1. Communautes Services
  2. Tous Les Services
  3. Trust Security
  4. Digital Certificate
  5. Digital Certificates Service - Technical FAQ

Digital Certificates Service - Technical FAQ

Ajouter une question
Enterprise Admin Guide
Enterprise Approver Guide

Dernière mise à jour 21/01/2025

Onboarding:

Quelles informations sont nécessaires pour l'intégration ? 
Quand notre organisation sera-t-elle intégrée ?
 

Gestionnaire de certificats Harica :

Comment puis-je me connecter au gestionnaire de certificats Harica ?
Comment puis-je obtenir le rôle d'administrateur et d'approbateur ?
Puis-je recevoir des notifications ?
Quel est l'enregistrement DNS CAA à utiliser pour Harica ?
Comment effectuer une validation de contrôle de domaine pour tous les domaines (racines) ?
Puis-je supprimer des domaines liés à mon Entreprise ?
Où puis-je trouver plus d'informations techniques concernant l'interface ?
Lors de la modification du rôle et/ou des groupes de validateurs sur la page Account Info, les nouvelles valeurs ne sont pas affichées après l'enregistrement
Pourquoi la demande de certificat reste-t-elle en attente ?

Fonctionnalités:

Comment utiliser ACME ?
Peut-on utiliser un API ?
Support SAML
 

Les certificats :

Quels sont les certificats disponibles chez Harica ?
Quelles sont les sous-catégories de certificats SSL ?
Puis-je demander des certificats OV ?
Pouvons-nous toujours disposer de l’équivalent des Grid Certificates avec Harica ?
Puis-je demander pour la création d'un certificat personel/Client?
Les certificats de type EV sont-ils disponibles ?
Les Document Signing Certificates sont-il disponibles via Harica ?
Les certificats de type Code Signing sont-ils disponibles ?
Le certificat de mon serveur n'a pas été délivré par une autorité de certification (CA) connue. Ai-je oublié quelque chose ?
 

Informations génériques sur les certificats:

Qu'est-ce qu'un PKI ? 
Qu'est-ce qu'un CSR ?
Les chaînes codées en Unicode ou en ASCII sont-elles valables dans le CSR ?
Qu'en est-il de la longueur de clé ?
Qu'est-ce qu'un fichier PKCS-12 ?
Que sont les SHA-1, SHA-2, SHA-256, SHA-384, etc. ?

 

Quelles informations sont nécessaires pour l'intégration ?

Pour intégrer votre organisation, nous avons besoin de certains détails :

  • Nom légal de votre organisation (tel qu'inscrit à la Banque-Carrefour des Entreprises)
  • Numéro d'entreprise
  • Adresse e-mail de notification
  • Domaine principal, de préférence utilisé pour votre e-mail

 

Quand notre organisation sera-t-elle intégrée ?

Nous commencerons l'intégration des organisations à partir du 14 janvier 2025.

Voici les étapes du processus d'intégration :

  • Belnet ajoutera les informations de votre organisation dans le gestionnaire de certificats Harica
  • Harica effectuera les vérifications de base et activera votre organisation (sans validation d'organisation !)
  • Vos administrateurs pourront s'inscrire pour un nouveau compte via https://cm.harica.gr (voir ci-dessous)
  • Lorsque l'e-mail correspondra au domaine principal fourni, vous serez lié à votre organisation
  • Si vous n'êtes pas lié à votre organisation après la connexion, informez-nous pour que nous puissions le faire manuellement
  • Le premier utilisateur de votre organisation doit demander le rôle d'administrateur d'entreprise à Belnet
  • Une fois que vous avez le rôle d'administrateur d'entreprise, vous pouvez ajouter des domaines et effectuer la validation de domaine
  • Les certificats DV seront alors disponibles pour les domaines validés

Sur demande, Harica effectuera la validation de l'organisation. Une fois terminé, vous pourrez également demander des certificats OV.

Pour en savoir plus, consultez le manuel Enterprise Admin.

 

Comment puis-je me connecter au gestionnaire de certificats Harica ?

  • Allez sur https://cm.harica.gr
  • Lors de la première connexion, vous devez enregistrer votre compte :
    • Cliquer sur 'Sign Up'
    • Indiquer l'adresse email, de préférence du domaine primaire fourni
    • Remplir les champs obligatoires
    • Vérifier vos emails pour confirmer l'enregistrement de votre compte.
  • Connectez-vous au compte que vous venez de créer
  • Activez l'authentification à 2 facteurs
    • En haut à droite, cliquez sur votre nom → Profil
    • Activez ensuite l'option « Authentification à deux facteurs (2FA) »
    • Vous pouvez utiliser votre application TOTP préférée (par exemple Google Authenticator).

  • Si vous utilisez le domaine primaire, vous serez connecté à votre compte d'entreprise.

     

Comment puis-je obtenir le rôle d'administrateur et d'approbateur ?

  • Commencez par activer le 2FA sur votre compte
  • Ensuite, un autre administrateur ou votre organisation ou Belnet pourra vous attribuer le rôle d'administrateur et/ou d'approbateur.

  • Pour en savoir plus, consultez les manuels Enterprise Admin et Enterprise Approver

     

Puis-je recevoir des notifications ?

Actuellement, toutes les notifications (nouvelles demandes prêtes à être approuvées, avertissements d'expiration de certificat, etc.) sont envoyées à l'adresse e-mail fournie. Nous vous recommandons d'utiliser un alias mail afin de pouvoir redistribuer aux utilisateurs concernés.

 

Quel est l'enregistrement DNS CAA à utiliser pour Harica ?

Lorsque vous utilisez des enregistrements DNS CAA pour vos domaines afin de limiter l'émission de certificats par certaines autorités de certification, assurez-vous d'avoir l'enregistrement CAA pour Harica :

yourdomain.be. 3600 IN CAA 0 issue "harica.gr"

Facultatif pour les certificats de type « wildcard » :

yourdomain.be. 3600 IN CAA  0 issuewild "harica.gr"

 

Comment effectuer une validation de contrôle de domaine pour tous les domaines (racines) ?

Avant de pouvoir demander un certificat pour un domaine, vous devez ajouter le domaine à votre organisation, puis procéder à la validation du domaine (DCV).
Un administrateur d'entreprise peut effectuer la validation de domaine (DCV) via le menu Entreprise → Admin.
 

Pour plus d'informations, consultez le manuel Enterprise Admin

 

Puis-je supprimer des domaines liés à mon Entreprise ?

La suppression de domaines liés à votre Entreprise n’est pas possible dans le portail Harica; ce même si vous disposer du rôle Enterprise Admin. Pour supprimer des domaines, veuillez créer un ticket au servicedesk de Belnet. Nous transmettrons la requête à Harica.

 

Où puis-je trouver plus d'informations techniques concernant l'interface ?

Vous trouverez toutes les informations nécessaires sur: https://guides.harica.gr/

 

Lors de la modification du rôle et/ou des groupes de validateurs sur la page Account Info, les nouvelles valeurs ne sont pas affichées après l'enregistrement

Lorsque vous avez modifié Account Info d'un Enterprise Admin/Approver, vous avez pu constater que les modifications apportées ne s'affichaient pas. 

Pour que les informations s'affichent correctement, il faut quitter le volet Users, naviguer vers autre chose et revenir pour vérifier à nouveau les paramètres Account Info. Les informations devraient maintenant s'afficher correctement.

 

Pourquoi la demande de certificat reste-t-elle en attente ?

Chaque demande de certificat doit toujours être approuvée par un autre approbateur. Vous ne pouvez donc pas approuver vous-même votre propre demande. 

Par conséquent, chaque organisation a besoin d'au moins deux approbateurs.

 

Comment utiliser ACME ?

Harica offre actuellement un support ACME limité : 

  • Certificats DV uniquement 
  • N'utilise pas la pré-validation de vos domaines, la validation est donc requise à chaque demande, via HTTP-01 ou DNS-01 challenge. 
  • EAB (External Account Binding) requis, mais seulement 1 compte sans paramètres. 

Harica prévoit une extension du support ACME, probablement en mars 2025. 

Veuillez ouvrir un ticket via notre ServiceDesk pour demander des détails sur l'ACME. 

Voici un exemple d'utilisation de l'ACME via certbot (sous Linux) : 

  • Tout d'abord, enregistrez le compte sur le serveur

certbot register --email <your_email_address> --agree-tos --server https://acme.harica.gr/TCS-DV/directory --eab-kid  <your_eab_kid> --eab-hmac-key <your_hmac>

  • Ensuite, à chaque appel de certbot, utilisez '--server ...', par exemple pour demander un nouveau certificat :

certbot certonly --apache --server https://acme.harica.gr/TCS-DV/directory -d test.belnet.be,newtest.belnet.be

 

 

Peut-on utiliser un API ?

Seul l’API de base est actuellement disponible : https://developer.harica.gr/

La fonction API Enterprise Admin sera disponible dans le futur.

 

Support SAML

Les organisations qui sont également des fournisseurs d'identité dans eduGAIN doivent publier les attributs suivants :

  • givenName
  • sn
  • email
  • edupersonTargetedID

et peuvent aussi publier :

  • eduPersonPrimaryAffiliation
  • eduPersonPrincipalName (requis par GEANT pour les GRID Client Authentication Certificates)
  • eduPersonEntitlement (values TBD)

aux EntityIDs suivants de HARICA:

Problèmes connus :

  • Les valeurs multiples dans l'attribut mail ne sont actuellement pas prises en charge.

 

Quels sont les certificats disponibles chez Harica ?

  • SSL Certificates
  • S/Mime (Client) Certificates

 

Quelles sont les sous-catégories de certificats SSL ?

  • DV SSL
  • OV SSL (Après validation de l'organisation par Harica)

 

Puis-je demander des certificats OV ?

Dans un premier temps, seuls les certificats DV (Domain Validated) seront disponibles. 

Les certificats OV ne pourront être demandés que lorsque votre organisation aura été validée par Harica. Cette validation ne devrait pas intervenir avant la fin du mois de janvier (2025). 

Belnet fournit les « preuves » OV à Harica. Vous ne devez donc plus les télécharger vous-même en tant qu'Enterprise Admin.

 

Pouvons-nous toujours disposer de l’équivalent des Grid Certificates avec Harica ?

Plus d'information à suivre.

 

Puis-je demander pour la création d'un certificat personel/Client?

Plus d'information à suivre.

 

Les certificats de type EV sont-ils disponibles ?

Les certificats de type EV ne sont pas inclus.

 

Les Document Signing Certificates sont-il disponibles via Harica ?

Plus d'information à suivre.

 

Les certificats de type Code Signing sont-ils disponibles ?

Les certificats de type Code Signing ne sont pas inclus.

 

Le certificat de mon serveur n'a pas été délivré par une autorité de certification (CA) connue. Ai-je oublié quelque chose ?

Vous avez probablement oublié de télécharger et d'installer le fichier keychain de confiance en même temps que votre certificat sur votre serveur web.

Harica utilise deux certificats racine récents : « HARICA TLS RSA Root CA 2021 » et « HARICA TLS ECC Root CA 2021 ». Ces certificats sont inclus dans le Trust-store des logiciels récents.
Mais pour assurer la compatibilité avec les clients plus anciens, il existe également des versions de ces certificats racine qui sont contresignés par un certificat racine plus ancien, par exemple « Hellenic Academic and Research Institutions ECC RootCA 2015 ».
Lors du téléchargement de votre certificat, vous pouvez choisir le PEM Bundle, qui contient également le RootCA 2015.
Vous pouvez également rechercher et télécharger vous-même les certificats d'autorité de certification nécessaires à l'adresse https://repo.harica.gr/rep_dyn.php. 

 

Qu'est-ce qu'un PKI ?

Une PKI (Public Key Infrastructure) est un déploiement opérationnel d'un système cryptographique à clés publiques, utilisant des certificats, des AC, des AE, etc. Son but est de permettre à différentes parties de vérifier l'identité numérique des personnes ou des serveurs. Bien qu'elle ne soit pas obligatoire, la PKI utilise des certificats comme éléments constitutifs de base.

 

Qu'est-ce qu'un CSR ?

Le CSR (Certificate Signing Request) est un document contenant toutes les données qui doivent être signées pour qu'un certificat (clé publique et identité) soit délivré par une autorité de certification.

Vous générez le CSR de préférence sur votre serveur. Mais si nécessaire, vous pouvez également utiliser l'outil en ligne de Harica : https://www.harica.gr/en/Tools/KeyGeneration

 

Les chaînes codées en Unicode ou en ASCII sont-elles valables dans le CSR ?

Oui, les deux sont valables.

 

Qu'en est-il de la longueur de clé ?

Nous recommandons un minimum de 2048 bits pour la longueur de la clé.

 

Qu'est-ce qu'un fichier PKCS-12 ?

Il s'agit d'un format de fichier permettant de gérer les certificats dans leur ensemble (y compris les clés publiques et privées) et autorisant le transport des certificats d'une machine à l'autre, par exemple. Ces fichiers sont en général encryptés à l'aide d'un code PIN.

 

Que sont les SHA-1, SHA-2, SHA-256, SHA-384, etc. ?

SHA signifie algorithme de hachage sécurisé (Secure Hash Algorithm). Il y plusieurs versions de l'algorithme : actuellement SHA-1, SHA-2 et SHA-3. Tous sont des algorithmes qui calculent un hachage d'un message d'une certaine longueur en termes de nombre de bits utilisés :

  • Le hachage SHA-1 a une longueur de 160 bits.
  • En ce qui concerne SHA-2, les longueurs sont de 224, 256, 384 et 512 bits (et les noms associés sont donc SHA-256, SHA-384, etc.)
  • SHA-3 est la future nouvelle norme NIST qui remplacera SHA-2, mais bien que connue et documentée, elle n'a pas encore été publiée comme norme et n'est donc pas considérée comme un algorithme à utiliser dans les environnements de production.
Did you find this FAQ useful?
Copyright © 2025 Belnet.