**Prérequis** * Il faut être assureur [[https://www.cacert.org/|CAcert]] * Il faut accepter la CCA et les politiques CAcert applicables Pour devenir assureur CAcert, il faut donc avoir subit un nombre suffisant d'assurances pour avoir 100 points d'accrédiation reçus. On peut assimiler ceci à des points de vérification d'identité. 100 points est le niveau maximal qu'il est possible d'atteindre chez CAcert. Il faut subir plusieurs vérifications d'identité, qui donnent, si elles sont parfaitement complétées entre 10 et 35 points chaque. Le nombre de points dépend de l'expérience de l'assureur qui peut les délivrer. En outre, il faut subit un test de connaissance de 25 questions sur le fonctionnement d'une PKI, de CAcert et quelques basiques de gestion de certificats. La réussite est placée à 80%. Pour information, actuellement, chez Grifon, il y a 2 assureurs, régulièrement présents aux réunions mensuelles. Il est également possible de participer aux rencontres mensuelles à Paris : [[https://wiki.cacert.org/Events/Paris_2016|Events Paris]], [[https://twitter.com/CAcertParis|Twitter Cacert Paris]] ---- **Gestion des certificats** Grifon est assuré CAcert, donc son DN comprendra forcément O=GRIFON Nous sommes libre de créer les OrganisationsUnits que nous voulons. Celles qui sont crées sont actuellements : * OU=VM pour se connecter à l'hyperviseur * OU=GestionAdherents pour se connecter au logiciel de gestion des adhérents. [[https://grifon.fr/adminsys/cacert-client.html|Comment générer une demande de certificat client (a migrer)]] [[https://hv-access.grifon.fr/ssi/test-ssl.html|Page de test toute pourri pour tester le bon fonctionnement de son certificat client]] Sur l'interface CAcert, il y a 2 rubriques qui nous intéressent : * Certificats de clients pour les organisations * Certificats de serveur pour les organisations Elles sont affichées qu'une fois les droits attribués. (Voir Accrédiation pour les droits). Une fois la CSR parvenue, la personne en charge de la signature des certificats vérifie : * qu'il y a bien un contrat, un mandat, une autorisation etc. * que la demande est correctement effectuée. * Le CN doit avoir la forme pseudo@grifon.fr (car seul le domaine grifon.fr est assuré) * il saisit à nouveau l'OU (faire attention, c'est sensible à la casse). * il est bon d'identifier le certificat par un commentaire si besoin. Ensuite le certificat (clef publique signée) est renvoyé au demandeur. Il est bien entendu que : * les gestionnaires de certificats CAcert ont toute autorité pour révoquer les certificats, signer les demandes ou non. * ils sont les seules personnes reconnues par CAcert pour la gestion des certificats. * Les certificats expirent. La façon la plus simple de renouveler est de cliquer sur le bouton renouveler de l'interface. Mais en cas de doute sur l'intégrité de la clef privée, mieux vaut en créer une neuve.