SCM - Sectigo Certificate Manager

Présentation du portail SCM

La plateforme d'administration des certificats est accessible à l'adresse https://cert-manager.com/customer/renater

Pour accéder à SCM, il est nécessaire que votre établissement ait activé dans PASS le service TCS.
Il est recommandé de déclarer un ou deux correspondants du service TCS qui sont les administrateurs pour votre établissement sur la plateforme SCM.

Une fois connecté, vous verrez le menu principal :

En haut à droite, vous pouvez consulter l'aide, voir les dernières notifications et vous déconnecter du portail.

  • Dashboard (Tableau de bord) propose différents graphiques de présentation et des statistiques pour faciliter la gestion de vos certificats et domaines ;
  • Certificates (Certificats) permet de demander des nouveaux certificats et de gérer les certificats demandés sur SCM et ceux identifiés par l'outil de découverte Discovery ;
  • Discovery (Découverte) : permet de créer des tâches de découverte qui détectent les certificats (sur vos plages IP) et les ajoutent dans l'interface de gestion des certificats du portail Sectigo (Menu Certificates);
  • Reports (Rapports) permet de créer des rapports relatifs aux certificats.
  • Admins (Administrateurs) permet de créer et gérer les comptes d'administrateurs, leur assigner des rôles dans les organisations (RAO) et départements (DRAO) ;
  • Settings permet de configurer les organisations, les domaines, les contrôles d'accès, les notifications automatiques par courriel, les contenus des courriels (templates)…
  • About : ce menu regroupe des informations système, des détails sur l'environnement, les fonctionnalités activées pour votre compte et également des informations utiles sur les services activés dans SCM.

Rôles dans SCM

Il existe trois niveaux d'administration dans le portail SCM :

  • MRAO (Master Registration Authority Officer) : le plus haut niveau d'administration dans SCM qui est réservé uniquement à RENATER. Il permet de gérer toutes les organisations, tous les départements, domaines, certificats, administrateurs… des membres adhérant à TCS via RENATER. Les MRAO créent notamment toutes les organisations et tous les RAO.
  • RAO (Registration Authority Officer) : le niveau “administrateur” d'une organisation uniquement pour les correspondants du service TCS pour un établissement (ils sont déclarés dans le portail PASS). Il permet de gérer les domaines, certificats, administrateurs… qui appartiennent à cette organisation. Les RAO créent notamment les domaines, paramètrent certains éléments de leur organisation, et si besoin il peuvent définir des départements et des DRAO dans leur organisation.
  • DRAO (Department Registration Authority Officer) : le niveau administrateur d'un département. Il permet de gérer les domaines, certificats… qui appartiennent à ce département.

Détails des responsabilités

MRAO (RENATER)

Les administrateurs MRAO ont pour responsabilité :

  • l'ajout des nouvelles organisations ;
  • la validation des organisation (“Triggering OV Anchor”) afin que l'organisation puisse demander ensuite des certificats serveur OV ;
  • l'approbation des demandes d'ancres EV (“Triggering EV Anchor”) afin que l'organisation puisse demander ensuite des certificats serveur EV ;
  • la création des administrateurs RAO pour les organisations ;
    1. Si un administrateur RAO quitte l'établissement, il est nécessaire alors qu'un nouveau correspondant pour le service TCS soit défini par l'établissement dans le portail PASS.
  • la création de notifications génériques à toutes les organisations ;
  • la formation des administrateurs RAO sur l'utilisation de la plateforme SCM de Sectigo ;
  • la gestion des questions/réponses qui sont adressées sur la façon d'utiliser le portail SCM ;
  • les demandes/informations au support “Premier” (Premier Support) de Sectigo car aucun administrateur RAO/DRAO n'est autorisé à contacter directement ce niveau de support.

RAO (correspondant du service TCS d'un établissement)

Les administrateurs RAO ont pour responsabilité :

  • l'ajout, la délégation des domaines et le démarrage de la procédure de validation des domaines (DCV) ;
  • la gestion des demandes de certificats serveur (pour les RAO avec le rôle SSL), certificats client (pour les RAO avec le rôle Client Certificate), certificats de signature de code (pour les RAO avec le rôle Code Signing) pour leur organisation ;
  • l'ajout et la gestion de départements «si nécessaire» ;
    • l'ajout et la délégation à des administrateurs de département (“DRAO”) ;
    • les DRAO peuvent gérer par délégation les demandes de certificats serveur (pour les DRAO avec le rôle SSL), certificats client (pour les DRAO avec le rôle Client Certificate), certificats de signature de code (pour les DRAO avec le rôle Code Signing) pour leur département.
  • l'ajout de notifications spécifiques et la personnalisation des modèles d'email envoyés automatiquement pour leur organisation ;
  • la création de découverte automatique des certificats présents sur leur réseau d'établissement (Discovery) ;
  • la gestion de rapports ;
  • les demandes au support Sectigo de niveau 2 :
    • Si un problème survient, les RAO/DRAO peuvent contacter le support de Sectigo pour obtenir de l'aide pendant les heures normales de bureau du lundi au vendredi de 4h à 20h EST (heure des Etats-Unis).
    • Si un problème nécessite une sollicitation du niveau de support “Premier” de Sectigo, les RAO peuvent contacter directement les administrateurs MRAO ici qui se mettront en relation si nécessaire avec le support “Premier” de Sectigo.

Validation d'une nouvelle organisation

  • Un organisme activant le service TCS dans PASS correspond à une seule organisation dans le portail SCM de Sectigo.
  • Une fois créée dans le portail SCM de Sectigo, l'organisation doit être validée avant qu'il soit possible de réaliser des demandes de certificats.
  • La validation de l'organisation est réalisée par l'opérateur de certification Sectigo en suivant les recommandations du CA/B Forum.
  • Cette vérification est lancée par les MRAO de RENATER uniquement : en effet, une fois qu'un MRAO soumet la demande de validation d'une organisation, Sectigo va vérifier l’existence de l'organisation : son identité (le nom de l'organisation) et l'adresse de l'organisation.


La validation d'une organisation nécessite dans certains cas des échanges entre les équipes de validation de Sectigo et les MRAO RENATER. Elle peut donc prendre plusieurs jours. Pendant tout le processus de validation, l'état de l'organisation VALIDATION STATUS est PENDING.

Une organisation est validée et peut commencer à être utilisée pour demander des certificats uniquement à partir du moment où l'état de l'organisation VALIDATION STATUS est VALIDATED.

Ne tenez pas compte de la valeur dans SECONDARY VALIDATION et ne ne nous contactez pas à propos de ce second statut.

Si vous constatez que votre organisation reste à l'état NOT VALIDATED dans VALIDATED STATUS pendant plusieurs jours, veuillez contacter le support de RENATER.

Ajout et validation des domaines

Avant d'ajouter et de demander la validation , assurez-vous de vérifier la propriété des domaines, par exemple dans ces services whois :

N'ajoutez que les domaines dont vous êtes le “titulaire” juridique.

Trois étapes sont à réaliser avant de pouvoir demander des certificats pour un domaine donné.

Il est nécessaire de réaliser la procédure d'ajout d'un domaine deux fois de suite si vous souhaitez demander des certificats XXX.mondomaine.fr :
une première fois pour mondomaine.fr et une seconde fois pour *.mondomaine.fr (ou XXX.mondomaine.fr seulement en fonction de vos besoins en certifcats).

Ajout du nouveau domaine

La première étape est l'ajout du domaine :

  • Dans les onglets Settings » Domains, cliquez sur le bouton Add
  • Saisissez le nom de domaine dans Domain
  • Sélectionnez l'organisation ou le département concerné par le domaine et les types de certificats activés sur ce domaine (parmi SSL, Client Certificate, Code Signing)
  • Le domaine apparait alors en rouge dans la liste avec un statut de délégation à Requested et un statut de validation à Not Validated
  • Une notification est envoyée aux administrateurs RAO de l'organisation qui doivent approuver la délégation du domaine.

Validation de la délégation du domaine

La seconde étape est la validation de la délégation du domaine à l'organisation ou au département concerné :

  • Dans les onglets Settings » Domains » Delegations, sélectionnez le domaine à approuver et cliquez sur le bouton View
  • Dans la nouvelle fenêtre, sélectionnez l'organisation ou le département concerné par la délégation et cliquez sur Approve
  • Le domaine apparait maintenant en noir avec un statut de délégation à Approved ; le statut de validation est toujours à Not Validated.
  • Une notification est envoyée aux administrateurs RAO de l'organisation pour les informer que la délégation du domaine est approuvée.

DCV

La dernière étape consiste à lancer la procédure de contrôle du domaine par Sectigo, nommée DCV (Domain Control Validation) :

  • Dans les onglets Settings » Domains » DCV, sélectionnez le domaine concerné
  • Cliquez sur le bouton DCV et choisissez la méthode de validation du domaine parmis les trois proposées et précisées sur DCV Methods
    • Email : vous pouvez sélectionner l'une des adresses autorisées pour le domaine, puis vous recevrez un courriel sur cette adresse email ;
    • CNAME : vous serez invité à créer un enregistrement CNAME correspondant à sectigo.com dans la configuration de votre DNS ;
    • HTTP/HTTPS : vous serez invité à déposer un fichier spécifique sur le serveur web pour votre domaine.
  • Le domaine a alors un statut de validation à Submitted (ou Awaiting Submission si la procédure de DCV n'a pas été réalisée jusqu'au bout) ; le statut de validation est toujours à Not Validated
  • Une notification est envoyée aux administrateurs RAO de l'organisation pour les informer que la DCV a été soumise (lors que la procédure est complètement réalisée).

Les RAO reçoivent une dernière notification lorsque la DCV est validée par Sectigo.
A partir de là, le domaine apparait dans la liste mais avec un statut de validation à VALIDATED. Une date d'expiration de la DCV est maintenant renseignée (un an de validité).

Il est nécessaire de réaliser la procédure d'ajout d'un domaine deux fois de suite si vous souhaitez demander des certificats XXX.mondomaine.fr et YYY.mondomaine.fr :
  • une première fois pour le domaine mondomaine.fr jusqu'à l'étape de DCV. Ce domaine est nécessaire pour les demandes de certificats de personne ;
  • une seconde fois pour le domaine *.mondomaine.fr jusqu'à l'étape de validation de la délégation du domaine car la DCV a déjà été validée pour mondomaine.fr. Ce domaine est nécessaire pour les demandes de certificats SSL et Wildcard.

Vérification de la configuration des enregistrements CAA dans votre DNS

Vous devez avoir une attention particulière au niveau des enregistrements CAA (Certification Authority Authorisation) de vos domaines où vous allez réaliser des demandes de certificats :

  • Soit aucun enregistrement CAA n'est pas configuré pour le domaine concerné : dans ce cas, ça ne posera pas de problème pour les demandes de certificats mais nous ne pourrez pas valider une DCV concernant ce domaine avec les DNS CAA ;
  • Soit vous avez une configuration CAA pré-existante pour le domaine concerné : dans ce cas, il faut absolument la mettre à jour car Sectigo ne pourra pas émettre de certificats pour ce domaine (même si vous avez validé la DCV par adresse mail ou site web). Si la configuration CAA est incorrecte/incomplète, toutes vos demandes de certificats resteront en statut Applied. Il est nécessaire qu'un enregistrement CAA “sectigo.com” soit présent :
# Autorise l'autorité de certification Sectigo à délivrer des certificats pour le domaine sur lequel l'enregistrement pointe
mondomaine.fr. IN CAA 0 issue "sectigo.com"
# Similaire à issue pour les certificats wildcard
mondomaine.fr. IN CAA 0 issuewild "sectigo.com"

Vous pourrez vérifier la configuration CAA avec une commande dig CAA domaine.fr ou dig mondomaine.fr caa +short:

dig mondomaine.fr caa +short
0 issue "digicert.com"
0 issue "sectigo.com"
0 iodef "mailto:admin@mondomaine.fr"

Pour générer des enregistrements CAA, vous pouvez utiliser des outils en ligne tels que celui de Sectigo https://sectigostore.com/ssl-tools/caa-record-generator.php.
Pour plus d'information, vous pouvez également consulter cette page d'aide : https://support.sectigo.com/Com_KnowledgeDetailPage?Id=kA01N000000zFMO.

Utilisation des départements

Le portail SCM offre la possibilité de créer des départements dans une organisation. Tout comme le nom de l'organisation est reporté dans l'élément o= d'un certificat, le nom du département est reporté dans l'élément ou= d'un certificat. Vous pouvez utiliser les département de deux manières :

  • Délégation de la gestion d'un ou plusieurs domaines/sous-domaines et des certificats associés à un département et à des administrateurs de ce département (DRAO) ;
  • Utilisation comme un simple outil permettant d'avoir le bon élément ou= renseigné, tout en conservant la validation des certificats au niveau de l'organisation.

Ajout d'un département

  • Dans l'onglet Settings » Organizations, cliquez sur la ligne de l'organisation où vous souhaitez ajouter un département
  • Cliquez ensuite sur Departments et dans la nouvelle fenêtre sur le bouton Add
  • Dans l'onglet General, remplissez toutes les informations obligatoires : le nom du département (élément ou= des certificats), la ville, l'état, le code postal, le pays
  • Sélectionnez l'onglet Client certificate et assurez-vous que Allow Key Recovery by Master Administrators et Allow Key Recovery by Department Administrators sont bien désactivés (Allow Key Recovery by Organization Administrators a déjà été désactivé au moment de la création de l'organisation par RENATER).
  • N'activez pas ou ne changez pas des éléments que vous ne comprenez pas
  • Terminez en cliquant sur le bouton OK.
Les départements sont automatiquement validés lorsqu'une organisation est validée

ACME

Pour configurer et utiliser le protocole ACME (Automatic Certificate Management Environment), veuillez vous référer à l'Implémentation du protocole ACME par Sectigo.

API REST

La configuration et l'utilisation des API REST de Sectigo est décrite sur la page API REST de Sectigo.

Notifications automatiques

Des notifications automatiques aux administrateurs (RAO/DRAO/MRAO) peuvent être définies depuis le menu Settings » Notifications. Les notifications automatiques suivantes sont déjà activées pour l'ensemble des organisations :

Notifications Description Demandeur DRAO RAO MRAO Fréquence
ALL ORG - EV Anchor awaiting Approval Demande d'ancre EV en attente d'approbation X X X Immédiate
ALL ORG - Domain Awaiting Approval Délégation d'un domaine en attente d'approbation par un RAO/MRAO X X X Immédiate
ALL ORG - Domain Approved Délégation d'un domaine approuvée par un RAO/MRAO X X X Immédiate
ALL ORG - DCV Needed DCV à lancer par un RAO X X X Immédiate
ALL ORG - DCV Validated DCV validée par Sectigo X X X Immédiate
ALL ORG - DCV Expiration Expiration d'une DCV X X X 30 jours avant expiration
ALL ORG - SSL Awaiting Approval Demande d'un certificat SSL en attente d'approbation par un DRAO/RAO X X X Immédiate
ALL ORG - SSL Approved Demande de certificat SSL approuvée par un DRAO/RAO X X X Immédiate
ALL ORG - SSL Declined Demande de certificat SSL refusée par un DRAO/RAO X X X Immédiate
ALL ORG - SSL Issuance Failed Echec de l'émission d'un certificat SSL X X X X Immédiate
ALL ORG - SSL Revoked Certificat SSL révoqué X X X Immédiate
ALL ORG - SSL Expiration Expiration d'un certificat serveur X X X 30 jours avant expiration
ALL ORG - Client Certificate Revoked Certificat client révoqué X X X Immédiate
ALL ORG - Client Certificate Expiration Expiration du certificat client X X X 30 jours avant expiration
ALL ORG - Code Signing Certificate Expiration Expiration du certificat de signature de code X X X 30 jours avant expiration
ALL ORG - Code Signing Revoked Certificat de signature de code révoqué X X X Immédiate

Adresses email utilisées par Sectigo

Il convient de vérifier que les adresses email suivantes ne sont pas bloquées par un système Antispam car elles sont utilisées par Sectigo :

  • support.validation@sectigo.com
  • support@sectigo.com
  • validation@sectigo.com
  • noreply_support@trust-provider.com (pour les mails de DCV)

FAQ sur les problèmes courants

✘ Demande de certificat de signature de document : où les demander le portail SCM de Sectigo ?

Les certificats de signature de document ne sont pas accessibles directement dans le portail SCM de Sectigo. Il est nécessaire de suivre la procédure décrite dans https://services.renater.fr/_media/tcs/geant_-_ordering_adobe_document_signing_certificates.pdf

✘ Demande de certificat SSL : erreur "you cannot order certificates for the following or additional domains XXX.mondomaine.fr"

Un domaine n'a pas été déclaré dans Sectigo par le RAO/DRAO (en général un sous-domaine d'un domaine déjà déclaré) :

  • Vérifiez si vous avez déclaré les domaines *.mondomaine.fr (ou directement le sous-domaine dont vous avez besoin) comme indiqué sur ajout_et_validation_des_domaines

✘ Demande de certificat SSL : les SAN ne sont pas pris en compte

  • Vérifiez que vous avez sélectionné le bon type de certificat SSL lors de la demande : en général, l’erreur est de sélectionner 0 GEANT OV SSL au lieu de 0 GEANT OV Multi-Domain ou 0 GEANT Unified Communications Certificate

✘ Demande de certificat SSL : erreur "The CN for this certificate CAN NOT contain the wildcard (*) character"

  • Vérifiez que vous avez sélectionné le bon type de certificat SSL lors de la demande : en général, l’erreur est de sélectionner 0 GEANT OV SSL ou 0 GEANT OV Multi-Domain au lieu de 0 GEANT Wildcard SSL

✘ Demande de certificat SSL : statut INVALID et erreur "Anchor Certificate details are different"

Une demande de certificats SSL sur le portail SCM de Sectigo peut échouer et aboutir en statut INVALID :

  • Ce problème provient majoritairement :
    • d'erreurs dans la CSR
    • de non-concordances entre certains champs renseignés dans la CSR par rapport aux informations enregistrées dans l'organisation (des champs laissés vides dans l'organisation ne doivent jamais être renseignés dans la CSR)
  • Il est fortement recommandé de ne remplir que le champ CN - Common Name - et les éventuels SAN - Subject Alternative Names - dans la CSR (et rien d'autre…).

Vous pouvez trouver plus d'informations sur l'erreur “Anchor Certificate details are different” dans la documentation de Sectigo : https://support.sectigo.com/Com_KnowledgeDetailPage?Id=kA03l000000noiG

✘ Demande de certificat SSL : statut INVALID et erreur "The value of the 'caCertificateID' argument is invalid!"

L'erreur “The value of the 'caCertificateID' argument is invalid!” a été identifiée uniquement lors de l'utilisation du profil de certificats 0 GEANT OV Multi-Domain :

  • Cette erreur n'est pas “contournable” (elle apparaitra tant que Sectigo n'aura pas identifié et corrigé le problème) ; il est préférable de contacter directement le support de Sectigo : https://sectigo.com/support-ticket
  • La sélection d'un autre profil de certificats dans Sectigo permet de pallier le problème temporairement :
    • Sélectionnez 0 GEANT OV SSL si la demande concerne un seul domaine ;
    • Sélectionnez 0 GEANT Wildcard SSL si la demande concerne un domaine *.domaine.fr;
    • Sélectionnez GEANT Unified Communications Certificate si la demande concerne plusieurs domaines.

✘ Demande de certificat SSL : statut APPLIED

Une demande en statut APPLIED signifie que Sectigo a des vérifications supplémentaires à réaliser :

  • La configuration CAA du domaine ne laisse pas la possibilité à Sectigo d’émettre un certificat pour ce domaine : verification_de_la_configuration_des_enregistrements_caa_dans_votre_dns
  • Trop de champs relatifs à l'adresse de l'organisation ont été supprimés dans le formulaire de demande de certificat SSL (il est nécessaire de laisser soit la ville - city - ou l'état - state -) - Cette fonctionnalité a été supprimée du portail SCM 20.9 le 4 Octobre 2020
  • La demande concerne un certificat SSL EV alors qu'aucune ancre EV n'a été validée au préalable. Dans ce contexte , il est nécessaire de suivre la procédure de demande d'une ancre EV sur ev_anchors

Si le certificat reste bloqué en statut APPLIED, il est conseillé au demandeur de contacter directement le support Sectigo https://sectigo.com/support-ticket pour avoir plus d'explications.