Instituto Superior Técnico

Serviços de Informática

Como obter um certificado digital de servidor emitido pela entidade certificadora TERENA

Para os administradores de servidores que pretendam oferecer ligações seguras aos seus serviços através de SSL/TLS, e para isso pretendam solicitar um certificado digital X.509 de servidor emitido pela entidade certificadora TERENA, devem seguir o procedimento descrito.

Este serviço apenas está disponível para os certificados de servidor sob os domínios tecnico.ulisboa.pt e ist.utl.pt.

  1. Gerar o CSR (Certificate Signing Request) no formato PEM, preenchendo os campos referentes ao nome da organização e ao nome da unidade organizacional de acordo com o seguinte formato:
    • Campos obrigatórios:
      • Country (país) – C=”PT”
      • Organization – O=”Universidade de Lisboa”
      • Common Name – CN=”[server name.domain].tecnico.ulisboa.pt”
        1. A chave pública tem de ter 2048 bits de tamanho.
    • Campos opcionais (Os campos opcionais devem estar vazios ou completos, tal como descrito anteriormente. Não são permitidos e-mails pessoais ou outros valores para o campo “Location”. Podem ser indicados múltiplos atributos CN com outros nomes de domínio terminado em ist.utl.pt ou tecnico.ulisboa.pt):
      • Locality (localidade) – L=”Lisboa”
      • State/Province (distrito) – ST=”Lisboa”
      • Email – E=”[official support address]@[domain.]tecnico.ulisboa.pt”
      • Common Name – CN=”[server name.domain].ist.utl.pt”
      • Common Name – CN=”[server name.domain].tecnico.ulisboa.pt”
    • Entradas válidas (exemplo 1):
      • O=”Universidade de Lisboa”
      • OU=”Instituto Superior Tecnico / Departamento de Engenharia Civil”
    • Entradas válidas (exemplo 2):
      • O=”Universidade de Lisboa”
      • OU=”Instituto Superior Tecnico”
    • Entradas inválidas (exemplo 1):
      • O=”Instituto Superior Tecnico”
      • OU=”Departamento de Engenharia Civil”
    • Entradas inválidas (exemplo 2):
    • O=”Universidade de Lisboa”
    • OU=”Departamento de Engenharia Civil”
  2. Enviar um mail para a DSI (si@tecnico.ulisboa.pt) com o ficheiro CSR em anexo e a lista dos nomes de domínio adicionais que o certificado deve conter.
  3. Após a validação por um dos administradores da DSI (proxies institucionais), este pedido é encaminhado para a TERENA. Após a emissão do certificado a DSI responderá ao pedido com o ficheiro em anexo que contém o certificado para o servidor e os certificados cadeia hierárquica de entidades emissoras responsáveis pela emissão do certificado. Normalmente o processo é rápido, sendo os certificados emitidos no prazo de um ou dois dias úteis.

Pode consultar mais informações sobre o serviço de GEANT’s Trusted Certiticate Service e os vários tipos de certificados emitidos no seguinte endereço: