Panneau latéral
Table des matières
Référentiel documentaire TCS : Sectigo
Certificats et Profils associés
Le service TCS avec Sectigo propose les profils de certificat suivants :
UNDERCONSTRUCT
| Type | Profil de certificats | Description | Prérequis | Méthodes de demande recommandée |
|---|---|---|---|---|
| Certificats Serveur (SSL Certificates) | GÉANT OV SSL GÉANT OV Multi-Domain GÉANT Wildcard SSL | Certificats SSL avec une validation de la propriété des domaines et au niveau des informations de l'organisation (Organization validation). Ils peuvent être multi-domaines ou wildcard (*.domain.fr) | - DCV (Domain Control Validation) des domaines délégués avec un statut Validated - Organization Validation (OV) avec un statut Validated | - Par les administrateurs RAO/DRAO via le portail SCM (https://cert-manager.com/customer/renater) - Par les demandeurs directement sur invitation et si les administrateurs RAO/DRAO ont créé au moins un portail Enrollment Form (https://cert-manager.com/customer/renater/ssl) pour certains domaines ou sous-domaines autorisés. - Automatisation possible avec ACME, les API REST de Sectigo,.. |
| GÉANT EV SSL GÉANT EV Multi-Domain | Certificats SSL avec une validation étendue (Extended Validation) : validation de la propriété des domaines, des informations de l'organisation, des informations des personnes intervenant dans la demande. Ils peuvent être multi-domaines mais jamais wildcard | - DCV (Domain Control Validation) des domaines délégués avec un statut Validated - Organization Validation (OV) avec un statut Validated et informations étendues de l'organisation validées - Ancre EV valide pour les domaines concernés - Validation des informations des personnes (demandeur, approbateur, signataire du contrat) |
||
| Certificats client (Client Certificates) | GÉANT Personal email signing and encryption | Certificats | - | - Par le portail SAML de GÉANT (https://cert-manager.com/customer/renater/idp/clientgeant) |
| GÉANT Personal Authentication | Certificats | - | ||
| GÉANT Personal Automated Authentication | Certificats | - | ||
| GÉANT Organisation email signing | Certificats | - | - Par les demandeurs directement sur invitation et si les administrateurs RAO/DRAO ont créé au moins un portail Enrollment Form (https://cert-manager.com/customer/renater/smime) pour certains domaines ou sous-domaines autorisés. | |
| GÉANT Organisation Automated Authentication | Certificats | - | ||
| Certificats de signature de code (Code Signing Certificate) | … | Certificats | - | cf. repository |
| Certificats de signature de documents(Document Signing Certificate) | … | Certificats | - | cf. certificats_de_signature_de_document_sur_un_token_preconfigure_par_sectigo |
Certificats de signature de document (sur un token préconfiguré par Sectigo)
Les certificats de signature de document ne sont pas accessibles directement dans le portail SCM de Sectigo. Ils peuvent être commandés sur : https://www.sectigo.com/ssl-certificates-tls/document-signing-certificates.
Un code de remise est applicable pour les participants de TCS et il permet de ne facturer que le token USB pour un montant inférieur à 150€ et pas le certificat lui-même (qui peut être valable entre 1 et 3 ans) : QQY1XB49V9 (le code est à renseigner dans le champ PROMO CODE au moment du paiement).
Certificats de signature de code
A partir du 8 mai 2023, seuls peuvent être commandés des certificats de signature de code dont la bi-clé a été générée sur un HSM répondant à des normes spécifiques ou alors fourni directement par Sectigo sur un token. Les appareils actuellement pris en charge par Sectigo (FIPS-compliant) sont :
- Thales/Safenet Luna netHSM (pour les clés RSA uniquement) ;
- Yubico FIPS Yubikeys (pour les clés ECC uniquement).
Certificats de signature de code OV
Il est fortement recommandé lors des demandes de certificats de signature de code OV d'utiliser une YubiKey (FIPS) (les clefs YubiKeys “standard” ne le sont pas) que vous possédez au préalable plutôt que de commander directement un token auprès de Sectigo. Sectigo fournit la procédure suivante pour pouvoir utiliser une YubiKey FIPS lors de la demande d'un certificat de signature de code OV : https://www.sectigo.com/knowledge-base/detail/Key-Generation-and-Attestation-with-YubiKey/kA03l000000roEV.
Un nouveau profil de certificat a été créé pour gérer les demandes de certificats de signature de code OV sur les appareils FIPS déjà possédés : Geant OV Code Signing (Key Attestation). Il est accessible par défaut pour l'ensemble des organisations ayant souscrit à TCS ; ainsi les administrateurs RAO/DRAO peuvent créés des portails (Enrollment Forms) pour gérer les demandes de certificats de leur organisation/département.
Le demandeur d'un certificat peut être invité par un administrateur RAO/DRAO depuis l'onglet Certificates > Code Signing Certificates puis en cliquant que le bouton Invitation en haut à droite.
Certificats de signature de code OV (sur un token préconfiguré par Sectigo)
Le profil SECTIGO Public CA CS Certificate Profile est réservé uniquement pour les demandes de certificats émis sur un appareil FIPS envoyé directement par Sectigo ; ce profil est accessible à la communauté sur demande sur le support. Des frais supplémentaires restent à la charge de l'organisation demandeuse. Ils peuvent être commandés sur : https://www.sectigo.com/ssl-certificates-tls/code-signing en sélectionnant Standard Code Signing Certificate.
Un code de remise est applicable pour les participants de TCS et il permet de ne facturer que le token USB : 2GE8AFN0T1 (le code est à renseigner dans le champ PROMO CODE au moment du paiement).
Certificats de signature de code EV (sur un token préconfiguré par Sectigo)
De la même manière que pour les certificats de signature de documents, les certificats de signature de document ne sont pas accessibles directement dans le portail SCM de Sectigo. Ils peuvent être commandés sur : https://www.sectigo.com/ssl-certificates-tls/code-signing en sélectionnant
EV Code Signing Certificate.
Un code de remise est applicable pour les participants de TCS et il permet de ne facturer que le token USB : 3GE5YPN6T8 (le code est à renseigner dans le champ PROMO CODE au moment du paiement).
Chaines de certification
Les fichiers suivants correspondent à différentes chaines de confiance, prêtes à l'emploi, pour les différents types de certificats fournis par TCS. L'ordre correspond à celui attendu par un serveur web Apache (depuis les feuilles vers la racine), et la racine de confiance n'est pas incluse.
Pour chaque type de certificat, il existe une chaine de confiance unique, sauf dans un cas particulier. L'autorité USERTrust RSA Certification Authority n'est en effet considérée comme une racine de confiance que depuis quelques années, il existe donc une chaine de confiance dans laquelle elle n'est qu'une autorité intermédiaire pour les clients plus anciens, et notamment les applications Java utilisant une version antérieure de la JVM antérieure à la version 8u51, publiée en juillet 2015. Pour plus de détails à ce sujet, vous pouvez consulter la page suivante.
| Chaine de confiance | Racine de confiance |
|---|---|
| GEANT OV RSA CA 4 > USERTrust RSA Certification Authority (pour rétrocompatibilité) | AAA Certificate Services |
| GEANT OV RSA CA 4 | USERTrust RSA Certification Authority |
| GEANT OV ECC CA 4 | USERTrust ECC Certification Authority |
| GEANT EV RSA CA 4 | USERTrust RSA Certification Authority |
| GEANT EV ECC CA 4 | USERTrust ECC Certification Authority |
| GEANT Personal CA 4 | USERTrust RSA Certification Authority |
| GEANT Personal ECC CA 4 | USERTrust ECC Certification Authority |
| GEANT Code Signing CA 4 | USERTrust RSA Certification Authority |
| (Pour ACME avec l'url https://acme.sectigo.com/v2/OV et le profil de certificats Elite (SSL SHA256) uniquement) Sectigo RSA Organization Validation Secure Server CA | USERTrust RSA Certification Authority |
Le détail de ces différents certificats est accessible sur TCS 4 et les chaines de certification root de Sectigo sont décrites sur Sectigo Root Certificates.
Pour des raisons de rétrocompatibilité, un profil nommé “Elite SSL (SHA256)” est accessible à la communauté sur demande sur le support : l'algorithme de signature utilisé dans ce profil est SHA256WITHRSA.
EV Anchors
Afin de pouvoir demander des certificats EV, il est recommandé de créer préalablement une ancre EV (EV Anchor) qui sera valide 13 mois.
La procédure est décrite dans le document EV Anchors et peut être amorcée directement par les RAO. Ne demandez pas aux MRAO de créer l'EV Anchor (Ancre EV), seule la validation de l'Ancre EV sera réalisée par les MRAO après contact sur le portail d'assistance de RENATER lorsqu'elle est en état REQUESTED.
Documentation Géant
Documentation Sectigo
La documentation du portail Sectigo SCM est accessible sur https://support.sectigo.com/Com_KnowledgeProductPage?c=Admin_Guides&k=&lang=.
Les documents suivants sont à consulter en priorité par tout administrateur du service TCS dans un organisme :
- SCM - Sectigo Certificate Manager Quick Start Guide est un guide de prise en main rapide du portail SCM ;
- SCM - Sectigo Certificate Manager Administrator's Guide est un guide complet de toutes les fonctionnalités du portail SCM ;
- SCM - Sectigo Certificate Manager REST API décrit l'API REST de Sectigo.
Sectigo propose également aux administrateurs des vidéos montrant comment utiliser les principales fonctions du portail SCM : https://sectigo.com/knowledge-base/product/Videos_SCM_Admin_how_to.
Etat des services de Sectigo
Les informations sur le portail SCM sont accessibles sur https://sectigo.status.io.
L'état des services relatifs au portail de découverte SAML de Sectigo est accessible sur https://status.seamlessaccess.org/.
Procédure de délégation
Il est possible de déléguer à un tiers la possibilité de demander des certificats pour un ou plusieurs domaines, ce qui facilite l'hébergement sous nom de domaine propre, comme pour un certains nombre de services opérés par le GIP RENATER (Partage, Universalistes, Identitas). La mise en place de cette procédure est détaillée dans ce document.