TCS

TCS-g4: Guía para administradores de SCM

SCM - Sectigo Certificate Manager

La presente guía está indicada solo para los usuarios con los roles RAO/DRAO de alta en el portal SCM de Sectigo.

Si eres un usuario de la comunidad RedIRIS pero no tienens cuenta de administración en SCM deberás contactar con tu institución para que te indiquen cómo solicitar certificados.

Tabla de contenido

Instancia de SCM para RedIRIS

RedIRIS, al igual que el resto de NRENs que participan en TCS, dispone de una instancia del portal Sectigo Certiticate Manager en
https://cert-manager.com/customer/rediris.

Para acceder al portal SCM, debe configurar la organización y las cuentas de los usuarios adminitradores (RAO/DRAO).

Ayuda

Estado del servicio

Antes de consultar con RedIRIS o de abrir un ticket a Sectigo, es conveniente consultar la página de Sectigo donde se muestra el estado del servicio.

Se recomienda la suscripción al servicio de avisos para estar informado, con anterioridad, de las posibles incidencias en el servicio.

Ayuda de RedIRIS

RedIRIS dispone de un servicio de coordinación basado en una lista de distribución tcs-user(a)listserv.rediris.es y de un sistema de gestión de incidencias donde podrá abrir un ticket escribiendo a tcs(a)rediris.es después de asegurarse de que este documento no contenga la respuesta a su pregunta o una solución a su problema.

Se recomienda no escribir directamente a las direcciones de las personas que gestionan el servicio y utilizar, en su lugar, el gestor de incidencias.

Ayuda del equipo de soporte de Sectigo

Puede contactar con el equipo de soporte de Sectigo utilizando https://sectigo.com/support-ticket indicando la pregunta o problema. Pero solo debe hacerlo si se indica en este documento o a petición del equipo de TCS de RedIRIS.

Documentación de Sectigo

La documentación de Sectigo puede encontrarse en https://support.sectigo.com/Com_KnowledgeProductPage?c=Sectigo_Certificate_Manager_SCM.

Roles en SCM

En el portal SCM los usuarios pueden ser de 3 tipos:

Role Descripción
MRAO (Master Registration Authority Officer) Administrador de la NREN
RAO (Registration Authority Officer) Administración de una organización
DRAO (Department Registration Authority) Administrador de un departamento

Los administradores RAO y DRAO serán dados de alta de forma automática, todas las noches, a la lista de coordinación del servicio tcs-user(a)listserv.rediris.es.

Dado que la dirección de correo se extrae de los registros de SCM, si alguien desea cambiar la dirección de correo con la que está suscrita a la lista tcs-user deberá cambiar dicho valor en SCM. Y para darse de baja de la lista hay que dejar de tener cuenta en SCM.

Si alguna institución desea añadir a una persona que no tiene cuenta en SCM a la lista, su PER puede enviarnos un correo a tcs(a)rediris.es solicitando el alta en la lista y el motivo por el que no se le da de alta en SCM.

Organizaciones

Alta de una organización

El alta de una organización en el portal SCM es realizada por el personal de RedIRIS.

NOTA: El departamento de validación de Sectigo debe verificar, en directorios públicos, que la siguiente información es la misma que aparece en esos directorios:

  • Nombre de la institución
  • Datos postales
  • Teléfono

Por ello, es muy recomendable que antes de enviarnos esos datos, se verifiquen que se encuentran disponibles en los portales que Sectigo utiliza para realizar sus verificaciones. Se recomienda también que nos envíe las URLs de las fichas de esos directorios donde aparecen los datos, para facilitarnos el envío a Sectigo cuando nos lo soliciten.

En caso de no encontrar la organización en ninguno de los directorios, o de encontrar alguna diferencia en ellos, se recomienda tomar las medidas oportunar para dar de alta o actualizar los datos de la organización, y así evitar que Sectigo tenga problemas a la hora de realizar la validación. Mientras Sectigo no finalice la validación no se podrán solicitar certificados.

Secondary Organization Name

En la ficha de la organización aparece un campo llamado Secondary Organization Name que solo es utilizado para los certificados de tipo IGTF/Grid. Si no van a ser necesarios no será necesario su introducción y su posterior validación.

EV Details

Sectigo requiere que la pestaña Settings -> Organizations -> (selección de la organización) -> Edit -> EV Details esté correctamente rellena para todas las organzaciones que vayan a solicitar certificados EV.

Según nos ha indicado GÉANT el 24/06/2020:

The following details are required in the EV details:

  • Incorporation or Registration Agency section fields
  • Country of Incorporation
  • and Business Category (usually Private Organization or Government Entity).
  • You must also enter at least one of fields Registration Number or the Date of Incorporation.

This can be done by the MRAO or the RAO can send it a support ticket to Sectigo and ask for the information to be filled.

Van a realizar una guía sobre los detalles del ancla EV y la pondrán a nuestra disposición en cuanto la tengan.

Mientras tanto, enviad todos los datos de la pestaña EV Details a tcs(a)rediris.es para que nosotros los incorporemos.

Revalidación de organizaciones para la emisión de certificados S/MIME después del 28 de agosto de 2023

Debido a ligeras diferencias en los requisitos de la industria, el conjunto de "fuentes de información auténticas" que Sectigo debe utilizar para la validación de la organización es diferente. Mientras que para la validación SSL se puede utilizar una fuente de información independiente, para S/MIME solo se permiten fuentes de agencias gubernamentales y referencias de datos del Identificador de entidad legal (LEI).

Sectigo tiene que realizar una revalidación de las organizaciones que deseen solicitar certificados S/MIME, y el proceso no se activa automáticamente; debe ser solicitado por un MRAO. Por ello es necesario que la organización que desee solicitar certificados S/MIME abra un ticket con RedIRIS y le indique su CIF.

Más información

Administradores

Alta de un administrador (RAO/DRAO)

El alta de un administrador de una organización en SCM (RAO, Registration Authority Officer) puede realizarse de 2 formas:

Administrador principal (RAO)

El administrador principal es dado de alta por RedIRIS en el momento de dar de alta la organización.

Otros administradores (RAO/DRAO)

Serán dados de alta por el administrador principal o por cualquier otro administrador que haya sido dado de alta posteriormente.

SCM no permite que un RAO asigne todos los permisos a otro RAO. Solo permite asignar Allow SSL details changing y Allow SSL auto approve.

NOTAS:

  • Un RAO solo podrá asignar un privilegio a otro RAO si dispone de dicho privilegio.
  • Si se desea que el nuevo RAO creado por el RAO que creó RedIRIS, tenga otros permisos distintos a Allow SSL details changing y Allow SSL auto approve deberá solicitarlo a tcs(@)rediris.es.

Si no se marca la opción Allow SSL auto approve será posible, por ejemplo, modificar una solicitud de certificado que se ha realizado por 1 año si queríamos haberla hecho por 2. Sin embargo, si se activa la opción Allow SSL auto approve, la única forma de cambiar un fallo, será revocar el certificado y volver a solicitarlo.

Alta de administrador con acceso federado

Para hacer que una cuenta de RAO/DRAO pueda acceder de forma federada al portal SCM, es necesario añadir a su ficha un valor en el campo IdP Person Id, cosa que podemos hacer de 2 formas:

  • Opción 1: Envío de invitación por mail (recomendada)

    Una vez creada la cuenta del RAO/DRAO, se elige la opción Send IdP Invitation. Cuando el administrador entre a través del enlace proporcionado (si la dirección de correo de la autenticación SAML coincide con la dirección de correo en SCM) el campo IdP Person Id se rellenará automáticamente.

  • Opción 2: Modificando el formulario de forma manual

    Para incorporar el identificador, es necesario modificar el campo Identity provider que contiene el valor Disabled, para poner el valor Your Institucion:

    Posteriormente hay que incorporar el valor del atributo eduPersonPrincipalName (ePPN), que el IdP vaya a enviar para ese usuario, en el campo IdP Person Id. Se puede utilizar el panel de control de usuarios de SIR para ver dicho valor.

    NOTA: Hemos detectado un pequeño problema con este desplegable que hace que no se pueda rellenar el campo IdP Person Id.
    Una vez que se cambia el valor del desplegable de Disabled a Your institution, hay que pinchar otra vez en el desplegable y volver a poner Your institution. Ahora ya dejará rellenar el valor en el campo IdP Person Id.

NOTA: Una vez que se acceda como RAO/DRAO de forma federada, se recomienda acceder siempre así, ya que si intenamos acceder utilizando Login/Password el sistema nos obligará a cambiar la clave.

Alta de administrador para uso de la API REST

Sectigo nos ofrece la posibilidad de crear un usuario RAO para utilizar la API REST.

RedIRIS recomienda la creación de un usuario exclusivo para el uso de la API, que solo tenga acceso a la API, y no la reutilización de uno de los RAOs existentes.

El procedimiento para la creación del usuario API es:

  • Inicia sesión como RAO en SCM y crea el nuevo RAO con un nombre que incluya, en la medida de lo posible la cadena api para identificar que es un usuario de API. Añade la contraseña temporal que habrá que cambiar la primera vez que el nuevo usuario API acceda al SCM. Ten en cuenta que no se podrá utilizar la API con esta contraseña temporal.

  • Inicia sesión con la nueva cuenta de usuario API en SCM, y realiza el cambio obligatorio de contraseña inicial para ello.

  • Solicita a tcs(a)redrixis.es que se asigne el permiso "WS API use only" al usuario API, si es que el RAO no tiene habilitada dicha opción.

Uso de la API REST

La documentación de la API REST se puede encontrar en https://support.sectigo.com/Com_KnowledgeDetailPage?Id=kA01N000000XDkE en el documento "Sectigo Certificate Manager (SCM) REST API".

La autenticación se realiza mediante login/password para un RAO/DRAO y el campo customerUri es "rediris".

Alguna recomendaciones:

  • Para poder utilizar las llamadas a la API para el manejo de certificados, debe editar la ficha de la organización o departamento en cuestión, y en la pestaña "SSL Certificate" activar la casilla de "Web API". Aparecerá un nuevo campo llamado "Secret Key" que tendrá que rellenar con un valor aleatorio, pero que no se usa para la API REST actual sino para una API SOAP anterior.

  • Tenga en cuenta que el campo "serverType": -1 en el ejemplo del manual de la API REST se refiere a otro tipo de Software de servidor, por lo que si lo ha eliminado al limpiar los tipos de Software de servidor inútiles, ese ejemplo n o funcionará.

Los compañeros de la NREN sueca han creado unos scripts de ejemplo para solicitar y recupersar certificados. Mostramos a continuación el texto que tienen en la web de SUNET:

As inspiration for API use, Fredrik Domeij at UmU has provided bash scripts to request and retrieve certificates. You find them as umu-example-api-bash.tar.

Se recomienda mirar detalladamente el contenido de los scripts antes de su ejecución y configurar los valores adecuados a la organización.

Cuentas bloqueadas

Una cuenta de administrador RAO/DRAO puede quedar bloqueada si se intenta iniciar sesión de forma incorrecta durante varias veces.

Ee mostrará el texto "Incorrect login details, account is locked, password has expired or your source IP is blocked." cuando se intente iniciar sesión, incluso si se utiliza la contraseña correcta.

Para desbloquear la cuenta tendrá que contactar con el MRAO enviando un mail a tcs(a)rediris.es.

Dominios

Antes de poder solicitar certificados es necesario dar de alta los dominios bajo los cuales se solicitarán los mismos.

Alta de dominios

Por ejemplo, para soliciar certificados bajo el dominio prueba.es, un administrador RAO debe dar de alta prueba.es y *.prueba.es

Los pasos para el alta son los siguientes:

Alta del dominio prueba.es

Un administrador RAO va a Settings -> Domains -> Delegations y pulsar en el botón Add

y rellena el nombre del dominio prueba.es, una breve descripción y asignar los perfiles de certificado para los que desea utilizar ese dominio.

El día 18/04/2020, con la versión 20.4 de SCM, existe un permiso que permite a los propios RAOs validar los dominios solicitados.

Alta del dominio *.prueba.es

Según se indica en el manual de SCM, para que se permita la emisión de certificados para un dominio, por ejemplo prueba.es, es necesario que se añada también el dominio *.prueba.es. Al añadirse se permite la emisión de certificados para cualquier nombre bajo prueba.es.

Si no se realiza el alta doble, del dominio y *.dominio, no se permitirá la emisión de certificados y se obtendrá un mensaje similar al siguiente:

Delegación del dominio

Una vez el dominio ha sido dado de alta por el RAO, debe ser delegado a la organización/departamento correspondiente.

Para ello un administrador RAO debe seleccionar la opción Domains del menú general. Posteriormente el botón Delegate de la zona derecha.

Tras seleccionar Delegate aparecerá una ventana que permitirá delegar el dominio a la organización/departamento para cada grupo de perfiles de certificado (SSL, Client Certificate y Code Signing).

Validación DCV del dominio

Después de que el administrador RAO aprueba el dominio, la organización, mediante uno de sus RAOs, debe activar la validación DCV para que Sectigo compruebe que el dominio pertenece a la organización y pueda emitir posteriormente certificados.

NOTAs:

  • La validación DCV de un dominio debe realizarse tras añadir el dominio y luego, anualmente.
  • Asegúrese de no tener registros CAA en su zona DNS que prohiban a Sectigo emitir certificados para su dominio. Si ese es el caso, la validación del dominio fallará. Es posible no tener registros CAA, pero si se usa se deberá incorporar a "sectigo.com".
  • La versión "*" del dominio, aunque ha tenido que ser dada de alta, no necesita validación DCV ya que será validada cuando se valide el dominio. Hay ocasiones en que esta validación automática suele tardar 24 horas.

Para activar la validación DCV un administrador RAO debe ir al menú y elegir la opción Domains .

Ahora seleccionar el dominio prueba.es a validar y pulsar sobre el botón Validate que aparecerá en la caja inferior derecha:

De la lista de métodos ofrecicos debe seleccionar el método de validación DCV a utilizar:

    DCV/Email

    Si selecciona este método DCV para la validación del dominio "prueba.es", deberá seleccionar una de las siguientes direcciones de correo

    • admin@prueba.es
    • administrator@prueba.es
    • hostmaster@prueba.es
    • postmaster@prueba.es
    • webmaster@prueba.es

    para recibir el correo que Sectigo enviará desde no_reply_support@trust-provider.com con un código de validación que deberá introducir en una página web de validación.

    DCV/CNAME

    Una vez seleccionada esta opción, Sectigo proporconará unas instrucciones similares a:

    Instructions for CNAME DCV
    
    1. Create a CNAME DNS record for geteduroam.es as shown below:
    
       _a6a879a17f5aa61a53a3a9e76be229df.prueba.es. CNAME a1d10aaa4699f6f71161483415fba818.01bf2aa733f704f6ed9da9a5aa731aaf.sectigo.com.
    
    2. After you have created the CNAME DNS record, click the Submit button below.
    

    Hay que incorporar la cadena propuesta al registro correspondiente en el DNS, verificar que se ha propagado correctamente (muy importante), y luego pulsar Submit. Los chequeos se realizan justo después de dar al botón Submit, a la siguiente hora, y luego de forma periódica cada cierto tiempo.

    Así que hay que verificar que se ha propagado bien el cambio antes de pulsar Submit. Si no se hace así, puede que haya demoras en la validación.

    NOTA: Parece que Sectigo verifica el registro CAA durante la validación DCV/CNAME de los dominios, así que si estamos usando CAA, aunque no se haya solicitado ningún certificado todavía, hay que asegurarse de agregar a Sectigo, junto a DigiCert en los registros CAA.

    Para comprobar que se han propagado bien los valores de los registros CNAME y CAA puede utilizarse dig web interface añadiendo los dominios a comprobar y seleccionando "CAA" y "CNAME" en el desplegable "Type". También puede utilizar NsLookup.info.

    DCV/HTTP/HTTPS

    Sectigo indicará que se coloquen ciertos contenidos en un archivo con un nombre concreto en un servidor web para el dominio a validar.

    NOTA: Desde el 31 de agosto de 2021, Sectigo cambió la política relacionada con este tipo de validación (Domain Control Validation (DCV) using file-based validation policy change), y no permite la validación de los wildcards utilizando DCV/HTTP/HTTPS.

Revalidación anual DCV del dominio

La validación DCV de un dominio hay que volver a realizarla cada año. Sectigo permite iniciar el procedimiento de validación DCV 30 días antes de que expire la validación actual.

Desde RedIRIS hemos creado una alerta que avise a los RAOs 30 días antes de la validación de sus dominios. Cada RA recibirá un correo con un texto similar a:

From: Certificate Services Manager 
Subject: TCS: Aviso de expiración de la validación de dominios

Hola.

Este mensaje es un recordatorio de que en 30 días expirarán las validaciones de los siguientes dominios:

rediris.es (18/03/2021 00:00 GMT)
*.rediris.es (18/03/2021 00:00 GMT)
rediris.net (19/03/2021 00:00 GMT)
*.rediris.net (19/03/2021 00:00 GMT)
rediris.com (18/03/2021 00:00 GMT)
*.rediris.com (18/03/2021 00:00 GMT)
*.rediris.org (19/03/2021 00:00 GMT)
rediris.org (18/03/2021 00:00 GMT)

Si tienes algún certificado pendiente por solicitar, hazlo antes de que expire la validación del dominio correspondiente. Sobre todo por si luego hay algún día de retraso en la validación del mismo.

Un saludo
TCS

Para la validación hay que hacer lo mismo que comentamos en el punto anterior, acceder al menú y elegir la opción Domains.

De la lista de métodos ofrecicos debe seleccionar el método de validación DCV a utilizar y seguir los pasos que se indiquen en pantalla.

NOTA: Una vez validado el dominio dominio.es, la entrada *.dominio.es y sus subdominios como subdominio.dominio.es y *.subdominio.dominio.es serán validados de forma automática.
Aunque las fechas de dichas validaciones todavía no estén actualizadas no hay que preocuparse ya que en un par de días se actualizarán.

Eliminación de dominios

El portal SCM no permite que los RAOs puedan eliminar dominios, solo Sectigo y los MRAOs pueden hacerlo.

Por ello, el procedimiento para la eliminación de dominios consiste en la apertura de una incidencia a RedIRIS, enviando un correo electrónico a la dirección tcs(a)rediris.es donde se indique la lista de dominios que se desean eliminar.

Departamentos

El portal SCM permite la creación de departamentos si la organización necesita gestionar diferentes unidades organizativas.

Creación de departamentos

El procedimiento para el alta de un departamento es el siguiente:

  • Un administrador RAO va a Settings -> Organizations, selecciona la organización bajo la que se va a crear el departamento y pulsa sobre el botón Departments.

  • Aparece una ventana flotante donde hay que pulsar sobre el botón Add

  • Aparece otra ventana flotante con 4 pestañas.

    • Pestaña General

      Tal y como se indica en la página 395 del manual SCM - Sectigo Certificate Manager Administrator's Guide:

      If the parent organization is already validated by Sectigo, the address details are auto-populated with the parent organizationʹs address. However, you have to name the department.

      Por ello solo tenemos que incorporar el nombre del departamento, ya que el resto de los campos tendrán valores heredados de los de la organización.

    • Pestaña Client Certificate.

      Hay que desactivar las 3 opciones siguientes:

      • Allow Key Recovery by Master Administrators
      • Allow Key Recovery by Organization Administrators
      • Allow Key Recovery by Department Administrators

      Ya que no deseamos que ninguno de los administradores puedan recuperar las claves de los certificados solicitados en la organización. Si no las desactivamos antes de dar el alta del departamento, luego no podremos hacerlo.

Certificados

CAs de TCS

Aquí puede encontrar las CAs del servicio TCS

Perfiles de certificados disponibles

Aquí puede encontrar los perfiles de certificados disponibles en el servicio TCS. NOTA: Los perfiles de certificados personales han cambiado después del día 28/08/2023. Todavía no están todos disponibles en SCM y por ello no se encuentran actualizados.

Certificados SSL

Procedimiento para la solicitud de un certificado SSL

El procedimiento para la solicitud de un certificado SSL es el siguiente:

Generación de la CSR

Para la generación de la clave privada y de la CSR, recomenadamos la utilización de la herramienta tcs-genCSR.sh que puede descargar desde la zona de utilidades.

Subida de la CSR

Subida de la CSR por un RAO/DRAO
  • Un administrador RAO/DRAO accede al SCM y expande el item Certificates del menú de la izquierda. Luego selecciona el el tipo de perfil deseado, por ejemplo, SSL Certificates.

    Aparecerá, a la derecha, el listado de los certificados existentes y, arriba a la derecha, un botón verde con el signo "+" + que deberá pulsarse para solicitar un nuevo certificado.

  • Aparece una ventana flotante donde hay que elegir la forma de volcar la CSR:

    Supongamos que elegimos la primera opción Manual creation of CSR

  • Ahora hay que volcar la CSR que previamente habremos generado

  • Revisamos la información sobre la solitud y cambiamos lo que necesitemos, sobre todo el tipo de certificado.

    Nota: Si se desea un certificado Wildcard con varios SANs, se aconseja solicitar un certificado de tipo "GÉANT OV Multi-Domain" con un CN que puede ser wildcard y añadir como SANs los FQDNs o wildcards que se deseen hasta un máximo de 250 valores.

    Por defecto, los datos de la dirección se añaden al certificado. Si deseamos que no se añadan, hay que abrir las opciones avanzadas y deseleecionar todo.

    NOTA: Se ha detectado que si se elimina la inclusión de los datos de la dirección postal en el certificado, el certificado no se emite. Por esta razón, recomendamos no deshabilitar esa opción.

  • Decidimos si queremos la renovación automática antes de la expiración del certificado.

    Y finalmente enviamos la solicitud.

Subida de la CSR por un usuario sin cuenta en SCM

Si la institución ha habilitado la posibilidad de la solicitud de certificado a los usuarios que no dispongan de cuenta en SCM, creando un enrollment form desde el item del menú Enrollment y luego Enrolment Forms, podrá acceder al enlace que le habrá proporcionado la institución para ello.

Aprobar una solicitud de certificado

Ahora es muy importante que un administrador RAO no se olvide de aprobar o denegar la solicitud.
Mientras no la apruebe no llegará a Sectigo para que sea emitido el certificado.

Nota: Si se obtiene el siguiente error es que no hemos dado de alta la versión wildcard del dominio correspondiente.

Descarga de un certificado

Una vez solicitado el certificado, aprobado por el RA y emitido por Sectigo, es enviado por correo electrónico al solicitante.

Si por alguna razón no tiene acceso al correo electrónico y necesita descargar el certificado puede hacerlo de las siguientes formas:

Certificados Wildcard multi-domain

Si se desea un certificado Wildcard con varios SANs, se aconseja solicitar un certificado de tipo "GÉANT OV Multi-Domain" con un CN que puede ser wildcard y añadir como SANs los FQDNs o wildcards que se deseen hasta un máximo de 250 valores.

Certificados EV

Un certificado EV, o de validación extendida, es un certificado que ha sido emitido después de que la CA haya realizado una serie de validaciones adicionales sobre la organización que solicita el certificado.

Para que Sectigo pueda emitir certificados EV es necesario que su departamento de validación realice unas validaciones adicionales a las realizadas durante el proceso de alta de la organización, entre las que destacan la búsqueda de la información de la organización en registros gubernamentales.

En la mayoría de los casos, este proceso suele completarse en un par de días hábiles, pero puedo retrasarse si detectan algún problema con los datos que se suministraron en el alta de la organización en SCM.

En el caso en el que no puedan finalizar la validación, no emitirán el certificado que se haya solicitado, y contactarán con los RAOs para solicitarles que proporcionen la documentación necesaria.

A la hora de soliciar un certificado EV se plantean 2 posibilidades:

Solicitar un "EV Anchor Certificate"

Un EV Anchor Certificate NO es un certificado real que pueda usarse, solo es un mecanismo para ayudar a que el procesamiento de las solicitudes de certificados EV sea más eficiente. Servirá para prevalidar los dominios para futuras solicitudes de certificados EV.

Notas:

  • ¿Cuánto es el mínimo tiempo que se podría tardar en obtener un ancla EV?

    Según Sectigo, todo depende de la rapidez con que ellos encuentren la información, y de la rapidez con la que ellos reciban la documentación que solicitan a la organización. A partir de ahí, es necesario volver a hacer la llamada telefónica de validación y luego se genera el ancla, todo el proceso puede ser tan rápido como 2 horas o tardar 2-3 días, dependiendo de lo que se tarde en el intercambio de toda la información. Y si la organización no reponde a la llamada o no envía la información solicita, puede tardar más.

  • La CSR debe contener solo los campos C y CN, y si desea dominios adicionales, incorporarlos en el campo SubjAltNames.

  • Todos los dominios raíz que requieran de un certificado EV deberán incluirse en esta solicitud de ancla EV. Aún se podrá solicitar un certificado EV para un dominio que no figure en esta solicitud, pero el pedido deberá ser procesado de forma manual por el departamento de validación de Sectigo.

    Por ejemplo si hemos creado el ancla EV para univiris.es podremos emitir todos los certificados EV bajo ese dominio raíz, por ejemplo para servicio.univiris.es y para servicio.subdominio.univiris.es, pero si intentamos solicitar un certificado EV para univiris.com tendremos un problema y Sectigo nos enviará un mensaje del tipo:

    We are unable to issue the recent EV order #111111111.  Because, we can't see the domain name (univiris.es) from Anchor order #000000000.
    #111111111 -  EV SSL ( Domains : a1.univiris.com, b1.a1.univiris.com)
    #000000000 -  EV Anchor ( Domains : univiris.es )
    
    EV Anchor must included all root domains. So please check with your side and let us know.
    

    Y nos veremos obligados a solicitar a Sectigo la baja del ancla EV y, una vez llevada a cabo, solicitar un nuevo ancla EV.

  • Hay que tener en cuenta que todos los nombres solicitados como SANs, deben tener sus dominos en el ancla EV.

  • Aunque se tenga un registro CAA del tipo
    midominio.es. CAA 0 issuewild "sectigo.com"
    puede que se pase la validación, pero posiblemente de un error a la hora de la emisión de un certificado si no se tiene además
    midominio.es. CAA 0 issue "sectigo.com"

  • Solo se puede tener un EV Anchor Certificate válido por cada organización. Si la organización ya tiene uno y solicita otro, el primero será revocado en cuanto se emita el nuevo.

Antes de comenzar con la solicitud recomendamos revisar la siguiente información:

Renovar un "EV Anchor Certificate"

A la hora de renovar un "EV Anchor Certificate", lo más simple es volver a solicitarlo. Una vez emitido, Sectigo se encarga de dar de baja el antigo "EV Anchor Certificate" pasando a estado failed

Solicitar un certificado "GÉANT EV SSL" o "GÉANT EV Multi-Domain"

Una vez realizada la solicitud, si se dispone de un ancla EV válido, el certificado será emitido sin más comprobaciones.

Si no hay un EV Anchor definino, el departamento de validación de Sectigo comenzará a realizar las validaciones adicionales comentadas en los párrafos iniciales de esta sección.

Aprobar un certificado EV

Según nos ha comentado Sectigo, hay que aplicar la regla de los 4 ojos, es decir, que un certificado EV debe ser aprobado por un administrador distinto al que lo ha solicitado.

Certificados para una dirección IP pública

El procedimiento mostrado aquí está basado en la experiencia de 2 usuarios. A medida que otros usuarios nos faciliten información con sus experiencia iremos modificando este apartado.

  • Se debe crear un dominio en SCM con el nombre de la dirección IP pública que se desee incorporar al certificado.
  • De delega dicho dominio a la organizacion/departamento.
  • Una vez que se delega la dirección IP, se solicita un certificado para esa dirección IP y obtener el orderNumber.
  • Abrir un ticket a Sectigo enviando el orderNumner, y ellos proporcionarán los pasos para completar la validación DCV para la IP.

Por la experiencia que tenemos, los siguientes pasos fueron:

  • Se solicitó el certificado OV Multi-domain, añadiendo la IP en el campo Subject Alternate Name
  • Sectigo envió un correo a RedIRIS indicando que se debía validar el dominio utilizando la dirección:
    http://IP/.well-known/pki-validation/65048B480791110638D785927253AF1D.txt
  • Para validar la IP, la institución montó el servidor web y se añadió ese fichero .txt para que pudiesen validarlo

Automatización de la gestión de certificados (ACME)

El protocolo ACME permite comunicar con la CA directamente desde un servidor y sirve para la obtención e instalación automática de los certificados SSL/TLS. Un cliente ACME será capaz de instalar el certificado en el servidor de manera que no se tenga que hacer otra cosa.

Ponemos a vuestra disposición una guía de ayuda para la gestión de certificados utilizando ACME, realizada por uno de nuestros usuarios:

Después de la migración de la cuenta de la NREN RedIRIS en el back-end en Sectigo (14/04/2022), las cuentas ACME creadas con anterioridad a dicha fecha, bajo https://acme.sectigo.com/v2/OV y https://acme.sectigo.com/v2/EV, podrán seguir utilizándose pero no se podrán eliminar. Por eso Sectigo recomendó la eliminación anterior a esa fecha y la creación de cuentas nuevas.

Las nuevas cuentas deben definirse bajo los nuevos perfiles:

  • https://acme.sectigo.com/v2/GEANTOV
  • https://acme.sectigo.com/v2/GEANTEV

Notas:

  • No añadir dominios "*.dominio.es" ya que solo es necesario añadir "dominio.es". Según lo que Sectigo escribió a uno de nuestros usuarios:

    Please only assign non-wildcard domains. Adding * before the domain in ACME does not relate to Wild card domains. The domain ‘domain.com’ will issue certificates for "Any FQDN (wildcard or non-wildcard) under that domain, plus that domain itself. If the domain is not listed in the Available domains section, then you must add the domain, perform DCV, and delegate it to your Organization/Department.

Certificados personales (Client Certificates)

NOTAs:

  • Después del 28/08/2023 se exige una revalidación de las organizaciones para la emisión de certificados S/MIME.
  • Solo es posible obtener 2 certificados personales del mismo perfil para el mismo usuario. Si se intenta solicitar un tercer certificado personal pueden ocurrir 2 cosas, el certificado más antiguo es revocado o el sistema nos dice que no puede emitir el nuevo certificado si no revocamos previamente otro.

Certificados personales utilizando el portal de autoservicio vía SAML

Sectigo ha desarrollado un portal de autoservicio vía SAML para la gestión de certificados personales.
https://cert-manager.com/customer/rediris/idp/clientgeant.

Para su correcto funcionamiento es necesario que cada organización:

  • Tenga su IdP en eduGAIN
  • Tenga su IdP configurado correctamente para Sectigo. Se aconseja seguir las indicaciones de la sección Configuración SAML.
  • Edite la ficha de su organización en SCM y rellene el campo Organization Alias (antes llamado Academic Code, o SCHAC Home Organization) con el mismo valor que su IdP envía para schacHomeOrganization. Normalmente será su dominio principal, pero confirme esto con los administradores de su IdP.

Para que funcione también para los usuarios que necesitan certificados IGTF/Grid, además se debe:

  • Editar la ficha de la organización en SCM, y añadir un valor al campo Secondary Organization Name con el nombre utilizado en los certificados Grid (con los caracteres áéíóúñåäö transcritos correctamente a ASCII si fuese necesario, y con las mismas convenciones en mayúsculas / minúsculas que se utilizó anteriormente con DigiCert). Se pueden verificar los certificados existentes si no se está seguro. Como los DNs de los certificados personales Grid, se pueden utilizar como nombres de usuario en algunos sistemas, es muy importante que todo el DN se mantenga como antes para sus usuarios.

  • Enviar un correo electrónico a tcs(a)rediris.es indicando que desea que validemos ese nombre secundario ya que los RAO/DRAO no pueden realizar este paso.

Revocar Certificados personales

El portal SAML de autoservicio de certificados no permite que los usuarios finales puedan revocar sus certificados, pero sí que se pueden revocar si se está en poder de la clave privada, accediendo a Sectigo Certificate Revocation Portal

Certificados personales utilizando el portal SCM (no SAML)

NOTA: Esta es una opción a modo de backup. La principal forma de emitir certificados de cliente es a través del portal de autoservicio descrito anteriormente, ya que desde SCM, Sectigo genera la clave privada en sus servidores y no nos parece adecuado. Con eso entendido, así es como pueden emitirse certificados personales utilizando SCM:

Este procedimiento ha cambiado y todavía no lo tenemos documentado.

Certificados personales utilizando la API REST

Haciendo uso de la API REST se puede enviar la CSR y así tener nosotros el control de las claves privadas.

Problemas detectados

Se han detectado los problemas siguientes:

  • Importación de los certificados personales en los llaveros de macOS

    Si se genera un certificado utilizado el perfil GÉANT Personal email signing and encryption con key protection algorithm por defecto "Secure AES256-SHA256" la aplicación de llaveros de macOS se queja de password incorrecto. Sin embargo, los certificados pueden ser importados sin problema en Firefox.

    En cambio si se escoge la opción "Compatible TripleDES-SHA1" la aplicación de llaveros de macOS lo importa sin problemas.

Certificados de firma de código

Tal y como indica GEANT en su wiki, desde el 8 de mayo de 2023, solo es posible solicitar certificados de firma de código utilizando dispositivos FIPS que cumplan con los estándares específicos de HSM o directamente en tokens proporcionados directamente por Sectigo.

Tenemos las siguientes opciones:

  • Uso de dispositivos propios

    Los dispositivos soportados actualmente son:

    • Dispositivos Thales/Safenet Luna y netHSM
    • Yubico FIPS Yubikeys (solo para llaves ECC)
  • Uso de dispositivos comprados a Sectigo

    Si tiene la intención de ordenarlos desde el portal SCM, comuníquese con RedIRIS abriendo un ticket, para que activemos el perfil apropiado y hay que considerar lo siguiente:

    "Las plantillas de certificado de firma de código público existentes se han cambiado para ofrecer un certificado de firma de código en un token enviado de forma segura desde Sectigo."

    Estos tokens enviado por Sectigo, tal y como ellos indican en su web, tienen un coste al que hay que añadir 83€ de gastos de envío + posibles gastos de aduana de 18€ que hay que abonar al mensajero de UPS a la recepción del token. Por ello es recomendable que la institución adquiera un token propio directamente del fabricante.

  • Dispositivos no compatibles

    Si tiene un dispositivo FIPS específico que no es compatible actualmente, háganoslo saber abriendo un ticket. Lo gestionaremos con GEANT para ver si es posible que sea admitido por Sectigo.

Solicitar un "Code Signing Certificate" HSM a partir de mayo de 2023

Se ha creado un nuevo perfil específico en el portal SCM para la solicitud de certificados de firma de código en dispositivos FIPS llamado "07 - Code Signing HSM".

Solicitar un "EV Code Signing Certificate"

Según aparece en el wiki de GÉANT:

Certificados de firma de documentos

GÉANT tiene publicado en su wiki una referencia a Document Signing Certificates:

It is currently possible to order Document Signing Certificates on a preconfigured USB token from Sectigo. These can be ordered here: https://www.sectigo.com/ssl-certificates-tls/document-signing-certificates. Participants can use the following discount code which will only charge you for the token and not the certificate itself: QQY1XB49V9.

Notas

Solicitudes en estado APPLIED

Hay ocasiones en que las solicitudes de certificado se quedan en estado "APPLIED" y los certificados no son emitidos. En estos casos, dejando a un lado el hecho de que Sectigo pudiese tener un problema, habría que verificar:

  • Registros CAA de todos los FQDN y dominios incluidos en la solicitud de certificado.
  • Diéresis, signos diacríticos, etc. en el nombre de la organización o provincia/estado, etc. Puede que esto haga que se realice una revisión manual de la solicitud que haga que el proceso de emisión se retrase.
  • Nombres de organizaciones que tienen exactamente 64 *bytes* y hay que tener en cuenta que los caracteres UTF-8 individuales pueden contar como 2 bytes.
  • Palabras bloqueadas en los dominios solicitados como "test", "demo", etc.
  • Algunas codificaciones muy especiales de las claves ECC pueden hacer que las solicitudes se queden estancadas.
  • Se puede ver el estado del proceso de emisión desde el Sectigo Order Checker

    Por ejemplo para la solicitud con order number = 1720459416 y domain = *.meteocdg.uca.es se puede comprobar que Sectigo todavía está comprobando el estado del registro CAA:

    *.meteocdg.uca.es

Uso de OV vs Multi-domain OV

En el Wiki de GÉANT podemos ver esta recomendación:

When a TCS member orders a GÉANT OV SSL certificate in Cert Manager for a name, such as mail.sample.example.org, in the Subject Alternative Names, they get a correct entry for DNS:mail.sample.example.org but they also get DNS:www.mail.sample.example.org. I have confirmed this by looking at issued certificates in our SCM instance. We recommend ordering GÉANT OV Multi-Domain for the time being instead of GÉANT OV SSL. This issue has been raised with the supplier.

Perfil "GÉANT IGTF Multi Domain"

Se han detectado problemas para el perfil Grid "GÉANT IGTF Multi Domain", que hacen que su utilización sea no recomendable hasta que Sectigo lo solucione.

GÉANT IGTF Multi Domain (grid host certs) have profile issues, but are for now marginally functional. They include superfluous subject DN attributes (postalCode, streetAddress, stateOrPrivinceName) that may cause issues with some software since their representation or demarcation is not unique. Similarly: do NOT use these host certificate to authenticate (VOMS) attribute authorities, since their full subject name is non-conformant and the full subject name is used to identify attributes authorities. My hope is that at some point in time this gets fixed.

Servicio de notificaciones

Sectigo no suele enviar correos automáticos avisando de los diferentos eventos que pueden ocurrir en el portal. Pero dispone de una opción de notificaciones que un RAO/DRAO puede configurar para recibir los avisos que deseemos, accediendo a Settings -> Notifications- -> Add.

Por ejemplo si deseamos que nos avise cada vez que se emite un certificado podemos añadir una notificación de tipo Certificate is ready for manual installation:

Configuración SAML

Atributos requeridos

Los siguientes atributos deben ser enviados:

AtributoURNComentario
displayNameurn:oid:2.16.840.1.113730.3.1.241 
eduPersonEntitlementurn:oid:1.3.6.1.4.1.5923.1.1.1.7urn:mace:terena.org:tcs:personal-user
Este valor da derecho a la solicitud de certificados personales. Por eso solo debe liberarse para aquellos usuarios que cumplan con los requisitos para solicitarlos.
eduPersonPrincipalNameurn:oid:1.3.6.1.4.1.5923.1.1.1.6 
givenNameurn:oid:2.5.4.42 
mail urn:oid:0.9.2342.19200300.100.1.3
  • Para que se emita un certificado personal, la dirección de correo debe pertenecer a un dominio validado en SCM.
  • Aunque el esquema del atributo mail indica que es un atributo multivaluado, Sectigo necesita que se envíe un solo valor.

    Si su IdP envía varios valores, puede que Sectigo no seleccione el deseado. En este caso, se recomienda que se envíe, por ejemplo, el valor del atributo irisMailMainAddress en el atributo mail para poder decidir correctamente qué dirección de correo electrónico se desea utilizar.
schacHomeOrganizationurn:oid:1.3.6.1.4.1.25178.1.2.9 
snurn:oid:2.5.4.4 

Test para comprobación de la correcta configuración del IdP

Una vez que los administradores del IdP han configurado correctamente la emisión de los atributos necesarios, se recomienda probar que todo está correcto desde https://cert-manager.com/customer/rediris/ssocheck.

En esta prueba, solo se requiere "eduPersonPrincipalName" y "mail", pero para los certificados personales, "givenName", "sn", "displayName", "schacHomeOrganization" y "eduPersonEntitlement" (no se muestra en la prueba en este momento).

Más información