Portales de TCS-g4 (Sectigo)
SCM portal
(certificados servidor, código, documentos)

SAML portal
(certificados personales)

Alta en el servicio
Acceso a los portales de DigiCert para realizar consultas y revocaciones:

CertCentral portal
(certificados servidor, código, documentos)

SAML portal
(certificados personales)

Acceso al Antiguo SCS/ISC para consultas y revocaciones de certificados de Comodo

Información para administradores de SCM

SCM - Sectigo Certificate Manager


La presente guía está indicada solo para los usuarios con los roles RAO/DRAO de alta en el portal SCM de Sectigo.

Tabla de contenido

Instancia de SCM para RedIRIS

RedIRIS, al igual que el resto de NRENs que participan en TCS, dispone de una instancia del portal Sectigo Certiticate Manager en
https://cert-manager.com/customer/rediris.

Para acceder al portal SCM, debe configurar la organización y las cuentas de los usuarios adminitradores (RAO/DRAO).

Ayuda

Ayuda de RedIRIS

RedIRIS dispone de un servicio de coordinación basado en una lista de distriución tcs-user y de un buzón de help-desk donde podrá abrir un ticket escribiendo a tcs(a)rediris.es después de asegurarse de que este documento no contenga la respuesta a su pregunta o una solución a su problema.

Ayuda del equipo de soporte de Sectigo

Puede contactar con el equipo de soporte de Sectigo utilizando https://sectigo.com/support-ticket indicando la pregunta o problema. Pero solo debe hacerlo si se indica en este documento o a petición del equipo de TCS de RedIRIS.

A menos que se le indique lo contrario, seleccione SCM Validation como Reason for the ticket si el problema está relacionado con validación, o SCM Support para otros problemas. En la descripción, incluya una línea que diga "We are a RedIRIS member of the GEANT TCS service, using the https://cert-manager.com/customer/rediris SCM instance."

Documentación de Sectigo

La documentación de Sectigo puede encontrarse en https://support.sectigo.com/Com_KnowledgeProductPage?c=Sectigo_Certificate_Manager_SCM.

Roles en SCM

En el portal SCM los usuarios pueden ser de 3 tipos:

Role Descripción
MRAO (Master Registration Authority Officer) Administrador de la NREN
RAO (Registration Authority Officer) Administración de una organización
DRAO (Department Registration Authority) Administrador de un departamento

Los administradores RAO y DRAO serán dados de alta de forma automática, todas las noches, a la lista de coordinación del servicio tcs-user(a)listserv.rediris.es.

Dado que la dirección de correo se extrae de los registros de SCM, si alguien desea cambiar la dirección de correo con la que está suscrita a la lista tcs-user deberá cambiar dicho valor en SCM.

Organizaciones

Alta de una organización

El alta de una organización en el portal SCM es realizada por el personal de RedIRIS.

NOTA: El departamento de validación de Sectigo debe verificar, en directorios públicos, que la información de la organización suministrada es la misma que aparece en esos directorios. Por ello, es muy recomendable que antes de enviarnos esos datos, se verifiquen que se encuentran disponibles en los portales que Sectigo utiliza para realizar sus verificaciones.

En caso de no encontrar la organización en ninguno de los directorios, o de encontrar alguna diferencia en ellos, se recomienda tomar las medidas oportunar para dar de alta o actualizar los datos de la organización, y así evitar que Sectigo tenga problemas a la hora de realizar la validación. Mientras Sectigo no finalice la validación no se podrán solicitar certificados.

Secondary Organization Name

En la ficha de la organización aparece un campo llamado Secondary Organization Name que solo es utilizado para los certificados de tipo IGTF/Grid. Si no van a ser necesarios no será necesario su introducción y su posterior validación.

EV Details

Sectigo requiere que la pestaña Settings -> Organizations -> (selección de la organización) -> Edit -> EV Details esté correctamente rellena para todas las organzaciones que vayan a solicitar certificados EV.

Según nos ha indicado GÉANT el 24/06/2020:

The following details are required in the EV details:

  • Incorporation or Registration Agency section fields
  • Country of Incorporation
  • and Business Category (usually Private Organization or Government Entity).
  • You must also enter at least one of fields Registration Number or the Date of Incorporation.

This can be done by the MRAO or the RAO can send it a support ticket to Sectigo and ask for the information to be filled.

Van a realizar una guía sobre los detalles del ancla EV y la pondrán a nuestra disposición en cuanto la tengan.

Mientras tanto, enviad todos los datos de la pestaña EV Details a tcs(a)rediris.es para que nosotros los incorporemos.

Administradores

Alta de un administrador (RAO/DRAO)

El alta de un administrador de una organización en SCM (RAO, Registration Authority Officer) puede realizarse de 2 formas:

Administrador principal (RAO)

El administrador principal es dado de alta por RedIRIS en el momento de dar de alta la organización.

Otros administradores (RAO/DRAO)

Serán dados de alta por el administrador principal o por cualquier otro administrador que haya sido dado de alta posteriormente.

SCM no permite que un RAO asigne todos los permisos a otro RAO. Solo permite asignar Allow SSL details changing y Allow SSL auto approve.

NOTAS:

  • Un RAO solo podrá asignar un privilegio a otro RAO si dispone de dicho privilegio.
  • Si se desea que el nuevo RAO creado por el RAO que creó RedIRIS, tenga otros permisos distintos a Allow SSL details changing y Allow SSL auto approve deberá solicitarlo a tcs(@)rediris.es.

Si no se marca la opción Allow SSL auto approve será posible, por ejemplo, modificar una solicitud de certificado que se ha realizado por 1 año si queríamos haberla hecho por 2. Sin embargo, si se activa la opción Allow SSL auto approve, la única forma de cambiar un fallo, será revocar el certificado y volver a solicitarlo.

Alta de administrador con acceso federado

Para hacer que una cuenta de RAO/DRAO pueda acceder de forma federada al portal SCM, es necesario añadir a su ficha un valor en el campo IdP Person Id, cosa que podemos hacer de 2 formas:

  • Opción 1: Envío de invitación por mail (recomendada)

    Una vez creada la cuenta del RAO/DRAO, se elige la opción Send IdP Invitation. Cuando el administrador entre a través del enlace proporcionado (si la dirección de correo de la autenticación SAML coincide con la dirección de correo en SCM) el campo IdP Person Id se rellenará automáticamente.

  • Opción 2: Modificando el formulario de forma manual

    Para incorporar el identificador, es necesario modificar el campo Identity provider que contiene el valor Disabled, para poner el valor Your Institucion:

    Posteriormente hay que incorporar el valor del atributo eduPersonPrincipalName (ePPN), que el IdP vaya a enviar para ese usuario, en el campo IdP Person Id. Se puede utilizar el panel de control de usuarios de SIR para ver dicho valor.

    NOTA: Hemos detectado un pequeño problema con este desplegable que hace que no se pueda rellenar el campo IdP Person Id.
    Una vez que se cambia el valor del desplegable de Disabled a Your institution, hay que pinchar otra vez en el desplegable y volver a poner Your institution. Ahora ya dejará rellenar el valor en el campo IdP Person Id.

NOTA: Una vez que se acceda como RAO/DRAO de forma federada, se recomienda acceder siempre así, ya que si intenamos acceder utilizando Login/Password el sistema nos obligará a cambiar la clave.

Alta de administrador para uso de la API REST

Sectigo nos ofrece la posibilidad de crear un usuario RAO para utilizar la API REST.

RedIRIS recomienda la creación de un usuario exclusivo para el uso de la API, que solo tenga acceso a la API, y no la reutilización de uno de los RAOs existentes.

El procedimiento para la creación del usuario API es:

  • Inicia sesión como RAO en SCM y crea el nuevo RAO con un nombre que incluya, en la medida de lo posible la cadena api para identificar que es un usuario de API. Añade la contraseña temporal que habrá que cambiar la primera vez que el nuevo usuario API acceda al SCM. Ten en cuenta que no se podrá utilizar la API con esta contraseña temporal.

  • Inicia sesión con la nueva cuenta de usuario API en SCM, y realiza el cambio obligatorio de contraseña inicial para ello.

  • Solicita a tcs(a)redrixis.es que se asigne el permiso "WS API use only" al usuario API, si es que el RAO no tiene habilitada dicha opción.

Uso de la API REST

La documentación de la API REST se puede encontrar en https://support.sectigo.com/Com_KnowledgeDetailPage?Id=kA01N000000XDkE en el documento "SCM - Se ctigo Certificate Manager REST API".

La autenticación se realiza mediante login/password para un RAO/DRAO y el campo customerUri es "rediris".

Alguna recomendaciones:

  • Para poder utilizar las llamadas a la API para el manejo de certificados, debe editar la ficha de la organización o departamento en cuestión, y en la pestaña "SSL Certificate" activar la casilla de "Web API". Aparecerá un nuevo campo llamado "Secret Key" que tendrá que rellenar con un valor aleatorio, pero que no se usa para la API REST actual sino para una API SOAP anterior.

  • Tenga en cuenta que el campo "serverType": -1 en el ejemplo del manual de la API REST se refiere a otro tipo de Software de servidor, por lo que si lo ha eliminado al limpiar los tipos de Software de servidor inútiles, ese ejemplo n o funcionará.

Los compañeros de la NREN sueca han creado unos scripts de ejemplo para solicitar y recupersar certificados. Mostramos a continuación el texto que tienen en la web de SUNET:

As inspiration for API use, Fredrik Domeij at UmU has provided bash scripts to request and retrieve certificates. You find them as umu-example-api-bash.tar.

Se recomienda mirar detalladamente el contenido de los scripts antes de su ejecución y configurar los valores adecuados a la organización.

Cuentas bloqueadas

Una cuenta de administrador RAO/DRAO puede quedar bloqueada si se intenta iniciar sesión de forma incorrecta durante varias veces.

Ee mostrará el texto "Incorrect login details, account is locked, password has expired or your source IP is blocked." cuando se intente iniciar sesión, incluso si se utiliza la contraseña correcta.

Para desbloquear la cuenta tendrá que contactar con el MRAO enviando un mail a tcs(a)rediris.es.

Dominios

Antes de poder solicitar certificados es necesario dar de alta los dominios bajo los cuales se solicitarán los mismos.

Alta de dominios

Por ejemplo, para soliciar certificados bajo el dominio prueba.es, un administrador RAO debe dar de alta prueba.es y *.prueba.es

Los pasos para el alta son los siguientes:

Alta del dominio prueba.es

Un administrador RAO va a Settings -> Domains -> Delegations y pulsar en el botón + Add

y rellena el nombre del dominio prueba.es, una breve descripción y asignar los perfiles de certificado para los que desea utilizar ese dominio.

El día 18/04/2020, con la versión 20.4 de SCM, existe un permiso que permite a los propios RAOs validar los dominios solicitados.

Alta del dominio *.prueba.es

Según se indica en el manual de SCM, para que se permita la emisión de certificados para un dominio, por ejemplo prueba.es, es necesario que se añada también el dominio *.prueba.es. Al añadirse se permite la emisión de certificados para cualquier nombre bajo prueba.es.

Si no se realiza el alta doble, del dominio y *.dominio, no se permitirá la emisión de certificados y se obtendrá un mensaje similar al siguiente:

Delegación del dominio

Una vez el dominio ha sido dado de alta por el RAO, debe ser delegado a la organización/departamento correspondiente.

Para ello un administrador RAO va a Settings -> Domains -> Delegations y selecciona el dominio para el que desea aprobar a delegación. En ese momento aparecen tres botones adicionales a la derecha del botón + Add, llamados Delete, View y Delegate

Tras seleccionar Delegate aparecerá una ventana que permitirá delegar el dominio a la organización/departamento para cada grupo de perfiles de certificado (SSL, Client Certificate y Code Signing).

Validación DCV del dominio

Después de que el administrador RAO aprueba el dominio, la organización, mediante uno de sus RAOs, debe activar la validación DCV para que Sectigo compruebe que el dominio pertenece a la organización y pueda emitir posteriormente certificados.

NOTAs:

  • Asegúrese de no tener registros CAA en su zona DNS que prohiban a Sectigo emitir certificados para su dominio. Si ese es el caso, la validación del dominio fallará. Es posible no tener registros CAA, pero si se usa se deberá incorporar a "sectigo.com".
  • La versión "*" del dominio, aunque ha tenido que ser dada de alta, no necesita validación DCV ya que será validada cuando se valide el dominio.

Para activar la validación DCV un administrador RAO debe ir a Settings -> Domains -> DCV.

seleccionar el dominio prueba.es a validar y pulsar sobre el nuevo botón DCV que aparecerá a la derecha del botón de recarga

De la lista de métodos ofrecicos debe seleccionar el método de validación DCV a utilizar:

    DCV/Email

    Si selecciona este método DCV para la validación del dominio "prueba.es", deberá seleccionar una de las siguientes direcciones de correo "admin@prueba.es", "administrador@prueba.es", "hostmaster@prueba.es", "postmaster@prueba.es" o "webmaster@prueba.es" para recibir el correo que Sectigo enviará desde no_reply_support@trust-provider.com con un código de validación que deberá introducir en una página web de validación.

    DCV/CNAME

    Hay que incorporar la cadena propuesta al registro correspondiente en el DNS, verificar que se ha propagado correctamente, y luego pulsar Submit. Los chequeos se realizan justo después de dar al botón Submit, a la siguiente hora, y luego de forma periódica cada cierto tiempo.

    Así que hay que verificar que se ha propagado bien el cambio antes de pulsar Submit. Si no se hace así, puede que haya demoras en la validación.

    NOTA: Parece que Sectigo verifica el registro CAA durante la validación DCV/CNAME de los dominios, así que si estamos usando CAA, aunque no se haya solicitado ningún certificado todavía, hay que asegurarse de agregar a Sectigo, junto a DigiCert en los registros CAA.

    Para comprobar que se han propagado bien los valores de los registros CNAME y CAA puede utilizarse dig web interface añadiendo los dominios a comprobar y seleccionando "CAA" y "CNAME" en el desplegable "Type".

    DCV/HTTP/HTTPS

    Sectigo indicará que se coloquen ciertos contenidos en un archivo con un nombre concreto en un servidor web para el dominio a validar.

Eliminación de dominios

El portal SCM no permite la eliminación de dominios que hayan sido dados de alta por error. Solo Sectigo puede borrar un dominio, así que si se comente un error en el alta de un dominio tendréis que abrir un ticket con Sectigo solicitando su eliminación. Debéis informarnos también a tcs(a)rediris.es ya que Sectigo nos pedirá confirmación para proceder al borrado.

Por ello se recomienda tener mucho cuidado a la hora de dar de alta un dominio.

Departamentos

El portal SCM permite la creación de departamentos si la organización necesita gestionar diferentes unidades organizativas.

Creación de departamentos

El procedimiento para el alta de un departamento es el siguiente:

  • Un administrador RAO va a Settings -> Organizations, selecciona la organización bajo la que se va a crear el departamento y pulsa sobre el botón Departments.

  • Aparece una ventana flotante donde hay que pulsar sobre el botón + Add

  • Aparece otra ventana flotante con 4 pestañas.

    • Pestaña General

      Tal y como se indica en la página 395 del manual SCM - Sectigo Certificate Manager Administrator's Guide:

      If the parent organization is already validated by Sectigo, the address details are auto-populated with the parent organizationʹs address. However, you have to name the department.

      Por ello solo tenemos que incorporar el nombre del departamento, ya que el resto de los campos tendrán valores heredados de los de la organización.

    • Pestaña Client Certificate.

      Hay que desactivar las 3 opciones siguientes:

      • Allow Key Recovery by Master Administrators
      • Allow Key Recovery by Organization Administrators
      • Allow Key Recovery by Department Administrators

      Ya que no deseamos que ninguno de los administradores puedan recuperar las claves de los certificados solicitados en la organización. Si no las desactivamos antes de dar el alta del departamento, luego no podremos hacerlo.

Certificados

CAs de TCS

Aquí puede encontrar las CAs del servicio TCS

Certificados SSL

El procedimiento para la solicitud de un certificado SSL es el siguiente:

  • Un administrador RAO/DRAO va a Certificates y selecciona el tipo de perfil deseado. Posteriormente pulsa sobre el botón + Add.

  • Aparece una ventana flotante donde hay que elegir la forma de volcar la CSR:

    Supongamos que elegimos la primera opción Manual creation of CSR

  • Ahora hay que volcar la CSR que previamente habremos generado

  • Revisamos la información sobre la solitud y cambiamos lo que necesitemos, sobre todo el tipo de certificado.

    Nota: Si se desea un certificado Wildcard con varios SANs, se aconseja solicitar un certificado de tipo "GÉANT OV Multi-Domain" con un CN que puede ser wildcard y añadir como SANs los FQDNs o wildcards que se deseen hasta un máximo de 250 valores.

    Por defecto, los datos de la dirección se añaden al certificado. Si deseamos que no se añadan, hay que abrir las opciones avanzadas y deseleecionar todo.

    NOTA: Se ha detectado que si se elimina la inclusión de los datos de la dirección postal en el certificado, el certificado no se emite. Por esta razón, recomendamos no deshabilitar esa opción.

  • Decidimos si queremos la renovación automática antes de la expiración del certificado.

    Y finalmente enviamos la solicitud.

  • Ahora es muy importante que un RAO no se olvide de aprobar o denegar la solicitud.

  • Nota: Si se obtiene el siguiente error es que no hemos dado de alta la versión wildcard del dominio correspondiente.

Certificados EV

Un certificado EV, o de validación extendida, es un certificado que ha sido emitido después de que la CA haya realizado una serie de validaciones adicionales sobre la organización que solicita el certificado.

Para que Sectigo pueda emitir certificados EV es necesario que su departamento de validación realice unas validaciones adicionales a las realizadas durante el proceso de alta de la organización, entre las que destacan la búsqueda de la información de la organización en registros gubernamentales.

En la mayoría de los casos, este proceso suele completarse en un par de días hábiles, pero puedo retrasarse si detectan algún problema con los datos que se suministraron en el alta de la organización en SCM.

En el caso en el que no puedan finalizar la validación, no emitirán el certificado que se haya solicitado, y contactarán con los RAOs para solicitarles que proporcionen la documentación necesaria.

A la hora de soliciar un certificado EV se plantean 2 posibilidades:

Solicitar un "EV Anchor Certificate"

Un EV Anchor Certificate NO es un certificado real que pueda usarse, solo es un mecanismo para ayudar a que el procesamiento de las solicitudes de certificados EV sea más eficiente. Servirá para prevalidar los dominios para futuras solicitudes de certificados EV.

Notas:

  • ¿Cuánto es el mínimo tiempo que se podría tardar en obtener un ancla EV?

    Según Sectigo, todo depende de la rapidez con que ellos encuentren la información, y de la rapidez con la que ellos reciban la documentación que solicitan a la organización. A partir de ahí, es necesario volver a hacer la llamada telefónica de validación y luego se genera el ancla, todo el proceso puede ser tan rápido como 2 horas o tardar 2-3 días, dependiendo de lo que se tarde en el intercambio de toda la información. Y si la organización no reponde a la llamada o no envía la información solicita, puede tardar más.

  • La CSR debe contener solo los campos C y CN, y si desea dominios adicionales, incorporarlos en el campo SubjAltNames.

  • Todos los dominios que requieran de un certificado EV deberán incluirse en esta solicitud de ancla EV. Aún se podrá solicitar un certificado EV para un dominio que no figure en esta solicitud, pero el pedido deberá ser procesado de forma manual por el departamento de validación de Sectigo.

    Por ejemplo si hemos creado el ancla EV para univiris.es podremos emitir todos los certificados EV bajo ese dominio, pero si intentamos solicitar un certificado EV para univiris.com tendremos un problema y Sectigo nos enviará un mensaje del tipo:

    We are unable to issue the recent EV order #111111111.  Because, we can't see the domain name (univiris.es) from Anchor order #000000000.
    #111111111 -  EV SSL ( Domains : a1.univiris.com, b1.a1.univiris.com)
    #000000000 -  EV Anchor ( Domains : univiris.es )
    
    EV Anchor must included all root domains. So please check with your side and let us know.
    

    Y nos veremos obligados a solicitar a Sectigo la baja del ancla EV y, una vez llevada a cabo, solicitar un nuevo ancla EV.

  • Hay que tener en cuenta que todos los nombres solicitados como SANs, deben tener sus dominos en el ancla EV.

  • Aunque se tenga un registro CAA del tipo
    midominio.es. CAA 0 issuewild "sectigo.com"
    puede que se pase la validación, pero posiblemente de un error a la hora de la emisión de un certificado si no se tiene además
    midominio.es. CAA 0 issue "sectigo.com"

  • Solo se puede tener un EV Anchor Certificate por cada organización. Si la organización ya tiene uno, será necesario contactar con el equipo de soporte de Sectigo para que puedan eliminar el ancla actual antes de solicitar la nueva.

Antes de comenzar con la solicitud recomendamos revisar la siguiente información:

Solicitar un certificado "GÉANT EV SSL" o "GÉANT EV Multi-Domain"

Una vez realizada la solicitud, si se dispone de un ancla EV válido, el certificado será emitido sin más comprobaciones.

Si no hay un EV Anchor definino, el departamento de validación de Sectigo comenzará a realizar las validaciones adicionales comentadas en los párrafos iniciales de esta sección.

Aprobar un certificado EV

Según nos ha comentado Sectigo, hay que aplicar la regla de los 4 ojos, es decir, que un certificado EV debe ser aprobado por un administrador distinto al que lo ha solicitado.

Certificados personales (Client Certificates)

NOTAs:

  • Se ha detectado que los certificados emitidos tienen una duración de 1 año, en lugar de poder decidir una duración de 1 a 3 años. El problema ha sido reportado a Sectigo y estamos a la espera de que lo resuelvan.
  • Solo es posible obtener 2 certificados personales del mismo perfil para el mismo usuario. Si se intenta solicitar un tercer certificado personal pueden ocurrir 2 cosas, el certificado más antiguo es revocado o el sistema nos dice que no puede emitir el nuevo certificado si no revocamos previamente otro.

Certificados personales utilizando el portal de autoservicio vía SAML

Sectigo ha desarrollado un portal de autoservicio vía SAML para la gestión de certificados personales.
https://cert-manager.com/customer/rediris/idp/clientgeant.

Para su correcto funcionamiento es necesario que cada organización:

  • Tenga su IdP en eduGAIN
  • Tenga su IdP configurado correctamente para Sectigo. Se aconseja seguir las indicaciones de la sección Configuración SAML.
  • Edite la ficha de su organización en SCM y rellene el campo Academic Code (SCHAC Home Organization) con el mismo valor que su IdP envía para schacHomeOrganization. Normalmente será su dominio principal, pero confirme esto con los administradores de su IdP.

Para que funcione también para los usuarios que necesitan certificados IGTF/Grid, además se debe:

  • Editar la ficha de la organización en SCM, y añadir un valor al campo Secondary Organization Name con el nombre utilizado en los certificados Grid (con los caracteres áéíóúñåäö transcritos correctamente a ASCII si fuese necesario, y con las mismas convenciones en mayúsculas / minúsculas que se utilizó anteriormente con DigiCert). Se pueden verificar los certificados existentes si no se está seguro. Como los DNs de los certificados personales Grid, se pueden utilizar como nombres de usuario en algunos sistemas, es muy importante que todo el DN se mantenga como antes para sus usuarios.

  • Enviar un correo electrónico a tcs(a)rediris.es indicando que desea que validemos ese nombre secundario ya que los RAO/DRAO no pueden realizar este paso.

Revocar Certificados personales

El portal SAML de autoservicio de certificados no permite que los usuarios finales puedan revocar sus certificados. Esta tarea debe realizarla el RAO, y por ello cada organziación debe indicar a sus usuarios que deberán solicitar la revocación a los RAOs en caso de necesidad.

Los RAOs pueden revocar los certificados accediendo al SCM desde Certificates -> Client Certificates, seleccionando a la persona adecuada, haciendo clic en el botón Certificates, seleccionando el certificado correcto, en la ventana que aparecerá a continuación, y haciendo clic en el botón Revoke.

Certificados personales utilizando el portal SCM

NOTA: Esta es una opción a modo de backup. La principal forma de emitir certificados de cliente es a través del portal de autoservicio descrito anteriormente, ya que desde SCM, Sectigo genera la clave privada en sus servidores y no nos parece adecuado. Con eso entendido, así es como pueden emitirse certificados personales utilizando SCM:

  • Como RAO, vaya a Certificates -> Client Certificates y use el botón + Add. Seleccione la organización, departamento y dominio apropiados. Complete la dirección de correo electrónico y los campos Common Name, First Name y Last Name. Deje en blanco el campo Secret ID y Validation Type con el valor Standard.
  • Un vez añadida a la persona, hay que pinchar en ella y pulsar sobre el botón Certificates. En la ventana que aparece, pinche sobre Send invitation para enviar un correo electrónico de invitación al usuario, que contiene una clave que autoriza a ese usuario a crear un certificado de cliente.

    El correo contiene un texto similar a:

    Dear AAAAA,

    You now need to complete the following steps:

    • Click the following link to validate your email
      https://cert-manager.com/customer/RedIRIS/invitegeant?code=BBBBB (if the link doesn't work please copy request code BBBBB and paste it into proper field in the validation form).
      Your request code: BBBBB
    • Type in a PIN to protect your email certificate
    • Click 'Download' to collect your certificate. You should save this file to a safe place on your hard drive.
    • Import your new certificate into your email client and/or internet browser. (Please contact your administrator for help with this/Please click the following link for instructions)

    pero el enlace https://cert-manager.com/customer/rediris/invitegeant?code=BBBBB es incorrecto. En su lugar hay que utilizar https://cert-manager.com/customer/rediris/smime?action=invite&requestCode=BBBBB&email=CCCCC donde el correo CCCCC debe ser codificado utilizando %2e en lugar del punto y %40 en lugar de la arroba.

    Por ejemplo la dirección de correo nombre.apellido@dominio.es quedaría codificada así: nombre%2eapellido%40dominio%2ees.

  • El usuario deberá proporcionar una contraseña (que se usará para cifrar el archivo PKCS#12 generado) y una frase de contraseña (que se puede usar para revocar el certificado sin la ayuda del RAO), así como aceptar una licencia.
  • El usuario recibirá un archivo PKCS#12 que contiene la clave, el certificado y la cadena, listos para importar en navegadores web, etc.

Cosas a tener en cuenta

  • Ya hemos comentado que la clave siempre se genera en el lado del servidor cuando se utiliza este método. No hay opción de cargar una CSR para seguir usando una clave generada en el lado del cliente. Esto puede no ser aceptable para los usuarios debido a la política (no se permite tener la clave generada en el lado del servidor) o razones técnicas (clave no exportable desde el dispositivo de hardware). Por ello recomendamos utilizar el portal SAML, ya que podrá cargar una CSR.
  • Existe la opción de habilitar un AccessCode, que es un secreto compartido entre los RAOs y todos los usuarios, que les permite obtener un certificado de cliente siempre que tengan acceso a su correo electrónico. Pero recomendamos que no se use eso.
  • También existe la posibilidad de ingresar un SecretID por usuario, para permitirles obtener un certificado de cliente ingresándolo junto con su dirección de correo electrónico. Para certificados de clientes ocasionales, no vemos la ventaja de esto en comparación con el método de invitación anterior, y para la emisión masiva es preferible la utilización del portal de autoservicio a través de SAML.

Certificados personales utilizando la API REST

Haciendo uso de la API REST se puede enviar la CSR y así tener nosotros el control de las claves privadas.

Certificados de firma de código

Para soliciar un certificado de firma de código se puede utilizar la API o hacerlo desde SCM. En este último caso, hay que acceder a Certificates -> Code Signing Certificates y pulsar el botón + Add. Aparecerá una nueva ventana donde hay que seleccionar el dominio para el que se va a solicitar el certificado y rellenar los campos Email Address y Full Name. Si se desea que el certificado contenga un email de contacto hay que rellenar también el campo Contact email.

Acto seguido se recibe un email de la dirección support@cert-manager.com con un contenido similar a :

Dear AAAAA <BBBB@BBBBBBB.BB>,

You now need to complete the following steps:

  • Click the following link to validate your email https://cert-manager.com/customer/RedIRIS/cs?action=invite&requestCode=-XXXXXXXXX-XXX-XXXXXXXXXX&email=BBBB%R40BBBBBB%2eBB (if link doesn't work please copy request code -XXXXXXXXX-XXX-XXXXXXXXXX and past it proper field in validate form).
    Your request code: -XXXXXXXXX-XXX-XXXXXXXXXX
  • Generate Certificate request

Al acceder a dicha página se nos indica When you click the button below, your browser will generate a new private key, pero dado que ya casi ningún navegador soporta el tag <keygen>, ya que ha sido eliminado de la especificación de W3C, puede que no podamos continuar correctamente y obtengamos el mensaje: Certificate request data is empty!

Por ahora las únicas formas son utilizar la API, y la anterior, hay que intentar buscar un navegador que soporte el tag <keygen>. Por ejemplo firefox-68.6.0esr, ya que a partir de la versión 69 no permite la generación de claves. Enlazamos desde aquí a la página de la FNMT donde indican ¿cómo instalar mozilla firefox 68 si tengo instalada la versión 69 o superior?.

Estamos esperando a tener más información sobre si se podrá solicitar un certificado de firma de código como se hacía en DigiCert, es decir, pidiendo que te envíe un token o si permitirán que se pueda subir una CSR al portal. Cuando tengamos más información la publicaremos.

Solicitar un "EV Code Signing Certificate"

Según aparece en el wiki de GÉANT:

Certificados de firma de documentos

GÉANT ha publicado el día 13/05/2020 en su wiki:

Q: Are Document Signing Certificates available via Sectigo?

It is currently possible to order Document Signing Certificates on a preconfigured USB token from Sectigo. The token needs to be purchased from Sectigo directly through their retail site (not SCM): https://store.sectigo.com/cart.php?a=confproduct&i=1 Only NREN MRAOs can create accounts on this site and order document signing certificates for their members. Sectigo does not have a list of your member organisations and therefore they do not know who is eligible for the TCS service. The token costs 120 USD (discounted price for TCS members only). More information on this process in this GUIDE.

Estamos a la espera de recibir información para ver cómo gestionar este tipo de solicitudes.

Notas sobre algunos tipos de certificados

Uso de OV vs Multi-domain OV

En el Wiki de GÉANT podemos ver esta recomendación:

When a TCS member orders a GÉANT OV SSL certificate in Cert Manager for a name, such as mail.sample.example.org, in the Subject Alternative Names, they get a correct entry for DNS:mail.sample.example.org but they also get DNS:www.mail.sample.example.org. I have confirmed this by looking at issued certificates in our SCM instance. We recommend ordering GÉANT OV Multi-Domain for the time being instead of GÉANT OV SSL. This issue has been raised with the supplier.

Perfil "GÉANT IGTF Multi Domain"

Se han detectado problemas para el perfil Grid "GÉANT IGTF Multi Domain", que hacen que su utilización sea no recomendable hasta que Sectigo lo solucione.

GÉANT IGTF Multi Domain (grid host certs) have profile issues, but are for now marginally functional. They include superfluous subject DN attributes (postalCode, streetAddress, stateOrPrivinceName) that may cause issues with some software since their representation or demarcation is not unique. Similarly: do NOT use these host certificate to authenticate (VOMS) attribute authorities, since their full subject name is non-conformant and the full subject name is used to identify attributes authorities. My hope is that at some point in time this gets fixed.

Servicio de notificaciones

Sectigo no suele enviar correos automáticos avisando de los diferentos eventos que pueden ocurrir en el portal. Pero dispone de una opción de notificaciones que un RAO/DRAO puede configurar para recibir los avisos que deseemos, accediendo a Settings -> Notifications- -> + Add.

Por ejemplo si deseamos que nos avise cada vez que se emite un certificado podemos añadir una notificación de tipo Certificate is ready for manual installation:

Configuración SAML

Atributos requeridos

Los siguientes atributos (univaluados) deben ser enviados:

AtributoURNComentario
eduPersonPrincipalNameurn:oid:1.3.6.1.4.1.5923.1.1.1.6 
givenNameurn:oid:2.5.4.42 
snurn:oid:2.5.4.4 
displayNameurn:oid:2.16.840.1.113730.3.1.241 
eduPersonEntitlementurn:oid:1.3.6.1.4.1.5923.1.1.1.7urn:mace:terena.org:tcs:personal-user
Este valor da derecho a la solicitud de certificados personales. Por eso solo debe liberarse para aquellos usuarios que cumplan con los requisitos para solicitarlos.
mailurn:oid:0.9.2342.19200300.100.1.3 
schacHomeOrganizationurn:oid:1.3.6.1.4.1.25178.1.2.9 

Test para comprobación de la correcta configuración del IdP

Una vez que los administradores del IdP han configurado correctamente la emisión de los atributos necesarios, se recomienda probar que todo está correcto desde https://cert-manager.com/customer/rediris/ssocheck.

En esta prueba, solo se requiere "eduPersonPrincipalName" y "mail", pero para los certificados personales, "givenName", "sn", "displayName", "schacHomeOrganization" y "eduPersonEntitlement" (no se muestra en la prueba en este momento).

Más información