Problèmes rencontrés avec TCS et le portail SCM de Sectigo

Les comptes DRAO/RAO n'ont pas les droits suffisants pour supprimer des domaines dans le portail SCM de Sectigo. Si vous avez des domaines que vous n'utilisez plus ou avez fait une erreur en l'ajoutant, veuillez contacter le support de RENATER avec la liste des domaines à supprimer.

Les comptes RAO sont créés automatiquement à partir des correspondants TCS déclarés dans PASS. Un RAO ne peut donc pas créer d'autres comptes RAO.

Il est nécessaire de déclarer un nouveau correspondant pour le service TCS de votre organisation dans PASS ; le jour suivant, le nouveau compte sera créé automatiquement dans Sectigo (une notification par email est envoyée au nouvel RAO lors de la création du compte).

Les comptes RAO sont créés automatiquement à partir des correspondants TCS déclarés dans PASS. Les modifications, désactivations ou suppressions sont à réaliser directement dans le portail PASS. Pour supprimer un administrateur RAO, vous pouvez désactiver ou supprimer le correspondant TCS existant dans PASS.

Le message obtenu est “générique” mais en général il survient lors d'une saisie d'un mot de passe ou d'un identifiant erroné.

Si vous n'arrivez pas à vous connecter, un autre RAO de votre organisation peut changer votre mot de passe en sélectionnant votre compte dans l'onglet “Admins” puis en cliquant sur “reset Password”.

Si vous êtes toujours bloqué, vous pouvez également demander la réinitialisation de votre mot de passe directement sur le support de RENATER.

L'authentification au portail SCM des RAO/DRAO est configurée par défaut par “identifiant/mot de passe interne au portail SCM”, et non via un “IdP SAML” inscrit dans la fédération edugain :

  • Dans un premier temps, il est nécessaire de se connecter avec son “identifiant/mot de passe” ;
  • Dans un second temps, il est possible d'activer l'authentification SAML en suivant la procédure suivante.

Cette erreur est rencontrée uniquement sur les portails de demande de certificats de signature de code en self-enrollment définis spécifiquement par une organisation et qui sont accessibles à l'adresse https://cert-manager.com/customer/renater/cs et notamment lorsque la configuration des profils de certificat n'est pas correcte.

Depuis mail 2023, seuls peuvent être commandés des certificats de signature de code dont la bi-clé a été générée sur un HSM répondant à des normes spécifiques ou alors fourni directement par Sectigo sur un token. Un nouveau profil de certificat a été créé pour gérer les demandes de certificats de signature de code OV sur les appareils FIPS déjà possédés : Geant OV Code Signing (Key Attestation). Précédemment le profil SECTIGO Public CA CS Certificate Profile était affecté par défaut aux portails. Ce profil est maintenant dédié uniquement pour les demandes “payantes” de token fourni directement par Sectigo.

Pour corriger le problème, il est nécessaire qu'un administrateur RAO/DRAO se connecte au portail SCM et modifie la liste des profils de certificats client utilisables dans le portail en self-enrollment spécifique où l'erreur apparait :

  • Allez dans l'onglet “Enrollment” puis “Enrollment Forms”, sélectionnez la ligne “(General) Code Signing Certificate Web Form” (ou celle correspondant au portail concerné) et cliquez sur le bouton “Accounts”.
  • Sélectionnez ensuite la ligne correspondant à votre organisation et cliquez sur le bouton “Edit”.
  • Modifiez la liste des profils de certificats en fonction de vos besoin dans “Profiles”.

Comme précisé dans les chaines_de_certification, l'algorithme de signature des certificats délivrés par Sectigo est SHA384WITHRSA (Hormis avec ACME).
Pour des raisons de rétrocompatibilité, un profil nommé “Elite SSL (SHA256)” est accessible à la communauté uniquement sur demande sur le support de RENATER après avoir précisé votre besoin et le nom de l'organisation concernée ; l'algorithme de signature utilisé dans ce profil est SHA256WITHRSA. Attention, il n'y a pas de possibilité de définir de SAN (Subject Alternative Names) avec ce profil et la chaine de certification est différente de celle des autres certificats de TCS.

Un domaine n'a pas été déclaré dans Sectigo par le RAO/DRAO (en général un sous-domaine d'un domaine déjà déclaré) :
Vérifiez si vous avez déclaré les domaines *.mondomaine.fr (ou directement le sous-domaine dont vous avez besoin) comme indiqué sur ajout_et_validation_des_domaines

Un domaine n'a pas été déclaré dans Sectigo par le RAO/DRAO (en général un sous-domaine d'un domaine déjà déclaré) :
Vérifiez si vous avez déclaré les domaines *.mondomaine.fr (ou directement le sous-domaine dont vous avez besoin) comme indiqué sur ajout_et_validation_des_domaines

Vérifiez que vous avez sélectionné le bon type de certificat SSL lors de la demande : en général, l’erreur est de sélectionner GEANT OV SSL au lieu de GEANT OV Multi-Domain ou GEANT Unified Communications Certificate

Vérifiez que vous avez sélectionné le bon type de certificat SSL lors de la demande : en général, l’erreur est de sélectionner GEANT OV SSL ou GEANT OV Multi-Domain au lieu de GEANT Wildcard SSL

L'erreur “The value of the 'ovAnchor' argument is invalid!” n'est pas “contournable”. Elle apparait lorsque l'ancre OV associée à votre organisation a un statut incorrect (notamment si elle a été révoquée par Sectigo suite à un audit identifiant des informations “incorrectes”). L'erreur se produira tant que Sectigo n'aura pas corrigé et revalidé l'ancre OV associée à votre organisation.

Il est préférable de contacter dans un premier temps directement le support de Sectigo : https://sectigo.com/support-ticket.
Si vous êtes toujours bloqué, veuillez nous transmettre le ticket sur le support de RENATER afin que la procédure de validation de l'organisation puisse être relancée auprès de Sectigo.

Depuis la mise à jour du portail SCM 20.11 du 14 Novembre 2020, Seuls les champs de l'organisation sont pris en compte leur de la création du certificat : la non-concordance des champs renseignés dans la CSR et dans l'organisation n'est donc plus un problème.

Une demande de certificats SSL sur le portail SCM de Sectigo peut échouer et aboutir en statut INVALID :

  • Ce problème provient majoritairement :
    • d'erreurs dans la CSR
    • de non-concordances entre certains champs renseignés dans la CSR par rapport aux informations enregistrées dans l'organisation (des champs laissés vides dans l'organisation ne doivent jamais être renseignés dans la CSR)
  • Il est fortement recommandé de ne remplir que le champ CN - Common Name - et les éventuels SAN - Subject Alternative Names - dans la CSR (et rien d'autre…).

Vous pouvez trouver plus d'informations sur l'erreur “Anchor Certificate details are different” dans la documentation de Sectigo : https://support.sectigo.com/Com_KnowledgeDetailPage?Id=kA03l000000noiG

Si après plusieurs essais, vous êtes toujours bloqué avec cette erreur, veuillez nous contacter sur le support de RENATER afin que la procédure de validation de l'organisation soit relancée auprès de Sectigo.

L'erreur “The value of the 'caCertificateID' argument is invalid!” a été identifiée uniquement lors de l'utilisation du profil de certificats GEANT OV Multi-Domain :

  • Cette erreur n'est pas “contournable” (elle apparaitra tant que Sectigo n'aura pas identifié et corrigé le problème - Cette erreur a été corrigée) ; il est préférable de contacter directement le support de Sectigo : https://sectigo.com/support-ticket
  • La sélection d'un autre profil de certificats dans Sectigo permet de pallier le problème temporairement :
    • Sélectionnez GEANT OV SSL si la demande concerne un seul domaine ;
    • Sélectionnez GEANT Wildcard SSL si la demande concerne un domaine *.domaine.fr;
    • Sélectionnez GEANT Unified Communications Certificate si la demande concerne plusieurs domaines.

Une demande en statut APPLIED signifie que Sectigo a des vérifications supplémentaires à réaliser :

  • La configuration CAA du domaine ne laisse pas la possibilité à Sectigo d’émettre un certificat pour ce domaine : verification_de_la_configuration_des_enregistrements_caa_dans_votre_dns
  • Trop de champs relatifs à l'adresse de l'organisation ont été supprimés dans le formulaire de demande de certificat SSL (il est nécessaire de laisser soit la ville - city - ou l'état - state -) - Cette fonctionnalité a été supprimée du portail SCM 20.9 le 4 Octobre 2020
  • La demande concerne un certificat SSL EV alors qu'aucune ancre EV n'a été validée au préalable. Dans ce contexte , il est nécessaire de suivre la procédure de demande d'une ancre EV sur ev_anchors
  • Depuis le 27/09/2021 certaines demandes restent bloquées car certaines informations de l'organisation comportent des caractères non-ASCII :
    • “Sectigo has implemented an additional check on orders to prevent the issuance of Mojibake characters to a certificate. Mojibake is the garbled text that is the result of text being decoded using an unintended character encoding. The result is a systematic replacement of symbols with completely unrelated ones, often from a different writing system. The extra validation step should be quick in most circumstances. Sectigo thanks you for your patience as we work through the implementation”

Si le certificat reste bloqué en statut APPLIED, il est conseillé au demandeur de contacter directement le support Sectigo https://sectigo.com/support-ticket en précisant bien l'order number du certificat concerné pour avoir plus d'explications.

Depuis les mises à jour du portail SCM de Sectigo 21.1 et 22.1, l'interface graphique a évolué plusieurs fois.

Les certificats client sont toujours associés à des personnes. Les invitations sont restées dans le menu Persons et non pas dans le menu Certificates.
Ainsi pour inviter une personne à créer un certificat client, il est nécessaire :

  • soit de créer une nouvelle personne en cliquant sur le bouton + en haut à droite,
  • soit pour une personne existante de la sélectionner dans la liste et ensuite cliquer sur Edit puis aller dans l'onglet Enrollment Invitation.

Ensuite, l'invitation peut être envoyée pour la personne sélectionnée en cliquant sur le bouton + en face de Invitations (la durée et le profil de certificat sont sélectionnables dans la fenêtre qui s'ouvre).

Depuis les mises à jour du portail SCM de Sectigo 21.1 et 22.1, l'interface graphique a évolué plusieurs fois.

Les certificats client sont toujours associés à des personnes. Les invitations sont restées dans le menu Persons et non pas dans le menu Certificates.
Ainsi pour inviter une personne à créer un certificat client, il est nécessaire :

  • soit de créer une nouvelle personne en cliquant sur le bouton + en haut à droite,
  • soit pour une personne existante de la sélectionner dans la liste et ensuite cliquer sur Edit puis aller dans l'onglet Enrollment Invitation.

Ensuite, l'invitation peut être envoyée pour la personne sélectionnée en cliquant sur le bouton + en face de Invitations (la durée et le profil de certificat sont sélectionnables dans la fenêtre qui s'ouvre).

Un utilisateur final sans compte d'administrateur RAO/DRAO rencontre l'erreur suivante “Failed to create person xxx@domain.fr on organization ORGANIZATION. Please contact security administrator” sur le portail en self-enrollment https://cert-manager.com/customer/renater/idp/clientgeant lorsqu'il veut demander un nouveau certificat de personne.
Il est nécessaire qu'un RAO/DRAO de l'organisation concernée vérifie que les informations de la personne n'ont pas évolué depuis la dernière demande de certificat : notamment les champs Email Address, Alternative Emails et EPPN. Attention, tout changement dans le portail SCM de ces champs pourra entrainer la révocation des certificats de personne encore valides pour cet utilisateur.

Si aucun problème n'est repéré, il y a plusieurs possibilités pour pallier le problème rencontré :

  1. Ajouter l'EPPN dans la personne correspondant dans le menu Persons, puis demander à la personne de se reconnecter sur le portail en self-enrollment;
  2. Si 1 ne fonctionne pas, supprimer la ou les personnes concernées dans le menu Persons (c'est à dire, toutes celles renseignant le mail ou l'EPPN), puis essayer à nouveau de se connecter sur le portail en self-enrollment ;
  3. Recréer une personne et utiliser l'invitation depuis l'onglet Persons comme indiqué ici : Invitation d'une personne par un RAO/DROA depuis le portail SCM.

Cette erreur est rencontrée sur le portail de demande de certificats client de Géant à l'adresse https://cert-manager.com/customer/renater/idp/clientgeant lorsque la configuration de l'organisation ou du fournisseur d'identité correspondant à votre établissement n'ont pas été réalisés de manière complète.

Il est nécessaire de paramétrer le champ Academic code (SCHAC Home Organization) dans votre organisation sur le portail SCM et de configurer votre fournisseur d’identité d’établissement comme indiqué sur la page suivante.

Cette erreur est rencontrée uniquement sur les portails de demande de certificats client en self-enrollment définis spécifiquement par une organisation et qui sont accessibles à l'adresse https://cert-manager.com/customer/renater/smime et notamment lorsque la configuration des profils de certificat n'est pas correcte.

Depuis fin août 2023, le profil GEANT Personal Certificate n'existe plus et il a été remplacé par les profils GÉANT Personal Authentication et GÉANT Personal email signing and encryption.

Pour corriger le problème, il est nécessaire qu'un administrateur RAO/DRAO se connecte au portail SCM et modifie la liste des profils de certificats client utilisables dans le portail en self-enrollment spécifique où l'erreur apparait :

  • Allez dans l'onglet “Enrollment” puis “Enrollment Forms”, sélectionnez la ligne “(General) Client Certificate Web Form” (ou celle correspondant au portail concerné) et cliquez sur le bouton “Accounts”.
  • Sélectionnez ensuite la ligne correspondant à votre organisation et cliquez sur le bouton “Edit”.
  • Modifiez la liste des profils de certificats en fonction de vos besoin dans “Profiles”.

Il est vivement recommander par GEANT de limiter l'usage de ces portails en self-enrollment par organisation/département et de préférer le portail de demande de certificats client de GEANT à l'adresse https://cert-manager.com/customer/renater/idp/clientgeant. Les étapes de configuration pour avoir accès à ce portail sont décrites sur la page suivante.

  • tcs/scm/problemes.txt
  • Dernière modification : 2024/01/17 16:09
  • de ludovic.auxepaules@renater.fr