Questa guida nasce per la gestione, creazione e revoca di certificati di firma e cifratura necessari per permettere la comunicazione tra un concessionario dei giochi pubblici e il sistema centrale ADM attraverso Sogei.

L’applicazione messa a disposizione al delegato del concessionario nella propria area riservata, permette di generare certificati per le private key generate da usare per:

• certificati di firma per l’invio di messaggi di protocollo (PACG, PGDA, PBAD, PBDS, PGLT, PGNL, PGLA, PGNC, PGNW, PGNR, PGNX, PGPV);
• certificati di firma per gli apparati di rete VPN;
• certificati di cifra per permettere ad ADM di inivare ai Concessionari informazioni riservate come l’elenco dei conti di gioco di un concessionario (rilasciato contestualmente al certificato di firma per i protocolli).

Per il rilascio di tali certificati è necessario accedere al PUDM (Portale unico Dogane e Monopoli) con le credenziali previste dal sistema di autenticazione (STD, CNS, SPID, ecc.) ed essere abilitato all’Applicazione “Rilascio certificati” ovvero delegato per “dlr_giochi_richiesta_certificati” fornita dal responsabile di una concessionaria dei Giochi.

I certificati rilasciati nella sezione “Rilascio certificati TEST” verranno accettati solo per comunicazioni sugli ambienti di test; per effettuare comunicazioni e connessioni in ambiente di produzione è necessario richiedere nuovi certificati sull’ambiente “Rilascio certificati“.

Per ogni CommonName (a seconda della tipologia sarà la p.iva, il cod fiscale della concessione o l’hostname fittizio generato con l’id FSC) si possono avere al massimo quattro certificati validi anche se scaduti e richiesti da utenti diversi; per poter richiedere un ulteriore certificato sarà quindi necessario revocarne uno vecchio in disuso o scaduto.

Nuova richiesta

Nella prima schermata viene presentato l’elenco delle diverse tipologie di certificati richiedibili tramite il quale è possibile selezionare il tipo di certificato per cui si intende inoltrare richiesta ad ADM.

In caso di richiesta di certificato di firma per protocolli di comunicazione, nella schermata successiva, qualora all’utente risultino abbinate più partite iva, verrà chiesto di specificare per quale di esse intende fare richiesta;

in caso contrario il sistema presenterà direttamente la schermata di caricamento in cui verranno visualizzati due campi upload file dal proprio filesystem nei quali devono essere inseriti i file nello standard PKCS#10 per il certificato di firma e di cifratura in formato PEM (testuale).

In caso di richiesta di certificato di firma per la VPN, nella schermata successiva possono essere elencati i diversi hostname “fittizi” (per id FSC diversi, oppure perché ha la necessità di istanziare più apparati per lo stesso FSC; attualmente si possono richiedere fino a 2 apparati per FSC) oppure il sistema presenterà direttamente la schermata di caricamento della richiesta in formato PKCS#10.

Un esempio di come possono essere generate tali richieste usando Openssl è il seguente: utilizzare almeno la versione (Openssl vers. 0.9.8b)

openssl req -new -newkey rsa:2048 -keyout private_keyfirma.pem -out firma.pem

Durante questa operazione con openssl vengono richieste alcune informazioni che verranno incorporate nel certificato rilasciato, tra cui:

• COUNTRY NAME: Indicare la sigla dello stato in cui ha sede legale la società richiedente
• STATE OR PROVINCE NAME: Indicare per esteso il nome dello stato in cui ha sede legale la società richiedente
• LOCALITY NAME: Indicare il nome della città in cui ha sede legale la società richiedente
• ORGANIZATION NAME: nome della società richiedente
• COMMON NAME: questa informazione è presente nella schermata di caricamento della richiesta

ATTENZIONE: le richieste accettate dalla CA dovranno avere una lunghezza di 2048 bit e supporteranno l’algoritmo SHA-256.

In tal modo verranno generati due file, uno con nome private_key.pem che contiene la chiave privata in formato testuale e firma.pem ovvero la richiesta da inviare tramite il sito. Creare una apposita cartella FIRMA e copiare al suo interno i file appena generati. Il file Una volta generati i file private_key.pem tornerà di fondamentale importanza quando occorrerà creare il certificato .p12 da installare sulla macchina che si occupa della trasmissione dei dati verso il CED Sogei.

ATTENZIONE: la private key e la passphrase non devono essere mai inviate.

Generati i primi 2 file per la firma, occorre nuovamente ripetere l’operazione per i certificati di cifratura utilizzando la seguente richiesta di Openssl:

openssl req -new -newkey rsa:2048 -keyout private_keycifratura.pem -out cifratura.pem

Anche in questo caso creare una apposita cartella CIFRATURA e copiare al suo interno i file appena generati.

Generati entrambe i file sarà sufficiente caricarli nell’area riservata, come indicato nella figura precedente ed inoltrare la richiesta cliccando su “Carica PKCS#10”.

Una volta caricate le richieste il certificato passa nello stato di RICHIESTA INOLTRATA e sarà possibile visualizzare il dettaglio di quest’ultimo, e di tutti gli altri certificati richiesti dall’utente nella sezione “Visualizza Certificati”.
Le richieste che devono essere ancora elaborate risulteranno nello stato RICHIESTA INOLTRATA, mentre al termine dell’operazione di elaborazione i certificati risulteranno nello stato VALIDI e sarà possibile prelevarli con una semplice operazione di copia dalla sezione DETTAGLI di “Visualizza certificati”.

I certificati per i protocolli di comunicazione vengono gestiti in coppia (firma e cifratura); la revoca del certificato di firma prevede la revoca del corrispondente certificato di cifratura.
Viene data la possibilità di richiedere quattro coppie di certificati che possono essere usati contemporaneamente; questo per permettere al Concessionario di revocarne o aggiornarne uno mantenendo l’altro valido e, quindi, senza dover fermare le attività di gioco; per questo motivo si consiglia di richiederli in tempi diversi, anche se un e-mail di notifica verrà inviata all’utente che ne ha fatto richiesta a pochi giorni dalla scadenza.

Un certificato scaduto non è revocato; la revoca va richiesta esplicitamente.

Visualizza certificati

Entrando in questa sezione viene visualizzato l’elenco completo di tutti i certificati richiesti dall’utente e, cliccando sul link “DETTAGLIO” è possibile visualizzare il dettaglio del certificato selezionato.
A seconda dello status del certificato selezionato è possibile effettuare alcune operazioni; in particolare è possibile:

• Visualizzare il certificato
• Visualizzare le scadenze ed il serial number
• Visualizzare lo status del certificato
• Chiedere il ripristino del certificato (ovvero revoca del precedente e rilascio del nuovo)
• Chiedere la revoca del certificato (cifra e firma vengono gestiti in coppia, quindi la revoca di uno comporta la revoca anche dell’altro)

Generare il PKCS#12

Per generare il pkcs#12, necessaria nelle operazioni di firma, verificando che la chiave privata corrisponda al certificato rilasciato (usando openssl) eseguire:

openssl pkcs12 -export -in certificato_firma.pem -inkey private_keyfirma.pem -certfile CA_Sogei.cer -name “Firma Concessionario” -out pkcs12.p12

dove certificato_firma.pem è il file scaricato nella sezione visualizza certificati e private_keyfirma.pem è la corrispondente chiave privata generata dall’utente prima di inviare la richiesta di certificato; il file CA_Sogei.cer invece può essere scaricato nella sezione “Rilascio Certificati”.

Una volta generato il certificato pkcs12.p12 sarà sufficiente installarlo nella macchina che si occupa della trasmissione dei dati per connettere i sistemi del concessionario a quelli di Sogei

Recovery

L’operazione di recovery consiste nel ripristino del certificato; questa operazione è utile in caso di smarrimento della chiave privata, della passphrase o nel caso risulti compromessa la sicurezza delle stesse, oltre che per decorrere della scadenza del certificato.
Il tasto di “Recovery” è disponibile nella pagina “DETTAGLI” corrispondente al certificato in stato valido per il quale si vuole operare. Richiedendo la revoca e contestualmente il rilascio di un certificato sostitutivo, lo stato del certificato diventa “RICHIESTA RIPRISTINO INOLTRATA”, che corrisponde allo stato “RICHIESTA INOLTRATA” di una nuova richiesta. I passi da seguire per rigenerare un certificato sono gli stessi presentati nella sezione “Nuova richiesta”.
Al termine dell’elaborazione il nuovo certificato tornerà “VALIDO” nella richiesta del vecchio, ma da quel momento il vecchio certificato non potrà più essere utilizzato; per la continuità del gioco si consiglia di richiedere nuovi certificati e revocare i vecchi in scadenza, piuttosto che ripristinare un certificato in uso.