Digital Certificates Service - Technical FAQ

Dernière mise à jour 09/01/2025

Onboarding:

Quelles informations sont nécessaires pour l'intégration ?
Quand notre organisation sera-t-elle intégrée ?

Gestionnaire de certificats Harica :

Comment puis-je me connecter au gestionnaire de certificats Harica ?
Comment puis-je obtenir le rôle d'administrateur et d'approbateur ?
Puis-je recevoir des notifications ?
Quel est l'enregistrement DNS CAA à utiliser pour Harica ?
Comment effectuer une validation de contrôle de domaine pour tous les domaines (racines) ?
Où puis-je trouver plus d'informations techniques concernant l'interface ?

Fonctionnalités:

Y aura-t-il un support ACME ?
Peut-on utiliser un API ?
Support SAML

Les certificats :

Quels sont les certificats disponibles chez Harica ?
Quelles sont les sous-catégories de certificats SSL ?
Pouvons-nous toujours disposer de l’équivalent des Grid Certificates avec Harica ?
Puis-je demander pour la création d'un certificat personel/Client?
Les certificats de type EV sont-ils disponibles ?
Les Document Signing Certificates sont-il disponibles via Harica ?
Les certificats de type Code Signing sont-ils disponibles ?
Le certificat de mon serveur n'a pas été délivré par une autorité de certification (CA) connue. Ai-je oublié quelque chose ?

Informations génériques sur les certificats:

Qu'est-ce qu'un PKI ?
Qu'est-ce qu'un CSR ?
Les chaînes codées en Unicode ou en ASCII sont-elles valables dans le CSR ?
Qu'en est-il de la longueur de clé ?
Qu'est-ce qu'un fichier PKCS-12 ?
Que sont les SHA-1, SHA-2, SHA-256, SHA-384, etc. ?

Quelles informations sont nécessaires pour l'intégration ?

Pour intégrer votre organisation, nous avons besoin de certains détails :

Nom légal de votre organisation (tel qu'inscrit à la Banque-Carrefour des Entreprises)
Numéro d'entreprise
Adresse e-mail de notification
Domaine principal, de préférence utilisé pour votre e-mail

Quand notre organisation sera-t-elle intégrée ?

Nous commencerons l'intégration des organisations à partir du 14 janvier 2025.

Voici les étapes du processus d'intégration :

Belnet ajoutera les informations de votre organisation dans le gestionnaire de certificats Harica
Harica effectuera les vérifications de base et activera votre organisation (sans validation d'organisation !)
Vos administrateurs pourront s'inscrire pour un nouveau compte via https://cm.harica.gr (voir ci-dessous)
Lorsque l'e-mail correspondra au domaine principal fourni, vous serez lié à votre organisation
Si vous n'êtes pas lié à votre organisation après la connexion, informez-nous pour que nous puissions le faire manuellement
Le premier utilisateur de votre organisation doit demander le rôle d'administrateur d'entreprise à Belnet
Une fois que vous avez le rôle d'administrateur d'entreprise, vous pouvez ajouter des domaines et effectuer la validation de domaine
Les certificats DV seront alors disponibles pour les domaines validés

Sur demande, Harica effectuera la validation de l'organisation. Une fois terminé, vous pourrez également demander des certificats OV.

Pour en savoir plus, consultez le manuel Enterprise Admin.

Comment puis-je me connecter au gestionnaire de certificats Harica ?

Allez sur https://cm.harica.gr
Lors de la première connexion, vous devez enregistrer votre compte :
- Cliquer sur 'Sign Up'
- Indiquer l'adresse email, de préférence du domaine primaire fourni
- Remplir les champs obligatoires
- Vérifier vos emails pour confirmer l'enregistrement de votre compte.
Connectez-vous au compte que vous venez de créer
Activez l'authentification à 2 facteurs
- En haut à droite, cliquez sur votre nom → Profil
- Activez ensuite l'option « Authentification à deux facteurs (2FA) »
- Vous pouvez utiliser votre application TOTP préférée (par exemple Google Authenticator).
Si vous utilisez le domaine primaire, vous serez connecté à votre compte d'entreprise.

Comment puis-je obtenir le rôle d'administrateur et d'approbateur ?
- Commencez par activer le 2FA sur votre compte
- Ensuite, un autre administrateur ou votre organisation ou Belnet pourra vous attribuer le rôle d'administrateur et/ou d'approbateur.
Pour en savoir plus, consultez les manuels Enterprise Admin et Enterprise Approver.
Puis-je recevoir des notifications ?
Actuellement, toutes les notifications (nouvelles demandes prêtes à être approuvées, avertissements d'expiration de certificat, etc.) sont envoyées à l'adresse e-mail fournie. Nous vous recommandons d'utiliser un alias mail afin de pouvoir redistribuer aux utilisateurs concernés.

Quel est l'enregistrement DNS CAA à utiliser pour Harica ?
Lorsque vous utilisez des enregistrements DNS CAA pour vos domaines afin de limiter l'émission de certificats par certaines autorités de certification, assurez-vous d'avoir l'enregistrement CAA pour Harica :
yourdomain.be. 3600 IN CAA 0 issue "harica.gr"

Comment effectuer une validation de contrôle de domaine pour tous les domaines (racines) ?
Info pas encore disponible

Où puis-je trouver plus d'informations techniques concernant l'interface ?
Vous trouverez toutes les informations nécessaires sur: https://guides.harica.gr/

Y aura-t-il un support ACME ?
Plus d'information à suivre.

Peut-on utiliser un API ?
Seul l’API de base est actuellement disponible : https://developer.harica.gr/
La fonction API Enterprise Admin sera disponible dans le futur.

Support SAML
Les organisations qui sont également des fournisseurs d'identité dans eduGAIN doivent publier les attributs suivants :
givenName
sn
email
edupersonTargetedID

et peuvent aussi publier :

eduPersonPrimaryAffiliation
eduPersonPrincipalName (requis par GEANT pour les GRID Client Authentication Certificates)
eduPersonEntitlement (values TBD)

aux EntityIDs suivants de HARICA:

PRODUCTION
- “https://www.harica.gr/simplesamlphp/module.php/saml/sp/metadata.php/pki-grnet-sp”
STAGING:
- “https://cm-stg.harica.gr/simplesamlphp/module.php/saml/sp/metadata.php/harica-cm-stg-sp”
DEV:
- “https://cm-dev.harica.gr/saml/module.php/saml/sp/metadata.php/harica-cm-dev-sp”.

Problèmes connus :

Les valeurs multiples dans l'attribut mail ne sont actuellement pas prises en charge.

Quels sont les certificats disponibles chez Harica ?
- SSL Certificates
- S/Mime (Client) Certificates
Quelles sont les sous-catégories de certificats SSL ?
- DV SSL
- OV SSL
Pouvons-nous toujours disposer de l’équivalent des Grid Certificates avec Harica ?
Plus d'information à suivre.

Puis-je demander pour la création d'un certificat personel/Client?
Plus d'information à suivre.

Les certificats de type EV sont-ils disponibles ?
Les certificats de type EV ne sont pas inclus.

Les Document Signing Certificates sont-il disponibles via Harica ?
Plus d'information à suivre.

Les certificats de type Code Signing sont-ils disponibles ?
Plus d’information à suivre.

Le certificat de mon serveur n'a pas été délivré par une autorité de certification (CA) connue. Ai-je oublié quelque chose ?
Vous avez probablement oublié de télécharger et d'installer le fichier keychain de confiance en même temps que votre certificat sur votre serveur web.

Qu'est-ce qu'un PKI ?
Une PKI (Public Key Infrastructure) est un déploiement opérationnel d'un système cryptographique à clés publiques, utilisant des certificats, des AC, des AE, etc. Son but est de permettre à différentes parties de vérifier l'identité numérique des personnes ou des serveurs. Bien qu'elle ne soit pas obligatoire, la PKI utilise des certificats comme éléments constitutifs de base.

Qu'est-ce qu'un CSR ?
Le CSR (Certificate Signing Request) est un document contenant toutes les données qui doivent être signées pour qu'un certificat (clé publique et identité) soit délivré par une autorité de certification.

Les chaînes codées en Unicode ou en ASCII sont-elles valables dans le CSR ?
Oui, les deux sont valables.

Qu'en est-il de la longueur de clé ?
Nous recommandons un minimum de 2048 bits pour la longueur de la clé.

Qu'est-ce qu'un fichier PKCS-12 ?
Il s'agit d'un format de fichier permettant de gérer les certificats dans leur ensemble (y compris les clés publiques et privées) et autorisant le transport des certificats d'une machine à l'autre, par exemple. Ces fichiers sont en général encryptés à l'aide d'un code PIN.

Que sont les SHA-1, SHA-2, SHA-256, SHA-384, etc. ?
SHA signifie algorithme de hachage sécurisé (Secure Hash Algorithm). Il y plusieurs versions de l'algorithme : actuellement SHA-1, SHA-2 et SHA-3. Tous sont des algorithmes qui calculent un hachage d'un message d'une certaine longueur en termes de nombre de bits utilisés :
- Le hachage SHA-1 a une longueur de 160 bits.
- En ce qui concerne SHA-2, les longueurs sont de 224, 256, 384 et 512 bits (et les noms associés sont donc SHA-256, SHA-384, etc.)
- SHA-3 est la future nouvelle norme NIST qui remplacera SHA-2, mais bien que connue et documentée, elle n'a pas encore été publiée comme norme et n'est donc pas considérée comme un algorithme à utiliser dans les environnements de production.

Did you find this FAQ useful?

Votre avis est important pour nous. Pourriez-vous nous expliquer ce qu'il faudrait améliorer pour rendre les FAQ plus utiles ou plus claires?

Service concerné

CAPTCHA

Quel code est dissimulé dans l'image ?

Saisir les caractères affichés dans l'image.

Cette question sert à vérifier si vous êtes un visiteur humain ou non afin d'éviter les soumissions de pourriel (spam) automatisées.