Panneau latéral
Table des matières
Référentiel documentaire TCS 2020 : Sectigo
Chaines de certification
Les fichiers suivants correspondent à différentes chaines de confiance, prêtes à l'emploi, pour les différents types de certificats fournis par TCS. L'ordre correspond à celui attendu par un serveur web Apache (depuis les feuilles vers la racine), et la racine de confiance n'est pas incluse.
Pour chaque type de certificat, il existe une chaine de confiance unique, sauf dans un cas particulier. L'autorité USERTrust RSA Certification Authority n'est en effet considérée comme une racine de confiance que depuis quelques années, il existe donc une chaine de confiance dans laquelle elle n'est qu'une autorité intermédiaire pour les clients plus anciens, et notamment les applications Java utilisant une version antérieure de la JVM antérieure à la version 8u51, publiée en juillet 2015. Pour plus de détails à ce sujet, vous pouvez consulter la page suivante.
| Chaine de confiance | Racine de confiance |
|---|---|
| GEANT OV RSA CA 4 > USERTrust RSA Certification Authority | AAA Certificate Services |
| GEANT OV RSA CA 4 | USERTrust RSA Certification Authority |
| GEANT OV ECC CA 4 | USERTrust ECC Certification Authority |
| GEANT EV RSA CA 4 | USERTrust RSA Certification Authority |
| GEANT EV ECC CA 4 | USERTrust ECC Certification Authority |
| GEANT Personal CA 4 | USERTrust RSA Certification Authority |
| GEANT Personal ECC CA 4 | USERTrust ECC Certification Authority |
| GEANT Code Signing CA 4 | USERTrust RSA Certification Authority |
| (Pour ACME avec l'url https://acme.sectigo.com/v2/OV et le profil “Elite (SSL SHA256)” uniquement) Sectigo RSA Organization Validation Secure Server CA | USERTrust RSA Certification Authority |
Le détail de ces différents certificats est accessible sur TCS 4
Pour des raisons de rétrocompatibilité, un profil nommé “Elite SSL (SHA256)” est accessible à la communauté sur demande sur le support : l'algorithme de signature utilisé dans ce profil est SHA256WITHRSA.
EV Anchors
Afin de pouvoir demander des certificats EV, il est recommandé de créer préalablement une ancre EV (EV Anchor) qui sera valide 13 mois.
La procédure est décrite dans le document EV Anchors et peut être amorcée directement par les RAO. Ne demandez pas aux MRAO de créer l'EV Anchor (Ancre EV), seule la validation de l'Ancre EV sera réalisée par les MRAO après contact sur le portail d'assistance de RENATER lorsqu'elle est en état REQUESTED.
Documentation Géant
Documentation Sectigo
La documentation du portail Sectigo SCM est accessible sur https://support.sectigo.com/Com_KnowledgeProductPage?c=Admin_Guides&k=&lang=.
Les documents suivants sont à consulter en priorité par tout administrateur du service TCS dans un organisme :
- SCM - Sectigo Certificate Manager Quick Start Guide est un guide de prise en main rapide du portail SCM ;
- SCM - Sectigo Certificate Manager Administrator's Guide est un guide complet de toutes les fonctionnalités du portail SCM ;
- SCM - Sectigo Certificate Manager REST API décrit l'API REST de Sectigo.
Sectigo propose également aux administrateurs des vidéos montrant comment utiliser les principales fonctions du portail SCM : https://sectigo.com/knowledge-base/product/Videos_SCM_Admin_how_to.
Etat des services de Sectigo
Les informations sur le portail SCM sont accessibles sur https://sectigo.status.io.
L'état des services relatifs au portail de découverte SAML de Sectigo est accessible sur https://status.seamlessaccess.org/.
Procédure de délégation
Il est possible de déléguer à un tiers la possibilité de demander des certificats pour un ou plusieurs domaines, ce qui facilite l'hébergement sous nom de domaine propre, comme pour un certains nombre de services opérés par le GIP RENATER (Partage, Universalistes, Identitas). La mise en place de cette procédure est détaillée dans ce document.