accueilSécuritéIdentification et contrôle d’accèsCertificats électroniques
 

Demander ou renouveler un certificat TCS


Demander un certificat TCS

Pour demander un certificat TCS, il est nécessaire de répondre aux conditions suivantes :

  • le domaine de second niveau sous lequel porte la demande est déclaré
  • il existe le contact DCV valide pour le domaine ou le sous-domaine sous lequel porte la demande

Si ces conditions ne sont pas respectées, il est nécessaire de procéder aux déclarations adéquates.

La suite de la procédure est une demande de certificat (CSR) sur le guichet RENATER.

  • la demandes de certificat (CSR) doit respecter le formalisme suivant :
    • la demande doit être faite au format format PKCS10
    • la clé privée doit avoir une taille minimum de 2048 bits
    • Même si ce n’est pas obligatoire au niveau du guichet RENATER, une convention usuelle au CNRS est d’indiquer le code unité dans le DN du certificat.

Un exemple de commande openssl permettant de créer la CSR pour le certificat web.sous.domai.ne :

$ openssl req -newkey rsa:2048 -keyout web.sous.domai.ne.key -out web.sous.domai.ne.csr -nodes -subj "/C=FR/O=CNRS/OU=UMI7777/CN=web.sous.domai.ne"

$ cat web.sous.domai.ne.csr

  • Sur l’interface de demande certificat
    • Copier/Coller les lignes suivantes dans le champs Certificate Request (PEM format) :

      -----BEGIN CERTIFICATE REQUEST----- MIICjzCCAXcCAQAwSjELMAkGA1UEBhMCRlIxDTALBgNVBAoTBENOUlMxEDAOBgNV BAsTB1VNSTc3NzcxGjAYBgNVBAMTEXdlYi5zb3VzLmRvbWFpLm5lMIIBIjANBgkq hkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEArvfwaBVEbRU9aVUliigs0Doglkk1rFGc sjOynFJXOkjbQEyKJo6ncwTF7BLErO8a5xGvXRndJTg7hXrfB1cf+fEdmHTcOwvb 99mSPv++oUwUmN8AsMBWEv/qAbUmLKH7YqAcsWnUuR2VFD4zZTcc5U4IU1UcziSE LvEFWZsFGzQqvulha1Bf2UyqULfYeQyasXxBn/FrCoJalV8B3aVPtUblNB05fD3P Th2MSnrl1srYEOEBBbVRjCkkcbT4Fn4IeMM7MuHpYlmofp5/9m+u7ZfiBnoA42xM Ez7+/Po2TODpIijDo9hVOAImuWTh5pMABQNmSK7KcsFMX+OpIgvXjQIDAQABoAAw DQYJKoZIhvcNAQEFBQADggEBAJ3jQGRIf1xSXJp3mQpRJf/tZMyvpciqoSrTZ98o BNKAviaNlrmFjVwXXNHOR6pRA5N/FxTJMpKbTvpjBBC089SiQOxbY22ADpnpzZXx 58+fUmmMl/zkh4uP5IE4Uxes1ouUhNa0zNlTUUQ5aeOcoHbw5zkQJ+eDHjqrPRwR VPVgROkWrCjZQhKcHKTGVRtFo00IY2v7bQ1ELr1DeY3CmGgvTr2kUx446aGPahgX L9Q63O8Qn4dAOzEvpZDB0Wl7YCvVb3vVCZapVjiFoZViEBEoOA3nl82W4I9E8l90 MN1Iacxzlf7yG3Ny4n27B8JYOyVNooSsqThf+v3Mk3mt0BY= -----END CERTIFICATE REQUEST-----

      Impératif : Les lignes BEGIN CERTIFICATE REQUES et END CERTIFICATE REQUEST doivent être incluses

    • Choisir la durée de validité (1, 2 ou 3 ans) en fonction des contraintes de sécurité et des contraintes opérationnelles
    • Sélectionner le type de certificat ( Server certificate (Unicode) recommandé)
    • Renseignez l’adresse email du demandeur avec une adresse email personnelle ou une adresse mail de service (cette adresse servira ensuite à recevoir le certificat signé)
    • Valider la demande en cliquant sur le bouton Vérifier ou modifier
  • Une page reprenant les informations contenues dans la CSR apparait.
  • Si besoin, ajouter ou modifier des informations, puis clique sur le bouton Envoyer la demande

Après validation de la demande de signature de la clé publique par le contact administratif et par le contact DCV, celle-ci sera traitée par TCS .

La génération du certificat ne devrait pas dépasser 24h. Une fois le certificat créé, le demandeur recevra alors un mail contenant un lien permettant de le télécharger. Conserver ce mail ou le lien contenu dans celui-ci. Ce sera le seul moyen d’être autonome dans la gestion de ce certificat.

En cas de problème, n’hésiter pas à contacter le support TCS.

Renouveler un certificat TCS

Pour renouveler un certificat, une simple demande de certificat avec un DN identique est suffisant(cf. : procédure ci-dessus).

Il est également possible de faire cette demande de certificat en utilisant la précédente CSR (la clé privée est conservée).

L’ancien certificat ne sera pas révoquer automatiquement ; ce qui permet de disposer du temps nécessaire afin d’effectuer son remplacement.

Il sera donc valable jusqu’à son expiration.

Une bonne pratique est de demander sa révocation une fois le nouveau certificat installé et validé

Liens utiles



- Retour à la rubrique Certificats électroniques



ARESU
Direction des Systèmes d'Information du CNRS

358 rue P.-G. de Gennes
31676 LABEGE Cedex

Bâtiment 1,
1 Place Aristide Briand
92195 MEUDON Cedex



 

 

Direction des Systèmes d'Information

Pôle ARESU

Accueil Imprimer Plan du site Credits