.
Information importante
La Swiss Government PKI a délégué l'émission de certificats SSL/TLS de confiance publique à une entreprise partenaire ("QuoVadis"). Celle-ci a été reprise il y a quelque temps par "DigiCert". En raison de ce changement, tous les utilisateurs autorisés (subscribers) qui ont obtenu des certificats SSL via la plateforme "QuoVadis" doivent être migrés vers la nouvelle plateforme de "DigiCert".
La Swiss Government PKI contacte tous les souscripteurs directement par mail. Celui-ci contient l'adresse de l'expéditeur "DigiCert" et contient l'invitation à l'enregistrement sur la plateforme "DigiCert". Nous prions tous les destinataires de suivre les instructions contenues dans le mail afin de pouvoir terminer le nouvel enregistrement.
Toutes les organisations déjà existantes sur "QuoVadis" et les domaines déjà existants ont été préenregistrés par la Swiss Government PKI sur "DigiCert". Le cas échéant, les souscripteurs doivent encore faire enregistrer la "RandomValue" dans le DNS du domaine pour la validation. Dans ce cas, la Swiss Government PKI prend à nouveau contact avec les souscripteurs.
Afin que les souscripteurs puissent se familiariser avec la nouvelle plate-forme "DigiCert", la Swiss Government PKI les contactera et/ou organisera le cas échéant une réunion virtuelle avec toutes les personnes autorisées de l'organisation.
Une fois la migration terminée, les nouveaux certificats TLS/SSL ne pourront plus être émis que sur la plateforme "DigiCert".
Documentation
- Vous trouverez des informations sur la racine et les certificats pour la chaîne de validation à télécharger sur : https://www.digicert.com/kb/digicert-root-certificates.htm
- Vous trouverez des instructions de support pour l'émission de certificats TLS/SSL sur : SSL Certificate, Client Certificate & Code Signing Certificate Support (digicert.com)
Sous Certificats : Bibliothèque de formulaires et de documents, vous trouverez tous les formulaires et documents.
La Swiss Government PKI a délégué l'émission de certificats SSL/TLS de confiance publique à une entreprise partenaire.
En raison de cette collaboration, les processus d'émission des certificats SSL/TLS ainsi que l'admission d'unités organisationnelles (UO) et de domaines ont été adaptés aux critères de contrôle et aux exigences de sécurité de notre partenaire. Les procédures d'émission de notre partenaire sont bien évidemment aussi soumises aux normes internationales, aux règles définies par le CA/Browser Forum et aux procédures d'audit y relatives.
Les utilisateurs enregistrés (appelés subscribers par notre partenaire, ci-après «abonnés») peuvent commander ou révoquer des certificats SSL/TLS de manière autonome, conformément à leurs autorisations.
La Swiss Government PKI reste responsable du contrôle et de la validation des abonnés et des demandes.
Commande / acquisition
Pour commander un certificat SSL/TLS, l'abonné doit remplir les conditions suivantes:
- Certificat de classe B
L'abonné doit disposer d'un certificat de classe B de la Swiss Government PKI. - Administrateur du serveur concerné
La commande doit être effectuée au moyen d'une demande de signature de certificat (certificate signing request, CSR).Cette demande doit être générée sur le serveur concerné au moyen d'une nouvelle paire de clés. L'abonné ou l'administrateur du serveur doit disposer des connaissances nécessaires à la création d'une CSR et jouir de droits d'administration sur le serveur. - Autorisation de domaine
L'abonné doit être autorisé à établir des certificats pour le domaine en question. Autrement dit, il doit être enregistré pour cette fonction auprès de la Swiss Government PKI. Les nouveaux abonnés aux certificats SSL/TLS doivent s'inscrire auprès de la Swiss Government PKI en remplissant le formulaire correspondant (voir ci-dessous). - Inscription de l'organisation
Lors de l'inscription, la Swiss Government PKI vérifie l'existence et l'opérabilité de l'organisation. Elle vérifie notamment son IDE (voir www.uid.admin.ch). - Certificats EV SSL/TLS
Pour les certificats EV SSL/TLS, l'autorité de certification partenaire a notamment besoin d'une lettre d'autorisation de l'organisation. Vous trouverez un modèle de lettre plus bas sur cette page.
Passation de commande
- Pour préparer la demande de certificat SSL/TLS (EV), il convient de générer une CSR sur le serveur concerné.
- Celle-ci doit être créée avec une nouvelle clé, car la réutilisation d'une clé existante produirait une erreur lors du traitement de la demande.
Veuillez commander le certificat SSL/TLS par ticket.
(Service Desk OFIT 058 465 88 88 ou RoBIT.
Génération de la paire de clés et de la CSR
Si vous avez encore des doutes sur la façon de générer correctement une CSR, vous trouverez une description détaillée de la procédure ici: Génération de la paire de clés et de la CSR.
Révocation
- Tous les abonnés au portail partenaire peuvent révoquer eux-mêmes les certificats qu'ils ont émis.
- La révocation d'un certificat TLS/SSL peut également être demandée au moyen d'un ticket (Service Desk OFIT 058 465 88 88 / RoBIT).
Documentation
QuoVadis Global Privacy Notices