Référentiel documentaire TCS : Sectigo

Le service TCS avec Sectigo propose les profils de certificat suivants :

UNDERCONSTRUCT

Type Profil de certificats Description Prérequis Méthodes de demande recommandée
Certificats Serveur (SSL Certificates) GÉANT OV SSL
GÉANT OV Multi-Domain
GÉANT Wildcard SSL
Certificats SSL avec une validation de la propriété des domaines et au niveau des informations de l'organisation (Organization validation). Ils peuvent être multi-domaines ou wildcard (*.domain.fr) - DCV (Domain Control Validation) des domaines délégués avec un statut Validated
- Organization Validation (OV) avec un statut Validated
- Par les administrateurs RAO/DRAO via le portail SCM (https://cert-manager.com/customer/renater)
- Par les demandeurs directement sur invitation et si les administrateurs RAO/DRAO ont créé au moins un portail Enrollment Form (https://cert-manager.com/customer/renater/ssl) pour certains domaines ou sous-domaines autorisés.
- Automatisation possible avec ACME, les API REST de Sectigo,..
GÉANT EV SSL
GÉANT EV Multi-Domain
Certificats SSL avec une validation étendue (Extended Validation) : validation de la propriété des domaines, des informations de l'organisation, des informations des personnes intervenant dans la demande. Ils peuvent être multi-domaines mais jamais wildcard - DCV (Domain Control Validation) des domaines délégués avec un statut Validated
- Organization Validation (OV) avec un statut Validated et informations étendues de l'organisation validées
- Ancre EV valide pour les domaines concernés
- Validation des informations des personnes (demandeur, approbateur, signataire du contrat)
Certificats de personne (Client Certificates) GÉANT Personal email signing and encryption Certificats - - Par le portail SAML de GÉANT (https://cert-manager.com/customer/renater/idp/clientgeant)
GÉANT Personal Authentication Certificats -
GÉANT Personal Automated Authentication Certificats -
GÉANT Organisation email signing Certificats - - Par les demandeurs directement sur invitation et si les administrateurs RAO/DRAO ont créé au moins un portail Enrollment Form (https://cert-manager.com/customer/renater/smime) pour certains domaines ou sous-domaines autorisés.
GÉANT Organisation Automated Authentication Certificats -
Certificats de signature de code (Code Signing Certificate) Certificats - cf. repository
Certificats de signature de documents(Document Signing Certificate) Certificats - cf. certificats_de_signature_de_document_sur_un_token_preconfigure_par_sectigo

Les certificats de signature de document ne sont pas accessibles directement dans le portail SCM de Sectigo. Ils peuvent être commandés sur : https://www.sectigo.com/ssl-certificates-tls/document-signing-certificates.
Un code de remise est applicable pour les participants de TCS et il permet de ne facturer que le token USB pour un montant inférieur à 150€ et pas le certificat lui-même (qui peut être valable entre 1 et 3 ans) : QQY1XB49V9 (le code est à renseigner dans le champ PROMO CODE au moment du paiement).

A partir du 8 mai 2023, seuls peuvent être commandés des certificats de signature de code dont la bi-clé a été générée sur un HSM répondant à des normes spécifiques ou alors fourni directement par Sectigo sur un token. Les appareils actuellement pris en charge par Sectigo (FIPS-compliant) sont :

  • Thales/Safenet Luna netHSM (pour les clés RSA uniquement) ;
  • Yubico FIPS Yubikeys (pour les clés ECC uniquement).

Certificats de signature de code OV

Il est fortement recommandé lors des demandes de certificats de signature de code OV d'utiliser une YubiKey (FIPS) (les clefs YubiKeys “standard” ne le sont pas) que vous possédez au préalable plutôt que de commander directement un token auprès de Sectigo. Sectigo fournit la procédure suivante pour pouvoir utiliser une YubiKey FIPS lors de la demande d'un certificat de signature de code OV : https://www.sectigo.com/knowledge-base/detail/Key-Generation-and-Attestation-with-YubiKey/kA03l000000roEV.

Un nouveau profil de certificat a été créé pour gérer les demandes de certificats de signature de code OV sur les appareils FIPS déjà possédés : Geant OV Code Signing (Key Attestation). Il est accessible par défaut pour l'ensemble des organisations ayant souscrit à TCS ; ainsi les administrateurs RAO/DRAO peuvent créés des portails (Enrollment Forms) pour gérer les demandes de certificats de leur organisation/département.

Le demandeur d'un certificat peut être invité par un administrateur RAO/DRAO depuis l'onglet Certificates > Code Signing Certificates puis en cliquant que le bouton Invitation en haut à droite.

Certificats de signature de code OV (sur un token préconfiguré par Sectigo)

Le profil SECTIGO Public CA CS Certificate Profile est réservé uniquement pour les demandes de certificats émis sur un appareil FIPS envoyé directement par Sectigo ; ce profil est accessible à la communauté sur demande sur le support. Des frais supplémentaires restent à la charge de l'organisation demandeuse. Ils peuvent être commandés sur : https://www.sectigo.com/ssl-certificates-tls/code-signing en sélectionnant Standard Code Signing Certificate.
Un code de remise est applicable pour les participants de TCS et il permet de ne facturer que le token USB : 2GE8AFN0T1 (le code est à renseigner dans le champ PROMO CODE au moment du paiement).

Certificats de signature de code EV (sur un token préconfiguré par Sectigo)

De la même manière que pour les certificats de signature de documents, les certificats de signature de document ne sont pas accessibles directement dans le portail SCM de Sectigo. Ils peuvent être commandés sur : https://www.sectigo.com/ssl-certificates-tls/code-signing en sélectionnant EV Code Signing Certificate.
Un code de remise est applicable pour les participants de TCS et il permet de ne facturer que le token USB : 3GE5YPN6T8 (le code est à renseigner dans le champ PROMO CODE au moment du paiement).

Les fichiers suivants correspondent à différentes chaines de confiance, prêtes à l'emploi, pour les différents types de certificats fournis par TCS. L'ordre correspond à celui attendu par un serveur web Apache (depuis les feuilles vers la racine), et la racine de confiance n'est pas incluse.

Pour chaque type de certificat, il existe une chaine de confiance unique, sauf dans un cas particulier. L'autorité USERTrust RSA Certification Authority n'est en effet considérée comme une racine de confiance que depuis quelques années, il existe donc une chaine de confiance dans laquelle elle n'est qu'une autorité intermédiaire pour les clients plus anciens, et notamment les applications Java utilisant une version antérieure de la JVM antérieure à la version 8u51, publiée en juillet 2015. Pour plus de détails à ce sujet, vous pouvez consulter la page suivante.

Chaine de confiance Racine de confiance
GEANT OV RSA CA 4 > USERTrust RSA Certification Authority (pour rétrocompatibilité) AAA Certificate Services
GEANT OV RSA CA 4 USERTrust RSA Certification Authority
GEANT OV ECC CA 4 USERTrust ECC Certification Authority
GEANT EV RSA CA 4 USERTrust RSA Certification Authority
GEANT EV ECC CA 4 USERTrust ECC Certification Authority
GEANT Personal CA 4 USERTrust RSA Certification Authority
GEANT Personal ECC CA 4 USERTrust ECC Certification Authority
GEANT Code Signing CA 4 USERTrust RSA Certification Authority
(Pour ACME avec l'url https://acme.sectigo.com/v2/OV et le profil de certificats Elite (SSL SHA256) uniquement) Sectigo RSA Organization Validation Secure Server CA USERTrust RSA Certification Authority

Le détail de ces différents certificats est accessible sur TCS 4 et les chaines de certification root de Sectigo sont décrites sur Sectigo Root Certificates.

Hormis pour ACME avec l'url https://acme.sectigo.com/v2/OV, l'algorithme de signature des certificats délivrés par Sectigo est SHA384WITHRSA.
Pour des raisons de rétrocompatibilité, un profil nommé “Elite SSL (SHA256)” est accessible à la communauté sur demande sur le support : l'algorithme de signature utilisé dans ce profil est SHA256WITHRSA.

Afin de pouvoir demander des certificats EV, il est recommandé de créer préalablement une ancre EV (EV Anchor) qui sera valide 13 mois.
La procédure est décrite dans le document EV Anchors et peut être amorcée directement par les RAO. Ne demandez pas aux MRAO de créer l'EV Anchor (Ancre EV), seule la validation de l'Ancre EV sera réalisée par les MRAO après contact sur le portail d'assistance de RENATER lorsqu'elle est en état REQUESTED.

Une demande de certificat EV ne peut pas être validée directement par l'administrateur “demandeur” (elle reste en état REQUESTED). Un autre administrateur RAO de la même organisation doit réaliser cette opération de validation pour qu'elle soit prise en compte (règle de validation “four eyes principle”).

La documentation du portail Sectigo SCM est accessible sur https://support.sectigo.com/Com_KnowledgeProductPage?c=Admin_Guides&k=&lang=.

Les documents suivants sont à consulter en priorité par tout administrateur du service TCS dans un organisme :

  • SCM - Sectigo Certificate Manager Quick Start Guide est un guide de prise en main rapide du portail SCM ;
  • SCM - Sectigo Certificate Manager Administrator's Guide est un guide complet de toutes les fonctionnalités du portail SCM ;
  • SCM - Sectigo Certificate Manager REST API décrit l'API REST de Sectigo.

Sectigo propose également aux administrateurs des vidéos montrant comment utiliser les principales fonctions du portail SCM : https://sectigo.com/knowledge-base/product/Videos_SCM_Admin_how_to.

Les informations sur le portail SCM sont accessibles sur https://sectigo.status.io.
L'état des services relatifs au portail de découverte SAML de Sectigo est accessible sur https://status.seamlessaccess.org/.

Il est possible de déléguer à un tiers la possibilité de demander des certificats pour un ou plusieurs domaines, ce qui facilite l'hébergement sous nom de domaine propre, comme pour un certains nombre de services opérés par le GIP RENATER (Partage, Universalistes, Identitas). La mise en place de cette procédure est détaillée dans ce document.

  • tcs/repository.txt
  • Dernière modification : 2024/01/17 15:47
  • de ludovic.auxepaules@renater.fr