TCS GARR: un tool di automazione per i certificati digitali

Un tool open source semplifica e automatizza la gestione dei certificati digitali nella comunità della ricerca.

I certificati digitali rappresentano le fondamenta della fiducia su Internet, garantendo autenticazione e protezione delle comunicazioni in rete. Permettono, infatti, di verificare l’identità di un sito o di un’organizzazione e di cifrare il traffico proteggendo dati sensibili come password, dati personali o transazioni economiche.

Dietro questi certificati ci sono le cosiddette Certificate Authority (CA), autorità che verificano l’identità dei richiedenti e rilasciano i certificati.

Negli ultimi anni il mercato globale dei certificati digitali è cresciuto in modo significativo, ma, secondo il report “Market concentration” di Internet Society, è tra i servizi di Internet maggiormente soggetti a dinamiche di forte concentrazione. In questo settore, infatti, la posizione dominante di poche CA è molto evidente e di fatto, tante organizzazioni e siti web dipendono da un numero relativamente ristretto di autorità per ottenere i certificati digitali.

Nel 2025 la comunità della ricerca europea, tramite GÉANT, ha scelto di affidarsi a HARICA (Hellenic Academic and Research Institutions Certification Authority), una CA che nasce in un ambiente universitario ed è finanziata da Greek Universities Network (GUnet), un’organizzazione senza scopo di lucro i cui membri sono le università della Grecia.

Come ogni cambio di gestore, dal punto di vista tecnico, è stato necessario effettuare una serie di adattamenti dovuti alle diverse modalità di fornitura del servizio.

In particolare, all’inizio del contratto, da gennaio a giugno 2025, HARICA non aveva ancora implementato il supporto al protocollo ACME (Automated Certificate Management Environment), ovvero uno standard dell’IETF che consente di automatizzare l’intero ciclo di vita dei certificati digitali SSL/TLS, dalla richiesta al rinnovo.

Per i SysAdmin, abituati ad automatizzare il processo per evitare rinnovi manuali, questa mancanza rappresentava una criticità operativa notevole.

Per colmare questo vuoto, GARR ha sviluppato la soluzione TCS GARR Client, un tool a riga di comando (CLI) progettato per interagire con le API di HARICA, facilitando le operazioni massive che l'interfaccia web non poteva garantire.

Per saperne di più abbiamo incontrato Pasquale Mandato, responsabile del gruppo IT di GARR e Vincenzo Caracciolo, DevOps engineer di GARR.

Come avete reagito all'assenza di strumenti di automazione?

Mandato. Sapevamo che non potevamo tornare a gestire i certificati a mano. Abbiamo studiato le API di HARICA e, ben prima dell'avvio ufficiale del contratto, abbiamo iniziato a sviluppare un client che permettesse di fare tutto da riga di comando. L'obiettivo era azzerare il disagio del cambio del fornitore.

Che cos'è, in pratica, il client TCS GARR?

Caracciolo. È uno strumento open source scritto in Python che fa da ponte tra gli utenti e la CA permettendo agli amministratori IT di eseguire operazioni avanzate direttamente da terminale: dalla richiesta e approvazione dei certificati alla gestione delle identità ACME, fino all'esportazione di report dettagliati.

Come si è arrivati allo sviluppo del tool?

Mandato. Siamo partiti analizzando le poche soluzioni sperimentali esistenti in ambito internazionale e abbiamo deciso di sviluppare qualcosa di più maturo.

Abbiamo iniziato a lavorare ben prima dell’inizio operativo del contratto con HARICA per non lasciare gli utenti con un vuoto tra un provider e l’altro. La prima release è stata a gennaio, quindi siamo riusciti ad essere molto tempestivi.

Caracciolo. In una fase successiva abbiamo sviluppato un’immagine Docker di tcs-garr, pensata come base comune per agevolare lo sviluppo di altri strumenti e semplificarne l’utilizzo. Su questa base abbiamo realizzato auto-harica, un tool in grado di simulare il comportamento di un client ACME, sopperendo alla sua assenza fino al rilascio ufficiale avvenuto nel mese di luglio.

Quali sono le principali funzionalità?

Mandato. Il client offre un set completo di comandi per l'amministrazione quotidiana. Permette, infatti, di richiedere certificati tramite richiesta di firma del certificato (CSR) o con generazione automatica, di approvare o cancellare richieste, di elencare certificati con filtri avanzati (stato, scadenza, FQDN, proprietario), di scaricare certificati in formato pemBundle o certificate, di revocare certificati (solo API).

Nella gestione del protocollo ACME consente di elencare gli account ACME, creare nuovi account, disabilitarli, ottenere token e regole di validazione dei domini.

Il tool inoltre permette la validazione dei domini generando i token di validazione necessari per completare le verifiche richieste dalla CA.

Caracciolo. Tra le altre caratteristiche, inoltre, è previsto il supporto Kubernetes con la possibilità di generare direttamente file YAML di tipo Secret per importare certificati TLS in cluster Kubernetes e altre funzionalità come la notifica automatica, ad esempio verso Slack, alla richiesta di un nuovo certificato e strumenti diagnostici per interrogare endpoint specifici e verificare la corretta comunicazione con le API di HARICA.

Come può essere installato il client?

Caracciolo. Abbiamo progettato il tool per essere agnostico e facile da installare, sia via pip, pipx che tramite Docker sfruttando le immagini pubblicate nel GitHub Container Registry.

Con quale licenza è rilasciato il software?

Caracciolo. Il progetto è rilasciato come software open source (GPLv3) ed è disponibile su PyPI e come immagine Docker. Chiunque può contribuire con nuove funzionalità, segnalazioni o patch. Sono già presenti vari contributori attivi, e il progetto è pensato per crescere grazie alla collaborazione della comunità accademica e della ricerca.

Pur essendo distribuito da GARR, il software non è ufficialmente supportato né approvato da HARICA, e viene offerto alla comunità senza garanzia di manutenzione o supporto.

Come è stato accolto dalla comunità?

Mandato. Il riscontro della comunità è stato molto positivo. Ad oggi contiamo circa 39.000 download del software da GitHub, un dato che testimonia il forte interesse verso il progetto. Abbiamo ricevuto diverse pull request e segnalazioni di bug dagli utenti, confermando che il tool non è solo utilizzato, ma attivamente migliorato dalla comunità accademica.

Caracciolo. In alcuni casi abbiamo dato supporto per l’installazione, e ciò è stato particolarmente utile. All’Università di Trento, ad esempio, anche utenti non esperti di Python in pochi minuti sono riusciti a rendere operativo il tool e ciò ha risolto i problemi di esperienza utente che c’erano con HARICA. Le funzionalità più apprezzate sono state la generazione di nuovi certificati, l’automazione dei rinnovi, le revoche e la possibilità di fare le Domain Validation (DV) tramite script.