RENATER met à disposition un service de certificats SSL appelé TCS (Terena Certificate Service).

Les certificats serveurs SSL sont reconnus par tous les navigateurs internet.

Certificats serveurs SSL


Le guichet de demande de certificats Sectigo n'est accessible qu'aux personnels autorisés.

Si vous n'êtes pas autorisé, veuillez contacter certificats.TCS@univ-lyon1.fr

Prérequis

  • Un nom complet (FQDN) du serveur dont vous souhaitez un certificat
  • Un fichier de demande de signature de certificat (CSR) valide

Création du CSR

Il est possible d'obtenir le fichier de demande de signature de certificat de plusieurs manières selon les systèmes d'exploitation. La plus répandue est l'utilisation d'openssl en ligne de commande.

La procédure suivante crée deux fichier :

  • Un fichier CSR, correspondant à la demande de signature de certificat à fournir au guichet Sectigo.
  • La clé privée du certificat, à garder précieusement et à lier au certificat une fois obtenu.

  1. Pour un nouveau certificat :

    openssl req -new -newkey rsa:2048 -nodes -out monserveur_univ-lyon1_fr.csr -keyout monserveur_univ-lyon1_fr.key -subj "/C=FR/ST=RHONE ALPES/L=VILLEURBANNE/O=UNIVERSITE CLAUDE BERNARD LYON 1/CN=monserveur.univ-lyon1.fr"

  2. Pour un certificat existant (avec une clé privée existante) :

    openssl req -new -key /certs/monserveur_univ-lyon1_fr.key -out monserveur_univ-lyon1_fr.csr -subj "/C=FR/ST=RHONE ALPES/L=VILLEURBANNE/O=UNIVERSITE CLAUDE BERNARD LYON 1/CN=monserveur.univ-lyon1.fr"

Guichet Sectigo

Connectez-vous sur la plate-forme de Sectigo : https://cert-manager.com/customer/Renater/idp/ssl/TeSYfXm29yhzScqqdmOi/select


Cliquez sur le lien "Your Institution" puis recherchez "Université Claude Bernard Lyon 1" :

enfin cliquez sur le lien "Université Claude Bernard Lyon 1". Ceci vous dirigera vers le portail d'authentification (CAS) de l'université.

Formulaire de demande

  • Le champ « Email » est pré-rempli et n'est pas modifiable.
  • Vous avez le choix entre plusieurs types de certificats :
        1. GÉANT OV SSL : certificat pour un seul FQDN.
        2. GÉANT Wildcard SSL : certificat « joker » de la forme *.xxxx.univ-lyon1.fr.
        3. GÉANT OV Multi-Domain : certificat permettant de couvrir plusieurs noms de machine différents.
  • Choisissez la durée de vie du certificat (1 an)

  • Cliquez sur « UPLOAD CSR » afin d'envoyer votre fichier CSR généré au préalable, ou coller son contenu dans le champ texte du dessus.

    Un fichier CSR type se présente de la forme :


    -----BEGIN CERTIFICATE REQUEST-----
    xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
    -----END CERTIFICATE REQUEST-----
  • Cliquez sur « GET CN FROM CSR » afin d'extraire du fichier CSR et remplir automatiquement le champ « Common Name ».
  • Vous pouvez saisir le nombre de jours éventuels pour un renouvellement automatique du certificat.


Enfin, cliquez sur le bouton « Enroll » pour finaliser votre demande de certificat.

Validation de la demande

Vous recevrez un mail vous indiquant que votre demande de certificat est en attente de validation.

Les demandes de certificat par ce biais sont validées ou refusées par les administrateurs autorisés.

Une fois validé, vous recevrez les modalités de récupération du certificat par mail.


Renouvellement d'un certificat

Plusieurs possibilités pour le renouvellement d'un certificat en cours de validité. Dans tous les cas suivants, la clé privée ne change pas.

  1. Si le renouvellement automatique d'un certificat a été activé lors de sa création (précisé dans le mail de création), vous recevrez la procédure par mail.
  2. Vous pouvez demander à un administrateur de procéder au renouvellement d'un certificat.
  3. Vous pouvez renouveler un certificat via l'interface d'administration Sectigo de votre structure, si vous y avez un accès.
  • Aucune étiquette