SIGNIFLOW

Découvrez notre plateforme de signature : signez et faites signer vos PDFs en quelques clics !

SUPPORT

Un problème de certificat ? Besoin d'être dépanné rapidement ? Nos ingénieurs répondent à vos questions.

0 897 690 444 Service 0,80 €/min +prix appel
LES PRODUITS À DÉCOUVRIR

Les certificats SSL La signature de facture Les certificats eIDAS Les logiciels de signature

Menu
picture of tbs certificates
picture of tbs certificates
Les produits
TOUS LES CERTIFICATS
SSL Extended Validation SSL Standard Certificats eIDAS SSL wildcard SSL Multisites / SAN SSL rapide & basique
Certificats spécifiques SSL ECC Certificats VMC
Certificats RGS E-signature Authentification forte (mTLS) Certificats S/MIME
Certificats de test Solutions CLM Sceaux de confiance
SigniFlow : la plateforme pour signer et faire signer vos documents
Logiciel de signature
Notre gamme
TBS X509 DigiCert Thawte Sectigo GlobalSign GeoTrust ChamberSign SigniFlow Harica
Partenaires
Accès client Les comptes clients Ouvrir un compte
Support
API TBS TBSCertBot
SHA256 : Compatibilité navigateurs ECC : Compatibilité navigateurs
FAQ
Numéro vert
Focus
Dématérialisation de facture
Nous proposons désormais des solutions répondant aux normes RGS** / eIDAS qualifié pour la signature et l'horodatage de vos factures. En savoir plus


L'offre ACME de DigiCert

L'offre ACME de DigiCert vous permet d'utiliser le client ACME tiers de votre choix pour automatiser les déploiements de certificats DV, OV et EV.

Comment accéder à l'outil ?

ACME est disponible (en version Bêta) sur tous les comptes client TBS.

Les pré-requis

L'utilisation d'ACME est conditionnée à la mise en place d'une pré-validation (hors certificats DV).

Une pré-validation pour chaque par couple organisation / type de certificat (OV, EV) correspondant aux certificats que vous souhaitez commander avec ACME doit être créée.

Il faut également mettre en place et configurer le protocole ACME tiers de votre choix avant d'utiliser l'outil.

Enfin, il est préférable de vérifier votre configuration réseau et application HTTP (port 80) avant de lancer votre première commande ACME.

Comment ça marche ?

Une fois tous les pré-requis remplis, rendez-vous sur la rubrique ACME de votre espace client.

URL ACME

La première étape consiste à créer une URL ou un point d'accès ACME :

Création d'un point d'accès ACME

Entrez un nom personnalisé pour votre point d'accès, sélectionnez le produit et l'organisation concernés et cliquez sur le bouton "Création d'un point d'accès ACME".

Il est possible d'invalider une URL ACME à tout moment.

Une fois fait, seront affichées les identifiants nécessaires à la communication entre le client ACME de votre choix et le cloud DigiCert (valeur KID et Clé HMAC) ainsi qu'un exemple d'utilisation pour la commande de certificat :

Les identifiants ACME

Attention : Les identifiants ne sont affichés qu'au moment de leur création. Sauvegardez donc ces valeurs pour être en mesure de commander vos certificats. Si vous perdez vos données d’URL ACME, vous devrez révoquer l’URL perdue et en générer une autre.

Un chemin unique (paramètre "directory") doit également être créé pour chacune de vos URLs ACME.

Vos URLs ACME sont alors présentées :

Liste des URLs ACME

La commande

Vous êtes désormais prêts à commander vos certificats !

Pour ce faire, exécutez la commande telle qu'indiquée dans l'exemple ci-dessus.

Les certificats ainsi obtenus apparaissent également sur la page :

Liste des certificats ACME

Une fois l'outil en main vous pouvez configurer des crons qui se chargeront des renouvellements automatiques de vos certificats ACME.

Pour quels produits ?

ACME est disponible pour tous les produits SSL DV, OV et EV de la famille DigiCert (DigiCert, Thawte, Geotrust, RapidSSL).

Seuls les produits valides 1 an (pas les offres forfaits) sont disponibles sur ACME.

La facturation

Les certificats ACME sont débités du solde (compte courant, achat en gros et ristourne) ou reportés sur la facture mensuelle (compte paiement mensuel) au même titre qu'une commande classique. Ils bénéficient des tarifs négociés de votre compte.

À noter : le compte courant doit être alimenté pour accepter des commandes ACME. Ces dernières ne sont pas débitées du compte à la commande mais à intervalles réguliers.

De même les comptes Achat en Gros et Ristourne doivent avoir des jetons disponibles pour passer commande.

Dans le compte

Vos certificats ACME sont facilement accessibles depuis la rubrique ACME de votre espace client et s'affichent également dans les rubriques "classiques". Ils sont facilement identifiables par leur référence TBS commençant par "DCACME-".

La révocation

La demande de révocation des certificats émis via protocole ACME doit être soumise via protocole ACME également.

Il existe alors 2 options pour la révocation du certificat.

Révocation par nom du certificat

Dans l'invite de commande, utilisez la syntaxe suivante :

sudo certbot revoke --cert-name {NOM} --config-dir {REP-CONFIG} --reason {RAISON-REVOCATION}

Exemple :

sudo certbot revoke --cert-name test.domaine.fr --config-dir /usr/local/certbot/my_webserver_config/ --reason superseded

Révocation par chemin du certificat

Dans l'invite de commande, utilisez la syntaxe suivante :

sudo certbot revoke --cert-path {CHEMIN} --server {ACME-URL} --config-dir {REP-CONFIG} --reason {RAISON-REVOCATION}

Exemple :

sudo certbot revoke --cert-path /usr/local/certbot/my_webserver_config/archive/test.domaine.fr/cert1.pem --server https://one.digicert.com/mpki/api/v1/acme/v2/directory --config-dir /usr/local/certbot/my_webserver_config/ --reason keyCompromise

Arguments

NOM : Le nom de référence du certificat, qui n'est pas nécessairement identique à son CN. Utilisez la commande 

certbot certificates
pour afficher la liste de tous les certificats connus de Certbot, y compris le nom de référence de chacun.

REP-CONFIG : Chemin d'accès au répertoire où sont stockés les fichiers de configuration et de certificat de Certbot.

CHEMIN : Le chemin absolu du fichier de certificat sur le serveur.

ACME-URL : URL du répertoire ACME de DigiCert utilisée pour émettre le certificat. L'option --server est requise lors de la révocation par chemin de certificat, mais pas lors de la révocation par nom de référence.

RAISON-REVOCATION : raison de la révocation, à choisir parmi :

  • unspecified : Aucune raison précise n'est fournie pour cette révocation.
  • keyCompromise : La clé privée associée au certificat a été compromise ou est suspectée de l'être.
  • affiliationChanged : L'affiliation ou les informations organisationnelles du sujet ont changé et le certificat n'est plus valide.
  • superseded : Le certificat a été remplacé par un nouveau et n'est plus nécessaire.
  • cessationOfOperation : Le service, le domaine ou l'opération associé au certificat a été interrompu.

Les infos en plus

Les certificats ACME présentent quelques particularités :

  • leur date anniversaire n'est pas conservée lors du renouvellement
  • au même titre que les certificats classiques, leur durée de validité est définie par le CA/B Forum (13 mois maximum pour le moment)
  • les certificats ACME profitent de l'offre "satisfait ou remboursé" pendant 30 jours. Pour profiter de l'offre il faut simplement révoquer le certificat dans les 30 jours suivants sa fabrication (voir rubrique 'La révocation' ci-dessus).

Les clients ACME

Il existe différents clients ACME parmi lesquels faire votre choix en fonction de vos besoins et contraintes. Vous en trouverez une liste non-exhaustive ici.

À venir

Dans les prochaines semaines, il sera également possible de révoquer un certificat depuis sa page statut.