Cette documentation est destinée aux administrateurs de département ou services informatiques.

Le protocole ACME permet d'automatiser la demande, délivrance et renouvellement de certificats SSL.

La durée de ces certificats ne peut excéder 1 an.

Le terme DRAO désigne l'administrateur de département ou service informatique, tandis que le RAO désigne les correspondants de l'établissement pour le service TCS. Le terme MRAO désigne Renater. Sectigo désigne l'opérateur de certification agréé.

Ressource :


Demande d'accès


Avant de pouvoir accéder au portail Sectigo, il faut envoyer un mail à certificats.tcs@univ-lyon1.fr en précisant votre département et idéalement les noms de domaines ou sous-domaines que vous souhaitez gérer.

Une fois qu'un RAO vous aura affecté dans le bon groupe AD, vous devrez renvoyer sur cette même adresse votre "EPPN" (eduPersonPrincipalName) que vous trouverez sur https://cert-manager.com/customer/renater/ssocheck/.

L'EPPN est de la forme "xxxxxxxx@univ-lyon1.fr".

Le RAO finalisera alors la création de votre accès au portail Sectigo.


Portail Sectigo

L'accès au portail Sectigo se fait sur https://cert-manager.com/customer/Renater :

Cliquez sur le bouton "Your Institution". On vous demandera alors pour quel établissement vous souhaitez vous identifier :

Dans ce champ, saisir un mot clé correspondant à "Université Claude Bernard Lyon 1" ("Lyon" donne 13 résultats, "Claude" 1.) :

Cliquer sur "Université Claude Bernard Lyon 1" pour être redirigé sur le portail d'identification CAS :

Une fois vos identifiants validés, vous pouvez consulter les éléments requis pour l'accès à Sectigo (l'EPPN entre autres) :



Dans l'onglet "Settings", vous trouverez le(s) département(s) que vous êtes habilité à gérer (ici, nous utiliserons le département "Test DSI") :

Gestion des noms de domaine autorisés


Par sécurité, vous ne pouvez pas demander un certificat pour n'importe quel nom de domaine. Il faut que chaque domaine vous soit autorisé par un RAO.

Vous pouvez fournir une liste de noms de domaine ou sous-domaine que vous gérez à certificats.tcs@univ-lyon1.fr ou saisir un à un ces informations dans le menu Settings, Domains. Chaque ajout devra être validé par un RAO.


Ajout d'un domaine par le formulaire web :

Le nom de domaine est ajouté mais apparait en rouge. Cela signifie qu'il doit être validé par un RAO :

Lorsqu'un RAO valide la demande, le nom de domaine n'est plus en rouge. Dans le cas contraire, le nom de domaine disparait de la liste.



Activation du protocole ACME


Pour activer le protocole ACME, votre accès Sectigo doit être validé par un RAO, comme décrit dans l'étape précédente obligatoire.

Le(s) nom(s) de domaine ou sous-domaine doivent être validés pour votre département.


Au moindre problème, merci de nous contacter sur certificats.tcs@univ-lyon1.fr.


  1. Choisissez le menu Settings, puis cliquez sur Enrollment Endpoints :

  2. Cherchez la ligne “https://acme.sectigo.com/v2/OV” si vous souhaitez un compte ACME permettant de demander des certificats OV et une fois sélectionnée cliquez sur Accounts

  3. Cliquez sur Add

  4. Sélectionnez votre organisation dans la liste puis cliquez sur Departments et enfin sélectionnez votre département dans la liste

  5. Vous devrez choisir le(s) domaine(s) pour le(s)quel(s) le compte sera actif :

  1. Cliquez sur Ok pour valider la création du compte

  2. Notez bien les informations suivantes (elles peuvent être récupérées à nouveau en cliquant sur Details) :

    • ACME URL

    • Key ID

    • HMAC Key



Utilisation d'ACME avec certbot


Avant d'arriver à cette étape, vous devez avoir validé les étapes précédentes.



certbot certonly --standalone --non-interactive --agree-tos --email prenom.nom@univ-lyon1.fr --server https://acme.sectigo.com/v2/OV --eab-kid xxxxxxxxxxxxxxxx --eab-hmac-key xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx --domain xxxxxxx.univ-lyon1.fr --cert-name xxxxxxxxxxxx



Si tout se déroule bien, vous obtiendrez quelque chose comme :

Obtaining a new certificate

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at:
   /etc/letsencrypt/live/xxxxxxxxxxx/fullchain.pem
   Your key file has been saved at:
   /etc/letsencrypt/live/xxxxxxxxxxx/privkey.pem
   Your cert will expire on 2022-03-18. To obtain a new or tweaked
   version of this certificate in the future, simply run certbot
   again. To non-interactively renew *all* of your certificates, run
   "certbot renew"
 - If you like Certbot, please consider supporting our work by:

   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le


Si vous obtenez l'erreur suivante :

Obtaining a new certificate
An unexpected error occurred:
The client lacks sufficient authorization :: The identifiers are not all linked to the same preauthorized Subject organization name/address

C'est que vous n'avez probablement pas les droits de demander un certificat pour ce nom de domaine, ou qu'une erreur s'est glissée dans la saisie de la commande certbot.


L'affichage des certificats délivrés par ACME dans l'interface web mettent plusieurs heures à apparaître, ceci est considéré comme un fonctionnement normal de l'outil.

  • Aucune étiquette