Migration du service GRID-FR serveurs vers TCS

Le service GRID-FR ne délivre plus des certificats serveurs depuis le 30 Juin 2023. Merci donc de demander vos certificats serveurs à partir du nouveau portail TCS, pour faire cela :

  • contacter les personnes en charge des demandes de certificats SSL et les référents TCS de votre organisation (O), pour savoir la procédure interne mise en place pour ce type de certificats;
  • faire ensuite vos nouvelles demandes ou renouvellement de certificat serveurs via le nouveau portail TCS : https://cert-manager.com/customer/Renater/ssl/login

A savoir, le profil équivalent aux certificats serveurs/services GRID-FR est le profil TCS e-Science (GÉANT IGTF Multi Domain) utilisables dans le contexte des grilles de calcul/clouds. Ce profil est déjà activé dans TCS.

Vous pouvez nous contacter pour savoir qui est le référent TCS de votre organisation.

Certificat serveur/service

Les prérequis

Vous ne pouvez demander votre certificat serveur/service que si :

  • vous êtes l'administrateur de serveur/service;
  • vous disposez d'un certificat personnel GRID-FR;

Générez votre fichier de demande de certificat (CSR - PKCS10) avec la commande Openssl suivante:

$ openssl req -new -newkey rsa:2048 -nodes -out cert.csr -keyout cert.key -subj "/O=GRID-FR/C=FR/O=<O>/OU=<OU>/CN=<Nom serveur/service>"

où :

  • les valeurs <O> (pour organisme) et <OU> (pour unité) doivent être :
    • les propriétaires ou gestionnaires de la machine ou de l’application serveur;
    • celles présentes dans votre certificat personnel GRID-FR.
  • la valeur <Nom serveur/service> doit être un FQDN et enregistré dans le DNS.
    • format accepté :
      • pour une demande de certificat serveur : nom de serveur = nom complet de la machine (ex: www. mon.labo.cnrs.fr);
      • Pour une demande de certificat service : nom de service = {nom de service}/{nom complet de la machine}, et doit refléter le type de service (ex: ftp/www.mon.labo.cnrs.fr).
    • caractères autorisés :
      • caractères non accentués : a → z;
      • chiffres : 0 → 9;
      • le moins “-”, le point “.” et le slash “/”.

Cette commande génèrera 2 fichiers :

  • le fichier cert.csr, contenant la requête PKCS10, que vous allez utiliser pour demander votre certificat sur l’interface de demandes;
  • le fichier cert.key, contenant la clé privée créée, que vous installerez avec le certificat associé obtenu sur votre serveur correspondant. Attention à protéger la confidentialité de cette clé privée qui ne doit être accessible qu'aux administrateurs du serveur.
Pour ajouter l'extension Subject Alternative Name (SAN) dans les demandes de certificats serveurs, il faut :
  • soit renseigner le nom DNS de la machine ainsi que les autres noms alternatives dans les champs “Nom alternatif (DNS)” du formulaire de demande de création de certificat selon la procédure décrite dans le paragraphe suivant.
  • soit ajouter cette extension en utilisant un fichier de configuration lors de création de la requête PKCS10. Voir cette page pour des informations supplémentaires.

Si aucun nom n'est renseigné alors le certificat serveur demandé ne contiendra pas cette extension.

Demander votre certificat

Pour effectuer votre demande :

  • allez sur le portail de demandes de certificats GRID-FR: https://pub-ee-grid.pncn.education.gouv.fr/EE/;
  • authentifiez vous avec votre certificat personnel GRID-FR;
  • cliquez sur “Demander un certificat” du menu d’“Enrôlement” gauche;
  • sélectionnez la catégorie d'AC “Services”, et confirmer ensuite le profil “Services” de certificat;
  • entrez votre adresse mail enregistrée auparavant dans l'annuaire GRID-FR (si ce n'est pas le cas, voir Première Demande);
  • sélectionnez le fichier CSR ( requête PKCS#10) déjà généré (voir Les Prérequis);
  • complétez le formulaire de demande de création de certificat et puis validez.
Le champ adresse électronique de contact contient par défaut l'adresse électronique présente dans votre certificat personnel utilisé pour l'authentification.

Il est recommandé, de modifier cette adresse en adresse de fonction (ex. grid-admin@monlabo.cnrs.fr) qui correspond à l'adresse électronique des administrateurs de la machine ou de l'application serveur, et différente de celle présente dans votre certificat personnel GRID-FR.

Cette adresse est notamment utilisée pour envoyer les notifications de récupération et d'arrivée à expiration du certificat.

Traitement de la demande et récupération du certificat

Après vérification, l'AE traitera votre demande :

  • si les conditions de délivrance de ce type de certificat ne sont pas respectées, la demande sera rejetée et vous serez informé par mail de la cause de rejet;
  • sinon, l'AE validera votre demande, votre certificat sera créé et un mail vous sera envoyé pour vous indiquer comment récupérer votre certificat.
Vous recevrez le mail à l'adresse électronique de contact fournie dans la demande.

Expiration du certificat

Un certificat serveur/service GRID-FR a une durée de validité limitée à un an.

Vous recevrez des notifications par mail pour vous avertir de l'expiration de votre certificat serveur/service et vous prévenir de la nécessité de le renouveler.

Ces notifications vous seront envoyées un mois avant la date d’échéance, 2 semaines avant, 1 semaine avant, et 1 jour avant.

Attention à bien effectuer le renouvellement avant cette date.