accueil > Sécurité > Identification et contrôle d’accès > (Ancien) > (Ancien) Certificats > Terena Certificate Service
 

TCS : Pourquoi ?

La DSI du CNRS s’est jointe à RENATER et au Comité Réseau des Universités pour mettre à disposition de la communauté CNRS des certificats serveurs reconnus par défaut dans les navigateurs Internet (Internet Explorer, Firefox/Mozilla/Netscape, Safari, Opera...) : ces certificats ne provoquent pas l’apparition de fenêtre d’avertissement et ne nécessitent pas d’installer au préalable sur les postes clients des certificats d’autorité de certification. Ces certificats serveurs sont appelés certificats serveur TCS.

Le service "TERENA Certificate Service" proposé par ces 3 acteurs est la déclinaison française du contrat signé entre TERENA et Comodo, au bénéfice de vingt réseaux de la recherche, dont RENATER. Ce contrat a été signé pour trois ans et expirera en juin 2012. Il a vocation bien sûr à être renouvelé pour assurer la continuité de ce service.

TCS : Pour qui ?

L’autorité d’enregistrement pour la partie française de ce service est le GIP RENATER. Afin de servir au mieux la communauté, le GIP délègue cette autorité
  • au CRU (pour les demandes de certificats des organismes d’enseignement supérieur et de recherche)
  • à la DSI du CNRS (pour les laboratoires et unités du CNRS)
  • les autres organismes s’adresseront directement au GIP RENATER

Le service proposé par la DSI du CNRS est ouvert à toutes les unités du CNRS. La Déclaration des Pratiques de Certification pour le CNRS est en ligne.

Vous vous posez certaines questions ?

Qui peut bénéficier de ce service auprès de la DSI du CNRS ?

Le service est ouvert auprès de la DSI du CNRS pour toutes les unités du CNRS. L’unité qui fait une demande d’accès au service est appelée "souscripteur".

Les établissements publics d’enseignement supérieur peuvent bénéficier du service auprès du CRU. Les autres organismes ayant un agrément en cours pour l’utilisation du réseau RENATER peuvent également bénéficier de ce service via RENATER.

Des certificats pour quels domaines ?

  • soit le titulaire du nom de domaine dans les bases « whois » est le Centre National de la Recherche Scientifique (par exemple : CNRS, CTRE NAT DE LA RECHERCHE SCIENTIFIQUE)
  • soit le titulaire du nom de domaine dans les bases « whois » est le souscripteur
  • et pour une zone du domaine cnrs.fr, le titulaire dans les bases de la DSI du CNRS est le souscripteur.

Mon unité n’a pas d’agrément RENATER en propre, peut elle toutefois bénéficier de ce service TCS ?

Oui. Il n’est pas nécessaire d’avoir un agrément en propre pour l’unité. L’essentiel est de prouver que la demande est faite au nom d’unité connue du CNRS, de prouver la propriété des noms de domaine ou des zones du domaine cnrs.fr.

Les serveurs de mon unité CNRS ne sont pas hébergés en interne ; mon unité peut elle toutefois bénéficier de ce service TCS ?

Oui. L’essentiel est de prouver que la demande est faite au nom d’unité connue du CNRS, de prouver la propriété des noms de domaine ou des zones du domaine cnrs.fr.

Mon unité du CNRS utilise un sous domaine de type "labo.universite.fr" ; peut elle toutefois bénéficier de ce service TCS auprès de la DSI du CNRS ?

Non. Désolé, le propriétaire du nom de domaine universite.fr n’est pas le CNRS, il faut vous retourner vers l’université qui en est le propriétaire.

Mon unité du CNRS utilise un sous domaine de type "labo.cnrs-truc.fr" ; peut elle toutefois bénéficier de ce service TCS auprès de la DSI du CNRS ?

Oui. A condition que le propriétaire du nom de domaine "cnrs-truc.fr" soit le CNRS ou un laboratoire du CNRS. Il faudra également que ce propriétaire donne à la DSI du CNRS une liste de ses sous-domaines et leurs bénéficiaires.

Mon unité du CNRS utilise un sous domaine de type "projet.org" ; peut elle toutefois bénéficier de ce service TCS auprès de la DSI du CNRS ?

Oui. A condition que le propriétaire du nom de domaine "projet.org" soit le CNRS ou le laboratoire du CNRS qui fait la demande.

À quels types de serveur sont destinés ces certificats ?

Ces certificats sont destinés à tout type de serveurs. Les principaux usages peuvent être HTTPS, POPS, IMAPS, STMP/TLS.

Combien de certificats un souscripteur peut-il demander ?

Une unité peut demander autant de certificats serveur qu’elle le souhaite, y compris pour des certificats qui n’ont pas besoin d’être reconnus dans les navigateurs (par exemple il est possible de demander un tel certificat pour du LDAPS).

Peut-on utiliser ces certificats pour sécuriser des applications avec paiement ?

Non. Ces certificats ne doivent pas être utilisés pour sécuriser des échanges concernant des transactions financières.

Est-il possible d’obtenir un seul certificat pour plusieurs noms de machine définis ?

Oui. Il s’agit des certificats à Common Name multi valués, qui peuvent être intéressants dans le cas où une machine physique héberge plusieurs alias ou plusieurs hôtes virtuels.

Est-il possible de demander un certificat pour *.mon-domaine.fr ?

Oui. Il possible d’obtenir des wildcard certificates. L’avantage de ces certificats est évident : un seul certificat permet de configurer autant de serveurs SSL que l’on souhaite ; soit des serveurs virtuels sur un même host soit sur des hosts différents. Il y a une réelle économie pour les différentes opérations de gestion du cycle de vie des certificats (en particulier pour le renouvellement).

Cependant, il ne faut pas négliger les inconvénients de ces certificats :

  • du point de vue du client, la preuve du nom du serveur avec lequel la communication est établie est une preuve partielle (seul le nom de domaine est prouvé).
  • la compromission de la clé privée associée à ce certificat a beaucoup plus de conséquences car il est alors possible pour le pirate de créer des sites avec des noms de sous-domaines librement choisis.
  • l’expiration ou la révocation de ce certificat entraîne un arrêt de tous les services concernés.
  • attention les wildcard certificates ne sont pas utilisables pour Shibboleth, (cf. l’information du CRU)
  • Pour tempérer les inconvénients liés aux wildcard certificates, sachez qu’il est possible de demander plusieurs certificats avec “cn=*.mondomaine.fr”. Vous pouvez donc par exemple demander un certificat de ce type pour chaque serveur physique hébergeant plusieurs virtual hosts HTTP.

    Pour limiter les risques liés à l’utilisation des wildcard certificats, n’utilisez pas un seul certificat wildcard sur plusieurs machines physiques distinctes. Si vous avez besoin de wildcard certificates pour plusieurs machines physiques distinctes, demandez autant de wildcard certificates que de machines.

    Pour obtenir un wildcard certificate il suffit de faire une demande pour *.mon-domaine.fr comme si c’était un vrai nom de machine. La procédure est la même que pour un certificat normal.

Que se passe-t-il si l’on demande un certificat pour un nom de domaine pour lequel un certificat a déjà été émis ?

Il est possible de demander un certificat pour un nom de domaine, même si un certificat a déjà émis pour ce nom de domaine. Le certificat est généré normalement, sans conséquence sur la validité du premier certificat existant.

Quelle sera la durée de validité de ces certificats ?

Le demandeur du certificat pourra choisir une durée de validité de un, deux ou trois ans. Cette durée est choisie par le demandeur du certificat.

Quelles informations contiennent ces certificats ?

Le certificat contient principalement les informations suivantes : le nom CNRS, le code Labintel de l’unité, son code pays et le nom du serveur. Il peut contenir des informations supplémentaires comme une adresse de courrier électronique associée au serveur ou le nom de l’unité.

Quel est le coût d’un tel certificat ?

Ces certificats ne sont pas facturés aux unités qui souscrivent à ce service, ils sont mis à disposition gratuitement.

Comment obtenir ces certificats ?

Assurez vous que vous avez bien lu la Déclaration des Pratiques de Certification pour le CNRS Suivez la démarche présentée dans cette rubrique.

Comment faire pour obtenir un certificat utilisateur TCS ?

Pour le moment, les certificats utilisateurs TCS pour les unités du CNRS ne sont pas disponibles. Pour obtenir un certificat utilisateur CNRS, vous devez effectuer votre demande sur l’IGC du CNRS .

Le GIP RENATER, le CRU et la DSI du CNRS sont vos interlocuteurs.

Contacts :


Rubriques




ARESU
Direction des Systèmes d'Information du CNRS

358 rue P.-G. de Gennes
31676 LABEGE Cedex

Bâtiment 1,
1 Place Aristide Briand
92195 MEUDON Cedex



 

 

Direction des Systèmes d'Information

Pôle ARESU

Accueil Imprimer Plan du site Credits