Info! Please note that this translation has been provided as best effort, for your convenience. The English page remains the official version.

BPKI

Un certificat BPKI (également appelé certificat client X.509) est un certificat numérique fourni pour identifier le titulaire d'un tel certificat lors de l'exécution d'une transaction en ligne. Dans le cas d'AFRINIC, le certificat client délivré contiendra votre NIC-HANDLE comme nom commun (CN). Le certificat AFRINIC BPKI sera utilisé pour certifier numériquement le droit des membres de l'Organisation à exécuter et à accéder à certains services en ligne tels que RPKI.

le 2018 mars 10
Etait-ce utile?

L'inscription de votre certificat est un processus par lequel votre certificat numérique est intégré dans votre navigateur pour être automatiquement utilisé à des fins d'authentification. Le processus de cette intégration n'est pas le même pour tous les navigateurs. Le processus prédéfini dans le moteur que nous utilisons chez AFRINIC n'est compatible qu'avec Firefox. Nous nous efforçons d'étendre cela à autant de navigateurs que possible. 

le 2018 mars 10
Etait-ce utile?

Vous devez être un contact autorisé de votre organisation pour obtenir un certificat BPKI. Si vous êtes un contact administratif d'une organisation membre, vous devez envoyer un courrier à Cette adresse e-mail est protégée du spam. Vous devez activer Javascript pour la voir. avec des preuves de votre identité.

Si vous êtes un contact technique, de facturation, d'abus ou général, il vous sera demandé de demander un certificat BPKI qui devra être validé par le contact administratif de votre organisation.

le 2018 mars 10
Etait-ce utile?

En règle générale, vous devez prévoir environ 60 minutes entre la validation d'une demande de certificat et la réception du courrier associé. Si après 60 minutes vous n'avez pas reçu les détails, veuillez:

  1. vérifier votre boîte mail spam
  2. Vérifiez que l'adresse e-mail associée au NIC-HANDLE est valide.

Si tout ce qui précède est positif, veuillez contacter service-support sur afrinic.net.

le 2018 mars 10
Etait-ce utile?

1) Introduction

Un certificat BPKI, également appelé certificat client X.509, est utilisé pour identifier un utilisateur ou un client. Ils sont destinés à authentifier un client auprès d'un serveur. Dans le cas d'AFRINIC, le certificat client livré contiendra votre NIC-HANDLE en tant que nom commun (CN). Vous devez être un contact autorisé de votre organisation pour obtenir un certificat BPKI. Un certificat BPKI est nécessaire pour accéder aux services de certification des ressources (RPKI).

  

2) Comment demander un certificat BPKI

Pour demander un certificat BPKI, connectez-vous à https://my.afrinic.net et accédez à "Mon compte> BPKI".

2.1. Contact administratif

Si vous êtes un contact administratif, vous devrez nous envoyer vos informations d'identification:

  1. Nom complet
  2. Adresse e-mail
  3. NIC-POIGNÉE
  4. Nom de l'organisation
  5. Copie scannée d'une pièce d'identité officielle délivrée par un gouvernement / État, un passeport, un permis de conduire ou une carte d'identité d'entreprise.

Veuillez envoyer les détails ci-dessus à  Cette adresse e-mail est protégée du spam. Vous devez activer Javascript pour la voir. ainsi que les documents requis.

1 admin_cert_request

 

2.2. Contact non administratif

Si vous êtes un contact technique, de facturation, d'abus ou général, il vous sera demandé de demander un certificat BPKI en cliquant sur le bouton "Demander un certificat BPKI".

2 request_bpki_button

 

Votre demande sera envoyée à tous les contacts administratifs de votre organisation. Vous devez faire un suivi avec eux pour connaître l'état de votre demande.

 

3) Accepter ou refuser une demande BPKI (pour les contacts administrateur uniquement)

Un e-mail est envoyé à tous les contacts administratifs d'une organisation lorsqu'un contact non administrateur effectue une demande BPKI. Voici un exemple d'un e-mail envoyé à des contacts administratifs.

2.2 non-admin_cert_request_email

 

Pour accepter une demande BPKI faite par des contacts non administrateurs de l'organisation, accédez à "Mon compte -> BPKI". Le système vous accordera l'accès à cette section uniquement et uniquement si vous (en tant que contact administrateur) avez déjà un certificat BPKI valide. Sinon, revenez à l'étape 2.1.

2.3 accept_reject_interface

 Vous pouvez alors accepter ou rejeter une demande BPKI d'une personne de votre organisation.

 

4. Invitation à demander votre certificat BPKI

Une fois votre demande BPKI approuvée soit par le Hostmaster (pour les contacts administratifs) soit par le contact administratif de votre organisation, vous recevrez un email comme celui ci-dessous:

3 bpki_invitation_to_retrieve

 

5. Inscrivez votre certificat BPKI

Pour inscrire votre certificat BPKI, vous devrez vous connecter au service External RA (Registration Authority). 

 

Créer un certificat à partir d'une CSR (processus manuel)

Pour pouvoir générer une paire de clés, vous devez avoir installé OpenSSL. * les plates-formes nix sont généralement fournies avec OpenSSL, pour Windows s'il vous plaît visitez cliquez ici

Préparation:

  • Générer une nouvelle clé privée et une nouvelle demande de signature de certificat
openssl req -out CSR.csr -new -newkey rsa: 2048 -nodes -keyout privateKey.key

Veuillez remplir les informations demandées pour le CSR.

 

IMPORTANT

1) Le nom commun (par exemple FQDN du serveur ou VOTRE nom) doit être (c'est-à-dire le nom d'utilisateur reçu dans l'e-mail d'invitation)

2) Vous venez de générer une clé privée pour votre certificat BPKI. Veuillez le garder en sécurité et le sauvegarder. Dans le cas où la clé est compromise, veuillez envoyer un e-mail immédiatement à  Cette adresse e-mail est protégée du spam. Vous devez activer Javascript pour la voir. , nous révoquerons votre certificat.

3) Vous devez laisser le mot de passe du challenge vide sinon le système vous demandera le mot de passe du challenge à chaque utilisation du certificat.

5.1 inscription rse

 

Assurez-vous de sélectionner "PEM" et cliquez sur "Envoyer la demande de certificat". Un certificat au format pem sera téléchargé. Enregistrez-le dans le même dossier que la CSR et la clé privée générée sous le nom .pem.

Convertissez le certificat PEM au format PKCS # 12 (p12). Pour ce faire, vous devez disposer du certificat CA du certificat client. Copiez et enregistrez le certificat de membre comme "memberca.pem" dans le même dossier que ci-dessus. Et exécutez la commande suivante:

 

openssl pkcs12 -export -out .p12 -inkey privateKey.key -in .pem -certfile memberca.pem


Sortie: votre certificat au format p12 .p12

 

  • Vous devez maintenant importer le certificat dans votre trousseau de clés ou dans le magasin de clés du certificat du navigateur. Pour importer un certificat dans votre navigateur:
    • Pour Firefox:
      • Linux: ouvrez Edition -> Préférences -> Avancé -> Chiffrement -> Afficher les certificats 
        Windows: ouvrez Outils -> Options -> Avancé -> Certificats -> Gérer les certificats 
        MAC: ouvrez Firefox -> Préférences -> Avancé -> Chiffrement-> Afficher les certificats
      • cliquez sur importer et entrez le nom du fichier (mycert.p12 ou mycert.pfx sur un MAC)
    • Pour Chrome:
      • Accéder aux préférences
      • Sélectionnez "Afficher les paramètres avancés" et sous HTTPS / SSL, cliquez sur "gérer le certificat".
      • Importez le certificat dans votre trousseau de connexion.
    • Pour MAC Safari, ouvrez un terminal

 

«ouvrir» mycert.pfx

 

Open reconnaît l'extension .pfx ou .p12 et ouvrira le trousseau afin que vous puissiez importer le certificat.

Importez le certificat dans votre trousseau de connexion.

 

IMPORTANT 
Même si vous pouvez importer votre certificat dans une série de navigateurs différents, les seuls navigateurs actuellement pris en charge pour accéder aux sections restreintes BPKI de MyAFRINIC sont Chrome et Firefox.

 

Bravo! Vous avez maintenant un certificat BPKI installé dans votre navigateur et vous pouvez maintenant vous authentifier en toute sécurité auprès de MyAFRINIC.

 

le 2018 décembre 14
Etait-ce utile?

Non, le certificat AFRINIC BPKI est attaché à un nom d'utilisateur ayant accès à https://my.afrinic.net et utilisé pour certifier numériquement les droits de l'utilisateur à effectuer des tâches particulières et à accéder à certains services en ligne tels que RPKI.

Le certificat ne peut pas être utilisé sur un domaine ni sur ses sous-domaines respectifs.

le 2019 mai 31
Etait-ce utile?

Lors de l'ajout ou de la modification des spécifications de ROA, vous pouvez voir l'effet sur la validité de vos annonces BGP dans la section «Afficher le ROA». Assurez-vous que les sections suivantes ont des dates valides et que les ROA restent valides avec le statut «NON» pour indiquer qu'ils ne sont pas révoqués.

FAQ bpki 5 2
 

le 2019 mai 31
Etait-ce utile?

RPKI est un service basé sur un certificat qui permet aux utilisateurs de certifier leurs ressources de numéros Internet pour sécuriser le routage Internet. Il s'agit d'un service basé sur une infrastructure à clé publique qui permet aux détenteurs d'adresses IP de spécifier les systèmes autonomes (AS) autorisés à créer leurs préfixes d'adresse IP.

RPKI garantit que les annonces BGP provenant d'un routeur sont validées pour garantir que les annonces proviennent du détenteur de la ressource et qu'une route est une route valide. Cela se fait via Route Object Authorization (ROA). 

Un ROA contient trois éléments d'information:

  1. Le numéro AS autorisé
  2. Le préfixe qui peut provenir de l'AS
  3. La longueur maximale du préfixe

 

Comment créer des ROA sur MyAFRINIC

  1. Créez un ROA en fournissant les éléments suivants:
  2. Sélectionner les ROA d'émission
  3. Certification des ressources
  4. Aller aux ressources
  5. Connectez-vous à https://my.afrinic.net
  1. Entrez un nom de ROA unique
  2. Sélectionnez l'origine ASN
  3. Sélectionnez le IPv4 Préfixe
    1. Clique sur le plus "+" icône pour les champs de texte de création de ROA
    2. Entrez votre longueur maximale préférée (les préfixes les plus spécifiques qui peuvent provenir de l'AS)
  4. Sélectionnez le IPv6 Préfixe le cas échéant
    1. Cliquez sur le plus "+" icône pour les champs de texte de création de ROA
    2. Entrez votre longueur maximale préférée (la plus spécifique IPv6 préfixes pouvant provenir de l'AS)
  5. Sélectionnez la date de début de validité du ROA
  6. Sélectionnez la date d'expiration du ROA 
    FAQ bpki 5 1
  1. Cliquez sur "ajouter ROA"

 

le 2019 mai 31
Etait-ce utile?

Les certificats BPKI sont valables 2 ans et à leur expiration, les ROA ne seront pas visibles depuis MyAFRINIC.

Dans le cas où votre certificat BPKI a expiré, veuillez vous référer aux FAQ suivantes:

 

le 2019 mai 31
Etait-ce utile?

Nos Exigences

  • Téléchargez et installez la dernière version de OpenSSL sur votre PC / ordinateur portable. Cela fonctionne sur Linux, macOS et Windows. 
  • Copie de l'autorité de certification membre d'AFRINIC. Cela devrait être téléchargé à partir de https://ftp.afrinic.net/bpki/memberca.pem.txt 
  • Informations d'identification à la page d'inscription de l'autorité d'enregistrement.
    Le nom d'utilisateur est nic-handle et les Mot de passe est envoyé par e-mail une fois la demande BPKI approuvée sur le portail MyAFRINIC. Pour demander une réinitialisation de mot de passe, contactez Cette adresse e-mail est protégée du spam. Vous devez activer Javascript pour la voir.

    Une fois les exigences ci-dessus en place, procédez aux étapes ci-dessous pour créer un certificat BPKI.
  1. Créer une demande de signature de certificat (CSR)


    Il est recommandé de créer un nouveau dossier et d'exécuter les commandes OpenSSL à partir de ce chemin, les fichiers générés et téléchargés résideront ici. Vous aurez peut-être besoin d'un accès administratif pour exécuter certaines de ces commandes en fonction des privilèges sur le PC / ordinateur portable 

    openssl req -out CSR.csr -new -newkey rsa: 2048 -nodes -keyout privateKey.key

    Sortie d'échantillon

    Nom du pays (code à 2 lettres) []: MU
    Nom de l'État ou de la province (nom complet) []: Ebene
    Nom de la localité (par exemple, ville) []: Cybercity
    Nom de l'organisation (par exemple, société) []: AFRINIC Ltd
    Nom de l'unité organisationnelle (par exemple, section) []: Services aux membres
    Nom commun (par exemple, nom d'hôte complet) []: NICHDL-AFRINIC
    E mail []: Cette adresse e-mail est protégée du spam. Vous devez activer Javascript pour la voir.

    Laissez le mot de passe de défi [] vide

    Les champs OBLIGATOIRES sont 
    Nom commun - nic-handle 
    Email - adresse e-mail 
    Sortie
    CSR.csr
    privateKey.key
    memberca.pem.txt  - Télécharger à partir de https://ftp.afrinic.net/bpki/memberca.pem.txt 


  2. Inscrire le CSR généré à l'autorité d'enregistrement (RA)


    Accédez à la page d'inscription de l'autorité d'enregistrement (RA)

    https://externalra.afrinic.net/externalra-gui/facelet/enroll-csrcert.xhtml

    Nom d'utilisateur: NICHNL-AFRINIC
    Mot de passe: envoyé par e-mail après approbation BPKI 
    Demande de certificat: Choisissez CSR généré à partir du fichier ci-dessus
    Type de réponse: sélectionnez PEM. Cliquez sur Envoyer une demande de certificat

    Sortie - fichier pem, enregistrez-le dans le même dossier qu'à l'étape 1 
    NICHNL-AFRINIC.pem 


  3. Générez un fichier p12 à installer dans le navigateur. Les fichiers des étapes 1 et 2 seront utilisés pour cela.


    openssl pkcs12 -export -out NICHNL-AFRINIC.p12 -inkey privateKey.key -in NICHNL-AFRINIC.pem -certfile memberca.pem.txt

    Mot de passe: envoyé par e-mail 

    Sortie - fichier p12 
    NICHNL-AFRINIC.p12


  4. Installez le p12 dans votre navigateur. AFRINIC recommande le navigateur Chrome ou Firefox. Utilisez le même mot de passe qu'à l'étape 3. 


    Firefox

    Avancé> Certificats> Afficher les certificats> Importer puis importer le p12

    Chrome

    Sur la page chrome: // paramètres, faites défiler jusqu'à «Avancé»
    Sous `` Confidentialité et sécurité '', cliquez sur `` Gérer les certificats '' et importez le p12

    Redémarrez le navigateur

    Testez l'accès en vous connectant à MyAFRINIC et en accédant à la page des ressources RPKI 

    https://my.afrinic.net/resources/rpki/

    Remarque

    L'importation du certificat varie en fonction du système d'exploitation, mais l'installation doit être simple. 

    Il y a des cas signalés où la page n'a pas pu être accédée parce que l'antivirus bloquait l'accès au certificat installé. La solution de contournement consiste à ajouter une liste blanche du portail MyAFRINIC sur la protection Web antivirus. 




le 2019 mai 31
Etait-ce utile?
  1. Connectez-vous sur https://my.afrinic.net 
  2. accédez à "Mon compte> BPKI".
  3. Cliquez sur le bouton ci-dessous

FAQ bpki 2 2 2

 

 

Le contact non administrateur recevra un e-mail avec les informations d'identification environ 30 minutes après l'approbation du contact administrateur.

Une fois les informations d'identification reçues, le contact non administrateur peut inscrire le certificat BPKI comme indiqué ici

le 2019 mai 31
Etait-ce utile?

Si vous êtes un contact technique, de facturation, d'abus ou général, il vous sera demandé de demander un certificat BPKI en cliquant sur le bouton "Demander un certificat BPKI".

FAQ bpki 2 2 1

Votre demande sera envoyée à tous les contacts administratifs de votre organisation. Ce n'est que si le contact administrateur possède déjà un certificat BPKI valide que le système lui accordera l'accès pour accepter la demande BPKI faite par des contacts non administrateurs de l'organisation. Si ce n'est pas le cas, demandez au contact administrateur de continuer comme indiqué ici.

 

le 2019 mai 31
Etait-ce utile?

Le certificat BPKI est utilisé pour certifier numériquement les droits de l'utilisateur à exécuter et à accéder à certains services en ligne tels que RPKI. 

le 2019 juil.22
Etait-ce utile?

Il n'y a aucun frais à payer pour obtenir un certificat BPKI mais seuls les contacts enregistrés de votre organisation (membre ressource AFRINIC) peuvent en faire la demande.

le 2019 juil.22
Etait-ce utile?

Même si vous gérez plusieurs organisations, vous n'aurez besoin que d'un seul certificat BPKI. Une fois installé dans votre navigateur, vous pouvez basculer entre les organisations et gérer les ROA.

le 2019 juil.22
Etait-ce utile?

whois -h whois.bgpmon.net 196.1.0.24

% This is the BGPmon.net whois Service

% You can use this whois gateway to retrieve information

% about an IP adress or prefix

% We support both IPv4 and IPv6 address.

%

% For more information visit:

% https://portal.bgpmon.net/bgpmonapi.php

 

Prefix: 196.1.0.0/24

Prefix description:

Country code:MU

Origin AS: 37708

Origin AS Name: AFRINIC-MAIN, MU

RPKI status: ROA validation successful

First seen: 2015-02-24

Last seen: 2019-06-15

Seen by #peers:82

 

 

le 2019 juil.22
Etait-ce utile?

J'ai réussi à générer et à installer mon certificat BPKI dans mon navigateur, mais lorsque j'essaie de créer des ROA, je vois toujours la page de vérification ci-dessous:

page de vérification roa

 

Redémarrez votre navigateur ou votre ordinateur. Si le problème persiste, envoyez un e-mail à service-support sur afrinic.net

 

 

le 2019 juil.22
Etait-ce utile?
Date et heure à Maurice -