anti-spoofing, limitare gli accessi in un arco temporale definibile in maniera granulare. Al fine di analizzare in tempo reale i pacchetti che viaggiano in rete e di attivare, laddove viene riscontrata una attività sospetta, le dovute protezioni (blocco di indirizzi IP, interruzione di connessioni, invio di trap) ed allarmi, è in utilizzo un sistema di IntrusionDetection che si basa su un database di vulnerabilità costantemente aggiornato.
I servizi in DMZ vengono erogati con copertura 24x7x365 con un presidio dal lunedì al venerdì dalle ore 8.00 alle ore 20.00 ed una copertura nelle ore non presidiate e festivi tramite una struttura di reperibilità a 2 livelli h24. Le segnalazioni di allarme vengono inviate tramite SMS e tramite chiamata telefonica da un sistema di monitoraggio centralizzato.
5.Profilo dei Certificati e delle CRL
Documento pubblico 29
Questo documento è di proprietà eni spa che se ne riserva tutti i diritti
VA R
EPO
RT
5. Profilo dei Certificati e delle CRL
5.1. Profilo dei Certificati
I certificati sono conformi allo standard internazionale ISO/IEC 9594-8:2005 [X.509] e alla specifica pubblica [RFC 5280].
L’elenco completo dei profili dei certificati e la guida tecnica utente utile alla richiesta di certificazione è contenuta un documento riservato a distribuzione limitata denominato Allegato tecnico CPS Registration e Certification Authority eni. Esso è da ritenersi esterno al Manuale Operativo che risulta completo nel suo contenuto pubblico.
5.1.1. Root CA
La PKI aziendale eni consiste di due CA:
RootCA eni Certification Authority RootCA eni Certification Authority for Legacy Applications
Entrambi i certificati delle Root CA hanno una durata di 12 anni con chiave RSA a 2048 e sono generati e conservati all’interno di un network HSM (hardware-basedKey Certificate).
La PKI Eni gestisce le Root CA in dismissione:
Root CAeniadfin Certification Authority RootCAeniadfinCertification Authority for Legacy Applications
NOTA: esse sono tenute in vita per la produzione delle CER e la gestione delle revoke dei certificati End Entityeniadfin ancora in vita
Root CA eni
Questo certificato è un “self-signed certificate” generato da eni e utilizzato per firmare (emettere) tutti gli altri certificati.
Il certificato della CA root eni ha il seguente profilo:
Soggetto richiedente:
Attributo Valore
5.Profilo dei Certificati e delle CRL
Documento pubblico 30
Questo documento è di proprietà eni spa che se ne riserva tutti i diritti
VA R
EPO
RT
Country (C) IT
Organization (O) eni S.p.A.
Organizational Unit (OU) TTP Services
Common Name (CN) eni Certification Authority Emesso da:
Attributo Valore Country (C) IT
Organization (O) eni S.p.A.
Organizational Unit (OU) TTP Services
Common Name (CN) eni Certification Authority Template certificato
CA
Criticality TRUE
0 digitalSignature Clear
1 nonRepudiation Clear
2 keyEncipherment Clear
3 dataEncipherment Clear
4 keyAgreement Clear
5 keyCertSign Set
6 CRLSign Set
7 encipherOnly Clear
8 decipherOnly Clear
Root CA eni Legacy
Questo certificato è un “self-signed certificate” generato da eni e utilizzato per firmare (emettere) tutti gli altri certificati.
La Root CA di eni for Legacy Applications ha il certificato come sotto riportato:
Soggetto richiedente:
5.Profilo dei Certificati e delle CRL
Documento pubblico 31
Questo documento è di proprietà eni spa che se ne riserva tutti i diritti
VA R
EPO
RT
Attributo Valore Country (C) IT
Organization (O) eni S.p.A.
Organizational Unit (OU) TTP Services
Common Name (CN) eni Certification Authority Legacy Applications Emesso da:
Attributo Valore Country (C) IT
Organization (O) eni S.p.A.
Organizational Unit (OU) TTP Services
Common Name (CN) eni Certification Authority Legacy Applications
Template certificato
CA
Criticality TRUE
0 digitalSignature Clear
1 nonRepudiation Clear
2 keyEncipherment Clear
3 dataEncipherment Clear
4 keyAgreement Clear
5 keyCertSign Set
6 CRLSign Set
7 encipherOnly Clear
8 decipherOnly Clear
5.1.2. SUBCA
La Root CA di eni ha il compito di Emettere Certificati per le SUBCA.
5.Profilo dei Certificati e delle CRL
Documento pubblico 32
Questo documento è di proprietà eni spa che se ne riserva tutti i diritti
VA R
EPO
RT
Soggetto richiedente:
Attributo Valore Country (C) IT
Organization (O) eni S.p.A.
Organizational Unit (OU) Unit Name
Domain Controller (DC) SubCA Name
Emesso da:
Attributo Valore Country (C) IT
Organization (O) eni S.p.A.
Organizational Unit (OU) TTP Services
Common Name (CN) eni Certification Authority Legacy Applications
5.1.3. Certificati Firme Digitali Qualificate e Certificati CNS-LIKE
Il formato effettivo del certificato, e la valorizzazione degli attributi e delle estensioni, sarà deciso in base alle esigenze sistemistiche del Richiedente.
Il certificato per Firme Digitali Qualificate / CNS-LIKE viene emesso col seguente profilo:
Soggetto richiedente:
Attributo Valore Country (C) IT
Organization (O) Eni S S.p.A.
Organizational Unit (OU) eni ICT/serialNumber=
Common Name (CN) Nome Utente
5.Profilo dei Certificati e delle CRL
Documento pubblico 33
Questo documento è di proprietà eni spa che se ne riserva tutti i diritti
VA R
EPO
RT
Emesso da:
Attributo Valore Country (C) IT
Organization (O) Actalis S.p.A./03358520967
Organizational Unit (OU)
Common Name (CN) Actalis
5.1.4. Certificati Firme Digitali su HSM
Il formato effettivo del certificato, e la valorizzazione degli attributi e delle estensioni, sarà deciso in base alle esigenze sistemistiche del Richiedente.
Il certificato per Firme Digitali su HSM viene emesso col seguente profilo:
Soggetto richiedente:
Attributo Valore Country (C) IT
Organization (O) eni S.p.A./ 00484960588,
Organizational Unit (OU) Servizio di Conservazione Sostitutiva
Common Name (CN) Nome Utente
Emesso da:
Attributo Valore Country (C) IT
Organization (O) Actalis S.p.A.
Organizational Unit (OU) Qualified Certification Service Provider
Common Name (CN) Actalis Qualified Certificates CA G1
5.Profilo dei Certificati e delle CRL
Documento pubblico 34
Questo documento è di proprietà eni spa che se ne riserva tutti i diritti
VA R
EPO
RT
5.1.5. Certificati SSL Client
Il formato effettivo del certificato, e la valorizzazione degli attributi e delle estensioni, sarà deciso in base alle esigenze sistemistiche del Richiedente.
Il certificato per Client SSL viene emesso col seguente profilo:
Soggetto richiedente:
Attributo Valore Country (C) IT
Organization (O) eni S.p.A
Organizational Unit (OU) Unit Name
Common Name (CN) Client SSL Nome
Emesso da:
Attributo Valore Country (C) IT
Organization (O) Eni S.p.A.
Organizational Unit (OU) TTP Services
Common Name (CN) eni Certification Authority / eni Certification Authority Legacy Applications
5.1.6. Certificati CodeSigning
Il formato effettivo del certificato, e la valorizzazione degli attributi e delle estensioni, sarà deciso in base alle esigenze sistemistiche del Richiedente.
Il certificato per CodeSigning viene emesso col seguente profilo:
Soggetto richiedente:
Attributo Valore Country (C) IT
5.Profilo dei Certificati e delle CRL
Documento pubblico 35
Questo documento è di proprietà eni spa che se ne riserva tutti i diritti
VA R
EPO
RT
Organization (O) Eni S S.p.A.
Organizational Unit (OU) eni ICT/serialNumber=
Common Name (CN) Conservazione Sostitutiva eni/
Emesso da:
Attributo Valore Country (C) IT
Organization (O) Actalis S.p.A./03358520967
Organizational Unit (OU)
Common Name (CN) Actalis Authentication CA G2
5.1.7. Certificati Crittografia Utente
Il formato effettivo del certificato, e la valorizzazione degli attributi e delle estensioni, sarà deciso in base alle esigenze sistemistiche del Richiedente.
Il certificato per Crittografia Utente viene emesso col seguente profilo:
Soggetto richiedente:
Attributo Valore Country (C) IT
Organization (O) Eni S S.p.A.
Organizational Unit (OU) Servizio di Crittografia
Common Name (CN) Crittografia Dati
Emesso da:
Attributo Valore Country (C) IT
5.Profilo dei Certificati e delle CRL
Documento pubblico 36
Questo documento è di proprietà eni spa che se ne riserva tutti i diritti
VA R
EPO
RT
Organization (O) Actalis S.p.A./03358520967
Organizational Unit (OU)
Common Name (CN) Actalis Authentication CA G1
5.1.8. Certificati SSL SERVER CA Pubblica
Il formato effettivo del certificato, e la valorizzazione degli attributi e delle estensioni, sarà deciso in base alle esigenze sistemistiche del Richiedente.
Il certificato per SSL Server CA Pubblica Single Host viene emesso col seguente profilo:
Soggetto richiedente:
Attributo Valore Country (C) IT
Organization (O) Eni S S.p.A.
Organizational Unit (OU) eni ICT
Common Name (CN) Server Name
Emesso da:
Attributo Valore Country (C) IT
Organization (O) Actalis S.p.A./03358520967
Organizational Unit (OU)
Common Name (CN) Actalis Authentication CA G3
Il certificato per SSL Server CA Pubblica MultiSAN viene emesso col seguente profilo:
Soggetto richiedente:
5.Profilo dei Certificati e delle CRL
Documento pubblico 37
Questo documento è di proprietà eni spa che se ne riserva tutti i diritti
VA R
EPO
RT
Attributo Valore Country (C) IT
Organization (O) Eni S S.p.A.
Organizational Unit (OU) eni ICT
Common Name (CN) Nomi dei Server Name
Emesso da:
Attributo Valore Country (C) IT
Organization (O) Actalis S.p.A./03358520967
Organizational Unit (OU)
Common Name (CN) Actalis Authentication CA G2
5.1.9. Certificati SSL Server CA eni
Il formato effettivo del certificato, e la valorizzazione degli attributi e delle estensioni, sarà deciso in base alle esigenze sistemistiche del Richiedente.
Il certificato per SSL Server CA eni viene emesso col seguente profilo:
Soggetto richiedente:
Attributo Valore Country (C) IT
Organization (O) Eni S S.p.A.
Organizational Unit (OU) eni ICT
Common Name (CN) Server Name
Emesso da:
Attributo Valore
5.Profilo dei Certificati e delle CRL
Documento pubblico 38
Questo documento è di proprietà eni spa che se ne riserva tutti i diritti
VA R
EPO
RT
Country (C) IT
Organization (O) eni S.p.A.
Organizational Unit (OU) TTP Services
Common Name (CN) eni Certification Authority / eni Certification Authority for Legacy Application
5.2. Profilo della CRL
Le CRL sono conformi allo standard internazionale ISO/IEC 9594-8:2005 [X.509] e alla specifica pubblica [RFC 5280].
Oltre ai dati obbligatori, le CRL contengono:
il campo nextUpdate (data prevista per la prossima emissione della CRL) l’estensione cRLNumber (numero progressivo della CRL)
La CRL è firmata con algoritmo sha256WithRSAEncryption (1.2.840.113549.1.1.11).
Inoltre, in corrispondenza di ogni voce della CRL è presente l’estensione reasonCode a indicare la motivazione della sospensione o revoca.