====== 4.6 Gestione Certificati ======
Gestione dei certificati PQ.
===== Tipi di Certificato =====
^ Tipo ^ Posizione ^ Rotazione ^
| Certificato Server | %CERTS_PATH%\server.pfx | Annuale |
| Root-CA | %CERTS_PATH%\CA\root-ca.crt | 10+ Anni |
| Certificati Client | Emessi dalla CA | Annuale |
===== Rinnovare Certificato Server =====
# 1. Richiedere nuovo certificato
# 2. Aggiornare configurazione Proxy
# 3. Riavviare servizio Proxy
Restart-Service "DataGatewayProxy"
===== Emettere Certificati Client =====
# Ricevere CSR dal client
# Firmare certificato
openssl x509 -req -in client.csr -CA ca.crt -CAkey ca.key \
-CAcreateserial -out client.crt -days 365
===== Revoca =====
# Revocare certificato
openssl ca -revoke client.crt -keyfile ca.key -cert ca.crt
# Aggiornare CRL
openssl ca -gencrl -out ca.crl -keyfile ca.key -cert ca.crt
===== Trust-Server =====
Il Trust-Server centrale valida i certificati:
POST https://trust.intern/api/validate
{
"certificate": "base64-encoded-cert",
"purpose": "client-auth"
}
Risposta:
{
"valid": true,
"subject": "CN=developer1",
"issuer": "CN=Internal CA",
"expiresAt": "2025-12-31T23:59:59Z"
}
===== Libreria PQ-Crypto =====
Per la gestione programmatica dei certificati con supporto PQ vedere:
* [[..:..:..:pqcrypt:developer:beispiele:zertifikat-verwaltung:start|Guida dettagliata: Gestione Certificati]]
* [[..:..:..:pqcrypt:api:wvds-system-security-cryptography:x509certificates:x509storeextensions|X509Store Extensions]]
* [[..:..:..:pqcrypt:api:wvds-system-security-cryptography:x509certificates:certificaterevocationlistextensions|CRL Extensions]]
* [[..:..:..:pqcrypt:developer:beispiele:pki-aufbau:start|Costruzione PKI con PQ]]