<note warning>Pagina in costruzione</note>

====== Account ACME per il rilascio automatico dei certificati server ======
===== Richiedere uno o più account ACME =====


E' possibile richiedere uno o più account ACME per il rilascio e rinnovo automatico dei certificati.

  * Ad amministratori di sistema o aziende diverse devono corrispondere account ACME diversi.
  * Un singolo amministratore di sistema può richiedere più account ACME qualora desideri dividere amministrativamente più gruppi di server. In tal caso dovrà porre attenzione a fornire una descrizione puntuale della funzione di ogni singolo account.

<note important>Il titolare dell'account ha il dovere di comunicare a sicurezzainformatica@units.it qualsiasi tipo di compromissione dell'account ACME.</note>

Email per le richieste: rete@units.it
Dati obbligatori:
  * Matricola richiedente
  * Brevissima descrizione funzionale dell'account di cui si chiede la creazione
  * Se si ha la necessita' di ottenere certificati per server non pubblici (in rete privata 172.30.x.x)

===== Server PUBBLICI =====

Il client di riferimento per l'uso di Let's Encrypt e del protocollo ACME è [[https://certbot.eff.org/|certbot]].

Avrete bisogno dei seguenti partametri:
  * Key ID
  * HMAC Key
  * Server URL

Key ID e HMAC KEy devono rimanere riservati.


Il comando può configurare automaticamente i server Apache e enginx. In tutti gli altri casi e' possibile scaricare solo i certificati.

  certbot run --apache --email <EMAIL> --server <SERVER URL> --domain <FQDN-certificato> --key-type ecdsa --elliptic-curve secp384r1 --cert-name <FRIENDLY-NAME>
  certbot run --nginx --email <EMAIL> --server <SERVER URL> --domain <FQDN-certificato> --key-type ecdsa --elliptic-curve secp384r1 --cert-name <FRIENDLY-NAME>
  certbot certonly --standalone --email <EMAIL> --server <SERVER URL> --domain <FQDN-certificato> --key-type ecdsa --elliptic-curve secp384r1 --cert-name <FRIENDLY-NAME>

  certbot certonly --standalone --email <EMAIL> --server <SERVER URL> --domain <FQDN-certificato1>,<FQDN-certificato2>,<FQDN-certificato2> --key-type ecdsa --elliptic-curve secp384r1 --cert-name <FRIENDLY-NAME>

==== Revoca dei certificati ====

Per revocare i certificati emessi utilizzare il comando revoke(sostituire <SERVER URL> con il corrispondente valore presente nell'account ACME sul CM di Harica):

Nel caso di certificati per più nomi di dominio, basterà specificare uno dei nomi validi. Inoltre tramite l'opzione --cert-path è possibile utilizzare il percorso del certificato al posto del nome di dominio:

  certbot revoke --email <EMAIL> --server <SERVER URL> --cert-path /etc/letsencrypt/live/<FQDN-certificato>/cert.pem


===== Server PRIVATI (non raggiungibili da Internet) =====
La procedura di validazione per questo genere di server è un po' più complessa e prevede la pubblicazione di un nome particolare sul DNS.


===== Utilità =====

Quali account sono registrati in un'istanza di certbot

Tramite i seguenti comandi si può scoprire se un'instanza di certbot ha già degli account associati:

    certbot show_account (Let’s encrypt)

Il web server deve essere raggiungibile

Prima di poter richiedere un certificato con Let's encrypt assicurarsi che il fqdn del server sia raggiungibile via web.

In caso negativo non sarà possibile procedere con la richiesta di certificato usando le istruzioni seguenti. Fare riferimento alla documentazione di certbot per tutte le altre casistiche.
Richiedere e installare in automatico un certificato

Lanciare il seguente comando per richiedere un certificato ed installarlo su Apache:

  sudo certbot --apache

o su Nginx:

  sudo certbot --nginx
Richiedere un certificato senza installazione automatica

Per richiedere un certificato in maniera più conservativa senza installazione su Apache:

  sudo certbot certonly --apache

o per Nginx

  sudo certbot certonly --nginx

Installare manualmente il certificato tramite i file di configurazione del server web.
Consultare la lista dei certificati gestiti dal client certbot

Lanciare il comando:

  certbot certificates

oppure consultare il contenuto delle cartelle /etc/letsencrypt/{live,archive}
Revocare un certificato

Con certbot esistono due modalità per revocare un certificato: tramite opzione cert-name e indicando direttamente il percorso del file.

  certbot revoke --cert-name example.com

  certbot revoke --cert-path /etc/letsencrypt/live/example.com/cert.pem

Completata la revoca certbot chiederà se si desidera cancellare i certificati appena revocati. Se i certificati revocati non sono stati cancellati certbot proverà a rinnovarli durante il prossimo rinnovo automatico.