Les fichiers suivants correspondent à différentes chaines de confiance, prêtes à l'emploi, pour les différents types de certificats fournis par TCS. L'ordre correspond à celui attendu par un serveur web Apache (depuis les feuilles vers la racine), et la racine de confiance n'est pas incluse.
Pour chaque type de certificat, il existe une chaine de confiance unique, sauf dans un cas particulier. L'autorité USERTrust RSA Certification Authority n'est en effet considérée comme une racine de confiance que depuis quelques années, il existe donc une chaine de confiance dans laquelle elle n'est qu'une autorité intermédiaire pour les clients plus anciens, et notamment les applications Java utilisant une version antérieure de la JVM antérieure à la version 8u51, publiée en juillet 2015. Pour plus de détails à ce sujet, vous pouvez consulter la page suivante.
Chaine de confiance | Racine de confiance |
---|---|
GEANT OV RSA CA 4 > USERTrust RSA Certification Authority | AAA Certificate Services |
GEANT OV RSA CA 4 | USERTrust RSA Certification Authority |
GEANT OV ECC CA 4 | USERTrust ECC Certification Authority |
GEANT EV RSA CA 4 | USERTrust RSA Certification Authority |
GEANT EV ECC CA 4 | USERTrust ECC Certification Authority |
GEANT Personal CA 4 | USERTrust RSA Certification Authority |
GEANT Personal ECC CA 4 | USERTrust ECC Certification Authority |
GEANT Code Signing CA 4 | USERTrust RSA Certification Authority |
(Pour ACME avec l'url https://acme.sectigo.com/v2/OV et le profil “Elite (SSL SHA256)” uniquement) Sectigo RSA Organization Validation Secure Server CA | USERTrust RSA Certification Authority |
Le détail de ces différents certificats est accessible sur TCS 4
Afin de pouvoir demander des certificats EV, il est recommandé de créer préalablement une ancre EV (EV Anchor) qui sera valide 13 mois.
La procédure est décrite dans le document EV Anchors et peut être amorcée directement par les RAO. Ne demandez pas aux MRAO de créer l'EV Anchor (Ancre EV), seule la validation de l'Ancre EV sera réalisée par les MRAO après contact sur le portail d'assistance de RENATER lorsqu'elle est en état REQUESTED.
La documentation du portail Sectigo SCM est accessible sur https://support.sectigo.com/Com_KnowledgeProductPage?c=Admin_Guides&k=&lang=.
Les documents suivants sont à consulter en priorité par tout administrateur du service TCS dans un organisme :
Sectigo propose également aux administrateurs des vidéos montrant comment utiliser les principales fonctions du portail SCM : https://sectigo.com/knowledge-base/product/Videos_SCM_Admin_how_to.
Les informations sur le portail SCM sont accessibles sur https://sectigo.status.io.
L'état des services relatifs au portail de découverte SAML de Sectigo est accessible sur https://status.seamlessaccess.org/.
Il est possible de déléguer à un tiers la possibilité de demander des certificats pour un ou plusieurs domaines, ce qui facilite l'hébergement sous nom de domaine propre, comme pour un certains nombre de services opérés par le GIP RENATER (Partage, Universalistes, Identitas). La mise en place de cette procédure est détaillée dans ce document.