SCM - Sectigo Certificate Manager
Présentation du portail SCM
La plateforme d'administration des certificats est accessible à l'adresse https://cert-manager.com/customer/renater
Il est recommandé de déclarer un ou deux correspondants du service TCS qui sont les administrateurs pour votre établissement sur la plateforme SCM. Les correspondants TCS sont “RAO”.
En l'absence de département, seuls les administrateurs RAO ont accès au portail SCM de Sectigo. Les utilisateurs finaux doivent donc d'adresser en premier lieu aux RAO concernant le fonctionnement interne de TCS dans leur établissement (i.e. demande de certificats).
Une fois connecté, vous verrez le menu principal :
En haut à droite, vous pouvez consulter l'aide, voir les dernières notifications et vous déconnecter du portail.
Menus de SCM
- Dashboard (Tableau de bord) propose différents graphiques de présentation et des statistiques pour faciliter la gestion de vos certificats et domaines ;
- Certificates (Certificats) permet de consulter et demander des nouveaux certificats et de gérer les certificats demandés sur SCM et ceux identifiés par l'outil de découverte Discovery ;
- Discovery (Découverte) : permet de créer des tâches de découverte qui détectent les certificats (sur vos plages IP) et les ajoutent dans l'interface de gestion des certificats du portail Sectigo (Menu Certificates);
- Domains (Domaines) : permet de gérer les domaines, leur délégation aux organisations ou départements, les DCV ;
- Organizations (Organisations) : permet de gérer toutes les éléments se rapportant aux organisations, leurs départements, les domaines délégués ;
- Persons (Personnes) : permet de configurer les personnes et les certificats clients associés. Les certificats clients sont visibles également dans l'interface de gestion des certificats du portail Sectigo (Menu Certificates);
- Reports (Rapports) permet de créer des rapports relatifs aux certificats, aux taches de découverte des certificats, aux notifications envoyées, aux activités réalisées… ;
- Enrollments (Inscriptions) permet de gérer les profils de certificats utilisables dans les organisations ou départements, les formulaires de demandes de certificats en self-service, les comptes ACME… ;
- Integrations (Intégrations) permet de gérer les intégrations à SCM sous forme d'agents ;
- Settings permet de créer et gérer les comptes d'administrateurs, leur assigner des rôles dans les organisations (RAO) et départements (DRAO) et également tous les contrôles d'accès, les notifications automatiques par courriel, les contenus des courriels (templates)… ;
- About : ce menu regroupe des informations système, des détails sur l'environnement, les fonctionnalités activées pour votre compte et également des informations utiles sur les services activés dans SCM.
Rôles dans SCM
Il existe trois niveaux d'administration dans le portail SCM :
- MRAO (Master Registration Authority Officer) : le plus haut niveau d'administration dans SCM qui est réservé uniquement à RENATER. Il permet de gérer toutes les organisations, tous les départements, domaines, certificats, administrateurs… des membres adhérant à TCS via RENATER. Les MRAO créent notamment toutes les organisations et tous les RAO.
- RAO (Registration Authority Officer) : le niveau “administrateur” d'une organisation uniquement pour les correspondants du service TCS pour un établissement (ils doivent tous être déclarés dans le portail PASS car ils sont synchronisés directement avec les comptes RAO dans le potail SCM). Il permet de gérer les domaines, certificats, administrateurs… qui appartiennent à cette organisation. Les RAO créent notamment les domaines, paramètrent certains éléments de leur organisation, et si besoin il peuvent définir des départements et des DRAO dans leur organisation.
- DRAO (Department Registration Authority Officer) : le niveau administrateur d'un département. Il permet de gérer les domaines, certificats… qui appartiennent à ce département.
Détails des responsabilités
MRAO (RENATER)
Les administrateurs MRAO ont pour responsabilité :
- l'ajout des nouvelles organisations ;
- la validation des organisation (“Triggering OV Anchor”) afin que l'organisation puisse demander ensuite des certificats serveur OV ;
- l'approbation des demandes d'ancres EV (“Triggering EV Anchor”) afin que l'organisation puisse demander ensuite des certificats serveur EV ;
- la création des administrateurs RAO pour les organisations ;
- Si un administrateur RAO quitte l'établissement, il est nécessaire alors qu'un nouveau correspondant pour le service TCS soit défini par l'établissement dans le portail PASS.
- la création de notifications génériques à toutes les organisations ;
- la formation des administrateurs RAO sur l'utilisation de la plateforme SCM de Sectigo ;
- la gestion des questions/réponses qui sont adressées sur la façon d'utiliser le portail SCM ;
- les demandes/informations au support “Premier” (Premier Support) de Sectigo car aucun administrateur RAO/DRAO n'est autorisé à contacter directement ce niveau de support.
RAO (correspondant du service TCS d'un établissement)
Les administrateurs RAO ont pour responsabilité :
- l'ajout, la délégation des domaines et le démarrage de la procédure de validation des domaines (DCV) ;
- la gestion des demandes de certificats serveur (pour les RAO avec le rôle SSL), certificats client (pour les RAO avec le rôle Client Certificate), certificats de signature de code (pour les RAO avec le rôle Code Signing) pour leur organisation ;
- l'ajout et la gestion de départements «si nécessaire» ;
- l'ajout et la délégation à des administrateurs de département (“DRAO”) ;
- les DRAO peuvent gérer par délégation les demandes de certificats serveur (pour les DRAO avec le rôle SSL), certificats client (pour les DRAO avec le rôle Client Certificate), certificats de signature de code (pour les DRAO avec le rôle Code Signing) pour leur département.
- l'ajout de notifications spécifiques et la personnalisation des modèles d'email envoyés automatiquement pour leur organisation ;
- la création de découverte automatique des certificats présents sur leur réseau d'établissement (Discovery) ;
- la gestion de rapports ;
- les demandes au support Sectigo de niveau 2 :
- Si un problème survient, les RAO/DRAO peuvent contacter le support de Sectigo pour obtenir de l'aide pendant les heures normales de bureau du lundi au vendredi de 4h à 20h EST (heure des Etats-Unis).
- Si un problème nécessite une sollicitation du niveau de support “Premier” de Sectigo, les RAO peuvent contacter directement les administrateurs MRAO ici qui se mettront en relation si nécessaire avec le support “Premier” de Sectigo.
Pour ajouter ou modifier un nouvel administrateur RAO dans le portail SCM de Sectigo, il est nécessaire de faire cette action directement dans PASS (ajout d'un correspondant TCS) et le lendemain la modification sera répercutée dans le portail SCM de Sectigo.
Pour supprimer un ancien administrateur RAO dans le portail SCM de Sectigo, il est nécessaire également de faire cette action directement dans PASS (désactivation ou suppression d'un correspondant TCS).
Validation d'une organisation
- Un organisme activant le service TCS dans PASS correspond à une seule organisation dans le portail SCM de Sectigo.
- Une fois créée dans le portail SCM de Sectigo, l'organisation doit être validée avant qu'il soit possible de réaliser des demandes de certificats.
- La validation de l'organisation est réalisée par l'opérateur de certification Sectigo en suivant les recommandations du CA/B Forum.
- Cette vérification est lancée par les MRAO de RENATER uniquement : en effet, une fois qu'un MRAO soumet la demande de validation d'une organisation, Sectigo va vérifier l’existence de l'organisation : son identité (le nom de l'organisation) et l'adresse de l'organisation.
La validation d'une organisation nécessite dans certains cas des échanges entre les équipes de validation de Sectigo et les MRAO RENATER. Elle peut donc prendre plusieurs jours. Pendant tout le processus de validation, l'état de l'organisation VALIDATION STATUS est PENDING.
Une organisation est validée et peut commencer à être utilisée pour demander des certificats uniquement à partir du moment où l'état de l'organisation VALIDATION STATUS est VALIDATED.
Ne tenez pas compte de la valeur dans SECONDARY VALIDATION et ne ne nous contactez pas à propos de ce second statut.
L'étape de validation d'une organisation aboutit à la création d'une “ancre OV” (OV Anchor) utilisée lors de toutes les demandes de certificats OV de l'organisation.
Les organisations sont obligatoirement revalidées chaque année par les équipes de validation de Sectigo. Pour cela, l'équipe de validation de Sectigo est amenée à contacter les MRAO de RENATER pour toute information complémentaire et elle suit la même procédure que pour la première validation des organisations.
Les équipes de validation de Sectigo contrôlent également régulièrement les organisations et relancent des validations sans aucune intervention des administrateurs MRAO, RAO ou DRAO (c'est un processus “le plus souvent silencieux” qui prend moins de 24h). Pendant ce processus l'organisation passe en état PENDING.
Ajout et validation des domaines
"Whois" : Informations administratives et techniques des domaines
Avant d'ajouter et de demander la validation ou la re-validation annuelle d'un domaine, assurez-vous de vérifier la propriété des domaines ainsi que les informations qui s'y rattachent. Vous pouvez vérifier ces informations dans ces services whois :
- https://www.afnic.fr/fr/produits-et-services/services/whois/ pour .fr .re .tf .yt .pm .wf ;
- https://net.educause.edu/edudomain/ pour .edu ;
- https://www.eurid.eu/ pour .eu ;
- https://pir.org/ pour .org ;
- https://www.iana.org/domains/root/db pour d'autres information whois.
Si vous avez besoin de modifier les informations associées à un domaine en .fr ou .re (par exemple les adresses mail de contact), nous vous invitons à consulter la page Noms de domaine en .fr ou .re et à contacter directement domaine@renater.fr avec toutes les informations nécessaires (RENATER assurera le lien avec l'AFNIC).
Si vous ajoutez des domaines dont votre organisation n'est pas le titulaire juridique :
- les domaines concernés pourront être désactivés dans la plateforme SCM de Sectigo ;
- Les certificats émis sur les domaines ou sous-domaines pourront être révoqués sans notification ;
- Vos droits d'ajout et de validation concernant domaines pourront être suspendus.
Trois étapes sont à réaliser dans le portail SCM de Sectigo avant de pouvoir demander des certificats pour un domaine donné :
- Ajout du domaine ;
- Validation de la délégation du domaine à l'organisation ;
- Validation de la propriété/contrôle du domaine (DCV).
Ajout du nouveau domaine
La première étape est l'ajout du domaine :
- Dans les onglets Domains, cliquez sur le bouton +
- Saisissez le nom de domaine dans Domain
- Sélectionnez l'organisation ou le département concerné par le domaine et les types de certificats activés sur ce domaine (parmi SSL, Client Certificate, Code Signing)
- Le domaine apparait alors dans la liste avec un statut en jaune ACTION REQUIRED.
- Une notification est envoyée aux administrateurs RAO de l'organisation qui doivent approuver la délégation du domaine.
Validation de la délégation du domaine
La seconde étape est la validation de la délégation du domaine à l'organisation ou au département concerné :
- Dans le menu Domains, sélectionnez le domaine à approuver
- Dans le panneau de droite, cliquez sur le bouton Approve Delegations puis sélectionnez dans la nouvelle fenêtre l'organisation ou le département concerné par la délégation et cliquez sur Approve
- Le statut domaine reste en jaune avec un DCV Status dans statut de validation en DCV toujours à NOT VALIDATED dans le panneau de droite.
- Une notification est envoyée aux administrateurs RAO de l'organisation pour les informer que la délégation du domaine est approuvée.
Il est possible de filtrer les domaines où une approbation est nécessaire en utilisant le filtre Delegation Status : Requested
DCV
La dernière étape consiste à lancer la procédure de contrôle du domaine par Sectigo, nommée DCV (Domain Control Validation) :
- Dans le menu Domains, sélectionnez le domaine concerné
- Cliquez sur le bouton Validate dans le panneau de droite Domain Control Validation (DCV) et choisissez la méthode de validation du domaine parmi les trois proposées et précisées sur DCV Methods
- Email : vous pouvez sélectionner l'une des adresses autorisées pour le domaine, puis vous recevrez un courriel sur cette adresse email
- Ne sélectionnez pas les adresses génériques support@renater.fr ou support-dns@renater.fr car RENATER ne réalisera pas la DCV à la place du demandeur
- Cette liste provient des requêtes whois correspondant au domaine. Si vous souhaitez mettre à jour la liste des adresses mail, veuillez vous référer à Whois : informations d'un domaine
- CNAME : vous serez invité à créer un enregistrement CNAME correspondant à sectigo.com dans la configuration de votre DNS
- Ce CNAME devra être retiré de votre DNS une fois la procédure de DCV réalisée
- HTTP/HTTPS : vous serez invité à déposer un fichier spécifique sur le serveur web pour votre domaine. Cette méthode est déconseillée et est refusée pour les “domaines wildcard” (*.mondomaine.fr) depuis novembre 2021 suite aux dernières recommandations du CAB/Forum : https://sectigo.com/resource-library/modifications-to-available-file-based-methods-of-domain-control-validation.
- Le fichier déposé devra être retiré de votre serveur web une fois la procédure de DCV réalisée
- Le domaine a alors un DCV Order Status en jaune à SUBMITTED (ou AWAITING SUBMISSION si la procédure de DCV n'a pas été réalisée jusqu'au bout) ; le DCV Status est toujours à NOT VALIDATED
- Une notification est envoyée aux administrateurs RAO de l'organisation pour les informer que la DCV a été soumise (lors que la procédure est complètement réalisée)
Les RAO reçoivent une dernière notification lorsque la DCV est validée par Sectigo.
A partir de là, le domaine apparait dans la liste mais avec un DCV Status vert à VALIDATED. Une date d'expiration de la DCV est maintenant renseignée (un an de validité) dans le panneau de droite.
- une première fois pour le domaine mondomaine.fr jusqu'à l'étape de DCV. Ce domaine est nécessaire pour les demandes de certificats de personne ;
- une seconde fois pour le domaine *.mondomaine.fr ou les sous-domaines XXX.mondomaine.fr, YYY.mondomaine.fr… déclarés un par un jusqu'à l'étape de validation de la délégation du domaine car la DCV a déjà été validée pour mondomaine.fr. Ce domaine est nécessaire pour les demandes de certificats SSL et Wildcard.
La procédure DCV n'est à réaliser qu'une seule fois pour le domaine racine ou alors à défaut individuellement pour chaque sous-domaine si aucune DCV n'a été réalisée pour le domaine racine.
Expiration des DCV
Un domaine dont la validation du contrôle (DCV) doit être à nouveau réalisé apparait dans la liste avec un statut
- en jaune ACTION REQUIRED si la DCV n'a pas encore expirée mais qu'elle peut déjà être à nouveau relancée ;
- en rouge EXPIRED si la DCV a expirée et qu'elle doit être relancée au préalable afin de pouvoir réaliser des nouvelles demandes ou renouvellements de certificats.
Les DCV doivent être renouvelées chaque année. Il est possible de réaliser la procédure uniquement dans les 60 jours précédents la date d'expiration.Le correspondant TCS (administrateurs RAO dans Sectigo) de l'organisation sont notifiés 30 jours puis 15 jours avant l'expiration d'une DCV et inviter à suivre à nouveau la procédure décrite précédemment sur DCV.
Vérification de la configuration des enregistrements CAA dans votre DNS
Vous devez avoir une attention particulière au niveau des enregistrements CAA (Certification Authority Authorisation) de vos domaines où vous allez réaliser des demandes de certificats :
- Soit aucun enregistrement CAA n'est pas configuré pour le domaine concerné : dans ce cas, ça ne posera pas de problème pour les demandes de certificats mais nous ne pourrez pas valider une DCV concernant ce domaine avec les DNS CAA ;
- Soit vous avez une configuration CAA pré-existante pour le domaine concerné : dans ce cas, il faut absolument la mettre à jour car Sectigo ne pourra pas émettre de certificats pour ce domaine (même si vous avez validé la DCV par adresse mail ou site web). Si la configuration CAA est incorrecte/incomplète, toutes vos demandes de certificats resteront en statut Applied. Il est nécessaire qu'un enregistrement CAA “sectigo.com” soit présent :
# Autorise l'autorité de certification Sectigo à délivrer des certificats pour le domaine sur lequel l'enregistrement pointe mondomaine.fr. IN CAA 0 issue "sectigo.com" # Similaire à issue pour les certificats wildcard mondomaine.fr. IN CAA 0 issuewild "sectigo.com"
Vous pourrez vérifier la configuration CAA avec une commande dig CAA domaine.fr ou dig mondomaine.fr caa +short:
dig mondomaine.fr caa +short 0 issue "sectigo.com" 0 iodef "mailto:admin@mondomaine.fr"
Pour générer des enregistrements CAA, vous pouvez utiliser des outils en ligne tels que celui de Sectigo https://sectigostore.com/ssl-tools/caa-record-generator.php.
Pour plus d'information, vous pouvez également consulter cette page d'aide : https://support.sectigo.com/Com_KnowledgeDetailPage?Id=kA01N000000zFMO.
Utilisation des départements
Le portail SCM offre la possibilité de créer des départements dans une organisation. Tout comme le nom de l'organisation est reporté dans l'élément o= d'un certificat, le nom du département est reporté dans l'élément ou= d'un certificat. Vous pouvez utiliser les département de deux manières :
- Délégation de la gestion d'un ou plusieurs domaines/sous-domaines et des certificats associés à un département et à des administrateurs de ce département (DRAO) ;
- Utilisation comme un simple outil permettant d'avoir le bon élément ou= renseigné, tout en conservant la validation des certificats au niveau de l'organisation.
Ajout d'un département
- Dans l'onglet Organizations, cliquez sur la ligne de l'organisation où vous souhaitez ajouter un département
- Cliquez ensuite sur le bouton Departments et dans la nouvelle fenêtre sur le bouton +
- Remplissez toutes les informations obligatoires : le nom du département (élément ou= des certificats),
- Sélectionnez l'onglet Certificate Settings puis la section Client certificate et assurez-vous que Allow Key Recovery by Master Administrators et Allow Key Recovery by Department Administrators sont bien désactivés (Allow Key Recovery by Organization Administrators a déjà été désactivé au moment de la création de l'organisation par RENATER).
- N'activez pas ou ne changez pas des éléments que vous ne comprenez pas
- Terminez en cliquant sur le bouton OK.
Notifications automatiques
Des notifications automatiques aux administrateurs (RAO/DRAO/MRAO) peuvent être définies depuis le menu Settings » Email Notifications. Les notifications automatiques suivantes sont déjà activées pour l'ensemble des organisations :
Notifications | Description | Demandeur | DRAO | RAO | MRAO | Fréquence |
---|---|---|---|---|---|---|
ALL ORG - EV Anchor awaiting Approval | Demande d'ancre EV en attente d'approbation | X | X | X | Immédiate | |
ALL ORG - Domain Delegation Awaiting Approval | Délégation d'un domaine en attente d'approbation par un RAO/MRAO | X | X | X | Immédiate | |
ALL ORG - Domain Delegation Approved | Délégation d'un domaine approuvée par un RAO/MRAO | X | X | X | Immédiate | |
ALL ORG - DCV Needed - New Domain | DCV à lancer par un RAO | X | X | X | Immédiate | |
ALL ORG - DCV Validated | DCV validée par Sectigo | X | X | X | Immédiate | |
ALL ORG - DCV Expiration XX days | Expiration d'une DCV | X | X | X | 30 jours et 15 jours avant expiration | |
ALL ORG - SSL Certificate Awaiting Approval | Demande d'un certificat SSL en attente d'approbation par un DRAO/RAO | X | X | X | Immédiate | |
ALL ORG - SSL Certificate Approved | Demande de certificat SSL approuvée par un DRAO/RAO | X | X | X | Immédiate | |
ALL ORG - SSL Certificate Declined | Demande de certificat SSL refusée par un DRAO/RAO | X | X | X | Immédiate | |
ALL ORG - SSL Certificate Issuance Failed | Echec de l'émission d'un certificat SSL | X | X | X | X | Immédiate |
ALL ORG - SSL Certificate Autu-Renewal Failed | Echec du renouvellement automatique d'un certificat SSL | X | X | X | X | Immédiate |
ALL ORG - SSL Certificate Revoked | Certificat SSL révoqué | X | X | X | Immédiate | |
ALL ORG - SSL Certificate Expiration | Expiration d'un certificat serveur | X | X | X | 30 jours avant expiration | |
ALL ORG - Client Certificate Revoked | Certificat client révoqué | X | X | X | Immédiate | |
ALL ORG - Client Certificate Expiration 30 days | Expiration du certificat client | X | X | X | 30 jours avant expiration | |
ALL ORG - Code Signing Certificate Expiration 30 days | Expiration du certificat de signature de code | X | X | X | 30 jours avant expiration | |
ALL ORG - Code Signing Certificate Revoked | Certificat de signature de code révoqué | X | X | X | Immédiate |
Adresses email utilisées par Sectigo
Il convient de vérifier que les adresses email suivantes ne sont pas bloquées par un système Antispam car elles sont utilisées par Sectigo :
- support@cert-manager.com
- support.validation@sectigo.com
- support@sectigo.com
- validation@sectigo.com
- noreply_support@trust-provider.com (pour les mails de DCV)
FAQ sur les problèmes courants
✘ Mon organisation n'est pas encore créée dans le portail SCM de Sectigo, que se passe-t-il ?
Une organisation n'est créée automatiquement dans le portail SCM Sectigo que lorsque dans PASS
- Le contrat de l'organisme a un statut “actif” (active) ET le service TCS a un statut “en demande” (en_demande) ou *actif* (active).
Les deux problèmes les plus couramment rencontrés sont :
- Le contrat a un statut différent de *actif* : il est nécessaire que le référent de l'organisme contacte pass@renater.fr pour régulariser la situation
- Le service TCS a un statut “en cours de modification par l'utilisateur” :
- Le référent n'a pas validé l'activation du service TCS et il est nécessaire qu'il le fasse directement dans PASS et l'organisation sera créée automatiquement le lendemain dans Sectigo
✘ Je ne peux pas supprimer un domaine dans le portail SCM
Les comptes DRAO/RAO n'ont pas les droits suffisants pour supprimer des domaines dans le portail SCM de Sectigo. Si vous avez des domaines que vous n'utiliser plus ou avez fait une erreur en l'ajoutant, veuillez contacter le support de RENATER avec la liste des domaines à supprimer.
✘ Je ne peux pas créer un nouveau compte RAO dans mon organisation
Les comptes RAO sont créés automatiquement à partir des correspondants TCS déclarés dans PASS. Un RAO ne peut donc pas créer d'autres comptes RAO.
Il est nécessaire de déclarer un nouveau correspondant pour le service TCS de votre organisation dans PASS ; le jour suivant, le nouveau compte sera créé automatiquement dans Sectigo (une notification par email est envoyée au nouvel RAO lors de la création du compte).
✘ Je ne souhaite supprimer un compte RAO dans mon organisation
Les comptes RAO sont créés automatiquement à partir des correspondants TCS déclarés dans PASS. Les modifications, désactivations ou suppressions sont à réaliser directement dans le portail PASS. Pour supprimer un administrateur RAO, vous pouvez désactiver ou supprimer le correspondant TCS existant dans PASS.
✘ Difficulté de connexion d'un RAO/DRAO sur le portail Sectigo : "Incorrect login details, account is locked, password has expired or your source IP is blocked."
Le message obtenu est “générique” mais en général il survient lors d'une saisie d'un mot de passe ou d'un identifiant erroné.
Si vous n'arrivez pas à vous connecter, un autre RAO de votre organisation peut changer votre mot de passe en sélectionnant votre compte dans l'onglet “Admins” puis en cliquant sur “reset Password”.
Si vous êtes toujours bloqué, vous pouvez également demander la réinitialisation de votre mot de passe directement sur le support de RENATER.
✘ Difficulté de connexion d'un RAO/DRAO sur le portail Sectigo : "IdP user with idpPersonID=xxxdomain.fr is not available for customer Resau National De Telecommunication Pour La Technologie and new IdP user creation ability is switched off"
L'authentification au portail SCM des RAO/DRAO est configurée par défaut par “identifiant/mot de passe interne au portail SCM”, et non via un “IdP SAML” inscrit dans la fédération edugain :
- Dans un premier temps, il est nécessaire de se connecter avec son “identifiant/mot de passe” ;
- Dans un second temps, il est possible d'activer l'authentification SAML en suivant la procédure suivante.
✘ Demande de certificat de signature de code : Erreur "Shipping Type is required but missing" sur le formulaire "Code Signing Certificate Enrollment"
Cette erreur est rencontrée uniquement sur les portails de demande de certificats de signature de code en self-enrollment définis spécifiquement par une organisation et qui sont accessibles à l'adresse https://cert-manager.com/customer/renater/cs et notamment lorsque la configuration des profils de certificat n'est pas correcte.
Depuis mail 2023, seuls peuvent être commandés des certificats de signature de code dont la bi-clé a été générée sur un HSM répondant à des normes spécifiques ou alors fourni directement par Sectigo sur un token. Un nouveau profil de certificat a été créé pour gérer les demandes de certificats de signature de code OV sur les appareils FIPS déjà possédés : Geant OV Code Signing (Key Attestation). Précédemment le profil SECTIGO Public CA CS Certificate Profile était affecté par défaut aux portails. Ce profil est maintenant dédié uniquement pour les demandes “payantes” de token fourni directement par Sectigo.
Pour corriger le problème, il est nécessaire qu'un administrateur RAO/DRAO se connecte au portail SCM et modifie la liste des profils de certificats client utilisables dans le portail en self-enrollment spécifique où l'erreur apparait :
- Allez dans l'onglet “Enrollment” puis “Enrollment Forms”, sélectionnez la ligne “(General) Code Signing Certificate Web Form” (ou celle correspondant au portail concerné) et cliquez sur le bouton “Accounts”.
- Sélectionnez ensuite la ligne correspondant à votre organisation et cliquez sur le bouton “Edit”.
- Modifiez la liste des profils de certificats en fonction de vos besoin dans “Profiles”.
✘ Demande de certificat SSL avec une signature SHA256 au lieu de SHA384
Comme précisé dans les chaines_de_certification, l'algorithme de signature des certificats délivrés par Sectigo est SHA384WITHRSA (Hormis avec ACME).
Pour des raisons de rétrocompatibilité, un profil nommé “Elite SSL (SHA256)” est accessible à la communauté uniquement sur demande sur le support de RENATER après avoir précisé votre besoin et le nom de l'organisation concernée ; l'algorithme de signature utilisé dans ce profil est SHA256WITHRSA. Attention, il n'y a pas de possibilité de définir de SAN (Subject Alternative Names) avec ce profil et la chaine de certification est différente de celle des autres certificats de TCS.
✘ Demande de certificat SSL : erreur "you cannot order certificates for the following or additional domains XXX.mondomaine.fr" ou "This domain 'XXX.mondomaine.fr' is not available for enrollment. Please contact administrator."
Un domaine n'a pas été déclaré dans Sectigo par le RAO/DRAO (en général un sous-domaine d'un domaine déjà déclaré) :
Vérifiez si vous avez déclaré les domaines *.mondomaine.fr (ou directement le sous-domaine dont vous avez besoin) comme indiqué sur ajout_et_validation_des_domaines
✘ Demande de certificat SSL : les SAN ne sont pas pris en compte
Vérifiez que vous avez sélectionné le bon type de certificat SSL lors de la demande : en général, l’erreur est de sélectionner GEANT OV SSL au lieu de GEANT OV Multi-Domain ou GEANT Unified Communications Certificate
✘ Demande de certificat SSL : erreur "The CN for this certificate CAN NOT contain the wildcard (*) character"
Vérifiez que vous avez sélectionné le bon type de certificat SSL lors de la demande : en général, l’erreur est de sélectionner GEANT OV SSL ou GEANT OV Multi-Domain au lieu de GEANT Wildcard SSL
✘ Demande de certificat SSL : erreur "The value of the 'ovAnchor' argument is invalid!"
L'erreur “The value of the 'ovAnchor' argument is invalid!” n'est pas “contournable”. Elle apparait lorsque l'ancre OV associée à votre organisation a un statut incorrect (notamment si elle a été révoquée par Sectigo suite à un audit identifiant des informations “incorrectes”). L'erreur se produira tant que Sectigo n'aura pas corrigé et revalidé l'ancre OV associée à votre organisation.
Il est préférable de contacter dans un premier temps directement le support de Sectigo : https://sectigo.com/support-ticket.
Si vous êtes toujours bloqué, veuillez nous transmettre le ticket sur le support de RENATER afin que la procédure de validation de l'organisation puisse être relancée auprès de Sectigo.
✘ Demande de certificat SSL : statut INVALID et erreur "Anchor Certificate details are different"
Depuis la mise à jour du portail SCM 20.11 du 14 Novembre 2020, Seuls les champs de l'organisation sont pris en compte leur de la création du certificat : la non-concordance des champs renseignés dans la CSR et dans l'organisation n'est donc plus un problème.
Une demande de certificats SSL sur le portail SCM de Sectigo peut échouer et aboutir en statut INVALID :
- Ce problème provient majoritairement :
- d'erreurs dans la CSR
- de non-concordances entre certains champs renseignés dans la CSR par rapport aux informations enregistrées dans l'organisation (des champs laissés vides dans l'organisation ne doivent jamais être renseignés dans la CSR)
- Il est fortement recommandé de ne remplir que le champ CN - Common Name - et les éventuels SAN - Subject Alternative Names - dans la CSR (et rien d'autre…).
Vous pouvez trouver plus d'informations sur l'erreur “Anchor Certificate details are different” dans la documentation de Sectigo : https://support.sectigo.com/Com_KnowledgeDetailPage?Id=kA03l000000noiG
Si après plusieurs essais, vous êtes toujours bloqué avec cette erreur, veuillez nous contacter sur le support de RENATER afin que la procédure de validation de l'organisation soit relancée auprès de Sectigo.
✘ Demande de certificat SSL : statut INVALID et erreur "The value of the 'caCertificateID' argument is invalid!"
L'erreur “The value of the 'caCertificateID' argument is invalid!” a été identifiée uniquement lors de l'utilisation du profil de certificats GEANT OV Multi-Domain :
- Cette erreur n'est pas “contournable” (elle apparaitra tant que Sectigo n'aura pas identifié et corrigé le problème - Cette erreur a été corrigée) ; il est préférable de contacter directement le support de Sectigo : https://sectigo.com/support-ticket
- La sélection d'un autre profil de certificats dans Sectigo permet de pallier le problème temporairement :
- Sélectionnez GEANT OV SSL si la demande concerne un seul domaine ;
- Sélectionnez GEANT Wildcard SSL si la demande concerne un domaine *.domaine.fr;
- Sélectionnez GEANT Unified Communications Certificate si la demande concerne plusieurs domaines.
✘ Demande de certificat SSL : statut APPLIED
Une demande en statut APPLIED signifie que Sectigo a des vérifications supplémentaires à réaliser :
- La configuration CAA du domaine ne laisse pas la possibilité à Sectigo d’émettre un certificat pour ce domaine : verification_de_la_configuration_des_enregistrements_caa_dans_votre_dns
Trop de champs relatifs à l'adresse de l'organisation ont été supprimés dans le formulaire de demande de certificat SSL (il est nécessaire de laisser soit la ville - city - ou l'état - state -)- Cette fonctionnalité a été supprimée du portail SCM 20.9 le 4 Octobre 2020- La demande concerne un certificat SSL EV alors qu'aucune ancre EV n'a été validée au préalable. Dans ce contexte , il est nécessaire de suivre la procédure de demande d'une ancre EV sur ev_anchors
- Depuis le 27/09/2021 certaines demandes restent bloquées car certaines informations de l'organisation comportent des caractères non-ASCII :
- “Sectigo has implemented an additional check on orders to prevent the issuance of Mojibake characters to a certificate. Mojibake is the garbled text that is the result of text being decoded using an unintended character encoding. The result is a systematic replacement of symbols with completely unrelated ones, often from a different writing system. The extra validation step should be quick in most circumstances. Sectigo thanks you for your patience as we work through the implementation”
Si le certificat reste bloqué en statut APPLIED, il est conseillé au demandeur de contacter directement le support Sectigo https://sectigo.com/support-ticket en précisant bien l'order number du certificat concerné pour avoir plus d'explications.
✘ Demande de certificat client : "Je ne trouve plus le bouton + dans l'onglet "Certificates > Client certificates" ou Invitation d'une personne par un RAO/DROA depuis le portail SCM
Depuis les mises à jour du portail SCM de Sectigo 21.1 et 22.1, l'interface graphique a évolué plusieurs fois.
Les certificats client sont toujours associés à des personnes. Les invitations sont restées dans le menu Persons et non pas dans le menu Certificates.
Ainsi pour inviter une personne à créer un certificat client, il est nécessaire :
- soit de créer une nouvelle personne en cliquant sur le bouton + en haut à droite,
- soit pour une personne existante de la sélectionner dans la liste et ensuite cliquer sur Edit puis aller dans l'onglet Enrollment Invitation.
Ensuite, l'invitation peut être envoyée pour la personne sélectionnée en cliquant sur le bouton + en face de Invitations (la durée et le profil de certificat sont sélectionnables dans la fenêtre qui s'ouvre).
✘ Demande de certificat client : Erreur "Failed to create person xxx@domain.fr on organization ORGANIZATION. Please contact security administrator
Un utilisateur final sans compte d'administrateur RAO/DRAO rencontre l'erreur suivante “Failed to create person xxx@domain.fr on organization ORGANIZATION. Please contact security administrator” sur le portail en self-enrollment https://cert-manager.com/customer/renater/idp/clientgeant lorsqu'il veut demander un nouveau certificat de personne.
Il est nécessaire qu'un RAO/DRAO de l'organisation concernée vérifie que les informations de la personne n'ont pas évolué depuis la dernière demande de certificat : notamment les champs Email Address, Alternative Emails et EPPN. Attention, tout changement dans le portail SCM de ces champs pourra entrainer la révocation des certificats de personne encore valides pour cet utilisateur.
Si aucun problème n'est repéré, il y a plusieurs possibilités pour pallier le problème rencontré :
- Ajouter l'EPPN dans la personne correspondant dans le menu Persons, puis demander à la personne de se reconnecter sur le portail en self-enrollment;
- Si 1 ne fonctionne pas, supprimer la ou les personnes concernées dans le menu Persons (c'est à dire, toutes celles renseignant le mail ou l'EPPN), puis essayer à nouveau de se connecter sur le portail en self-enrollment ;
- Recréer une personne et utiliser l'invitation depuis l'onglet Persons comme indiqué ici : Invitation d'une personne par un RAO/DROA depuis le portail SCM.
✘ Demande de certificat client : Erreur "Organization with schacHomeOrganization MONDOMAINE.FR was not found on Sectigo Certificate Manager. Please contact your security administrator."
Cette erreur est rencontrée sur le portail de demande de certificats client de Géant à l'adresse https://cert-manager.com/customer/renater/idp/clientgeant lorsque la configuration de l'organisation ou du fournisseur d'identité correspondant à votre établissement n'ont pas été réalisés de manière complète.
Il est nécessaire de paramétrer le champ Organization Alias dans votre organisation sur le portail SCM et de configurer votre fournisseur d’identité d’établissement comme indiqué sur la page suivante.
✘ Demande de certificat client : Erreur "Certificate Profile not found" sur le formulaire "Client Certificate Enrollment"
Cette erreur est rencontrée uniquement sur les portails de demande de certificats client en self-enrollment définis spécifiquement par une organisation et qui sont accessibles à l'adresse https://cert-manager.com/customer/renater/smime et notamment lorsque la configuration des profils de certificat n'est pas correcte.
Depuis fin août 2023, le profil GEANT Personal Certificate n'existe plus et il a été remplacé par les profils GÉANT Personal Authentication et GÉANT Personal email signing and encryption.
Pour corriger le problème, il est nécessaire qu'un administrateur RAO/DRAO se connecte au portail SCM et modifie la liste des profils de certificats client utilisables dans le portail en self-enrollment spécifique où l'erreur apparait :
- Allez dans l'onglet “Enrollment” puis “Enrollment Forms”, sélectionnez la ligne “(General) Client Certificate Web Form” (ou celle correspondant au portail concerné) et cliquez sur le bouton “Accounts”.
- Sélectionnez ensuite la ligne correspondant à votre organisation et cliquez sur le bouton “Edit”.
- Modifiez la liste des profils de certificats en fonction de vos besoin dans “Profiles”.
Il est vivement recommander par GEANT de limiter l'usage de ces portails en self-enrollment par organisation/département et de préférer le portail de demande de certificats client de GEANT à l'adresse https://cert-manager.com/customer/renater/idp/clientgeant. Les étapes de configuration pour avoir accès à ce portail sont décrites sur la page suivante.