Comment pouvons-nous vous aider?
BPKI
Un certificat BPKI (également appelé certificat client X.509) est un certificat numérique fourni pour identifier le titulaire d'un tel certificat lors de l'exécution d'une transaction en ligne. Dans le cas d'AFRINIC, le certificat client délivré contiendra votre NIC-HANDLE comme nom commun (CN). Le certificat AFRINIC BPKI sera utilisé pour certifier numériquement le droit des membres de l'Organisation à exécuter et à accéder à certains services en ligne tels que RPKI.
L'inscription de votre certificat est un processus par lequel votre certificat numérique est intégré dans votre navigateur pour être automatiquement utilisé à des fins d'authentification. Le processus de cette intégration n'est pas le même pour tous les navigateurs. Le processus prédéfini dans le moteur que nous utilisons chez AFRINIC n'est compatible qu'avec Firefox. Nous nous efforçons d'étendre cela à autant de navigateurs que possible.
Vous devez être un contact autorisé de votre organisation pour obtenir un certificat BPKI. Si vous êtes un contact administratif d'une organisation membre, vous devez envoyer un courrier à cette adresse e-mail qui est protégée du spam. Vous devez activer JavaScript pour la voir. avec des preuves de votre identité.
Si vous êtes un contact technique, de facturation, d'abus ou général, il vous sera demandé de demander un certificat BPKI qui devra être validé par le contact administratif de votre organisation.
En règle générale, vous devez prévoir environ 60 minutes entre la validation d'une demande de certificat et la réception du courrier associé. Si après 60 minutes vous n'avez pas reçu les détails, veuillez:
- vérifier votre boîte mail spam
- Vérifiez que l'adresse e-mail associée au NIC-HANDLE est valide.
Si tout ce qui précède est positif, veuillez contacter service-support sur afrinic.net.
Malheureusement, seul le contact administratif peut approuver un certificat BPKI.
1) Introduction
Un certificat BPKI, également appelé certificat client X.509, est utilisé pour identifier un utilisateur ou un client. Ils sont destinés à authentifier un client auprès d'un serveur. Dans le cas d'AFRINIC, le certificat client livré contiendra votre NIC-HANDLE en tant que nom commun (CN). Vous devez être un contact autorisé de votre organisation pour obtenir un certificat BPKI. Un certificat BPKI est nécessaire pour accéder aux services de certification des ressources (RPKI).
2) Comment demander un certificat BPKI
Pour demander un certificat BPKI, connectez-vous à https://my.afrinic.net et accédez à "Mon compte> BPKI".
2.1. Contact administratif
Si vous êtes un contact administratif, vous devrez nous envoyer vos informations d'identification:
- Prénom et nom
- Adresse électronique
- NIC-POIGNÉE
- Nom de l'organisation
- Copie scannée d'une pièce d'identité officielle délivrée par un gouvernement / État, un passeport, un permis de conduire ou une carte d'identité d'entreprise.
Veuillez envoyer les détails ci-dessus à cette adresse e-mail qui est protégée du spam. Vous devez activer JavaScript pour la voir. ainsi que les documents requis.
2.2. Contact non administratif
Si vous êtes un contact technique, de facturation, d'abus ou général, il vous sera demandé de demander un certificat BPKI en cliquant sur le bouton "Demander un certificat BPKI".
Votre demande sera envoyée à tous les contacts administratifs de votre organisation. Vous devez faire un suivi avec eux pour connaître l'état de votre demande.
3) Accepter ou refuser une demande BPKI (pour les contacts administrateur uniquement)
Un e-mail est envoyé à tous les contacts administratifs d'une organisation lorsqu'un contact non administrateur effectue une demande BPKI. Voici un exemple d'un e-mail envoyé à des contacts administratifs.
Pour accepter une demande BPKI faite par des contacts non administrateurs de l'organisation, accédez à "Mon compte -> BPKI". Le système vous accordera l'accès à cette section uniquement et uniquement si vous (en tant que contact administrateur) avez déjà un certificat BPKI valide. Sinon, revenez à l'étape 2.1.
Vous pouvez alors accepter ou rejeter une demande BPKI d'une personne de votre organisation.
4. Invitation à demander votre certificat BPKI
Une fois votre demande BPKI approuvée soit par le Hostmaster (pour les contacts administratifs) soit par le contact administratif de votre organisation, vous recevrez un email comme celui ci-dessous:
5. Inscrivez votre certificat BPKI
Pour inscrire votre certificat BPKI, vous devrez vous connecter au service External RA (Registration Authority).
Créer un certificat à partir d'une CSR (processus manuel)
Pour pouvoir générer une paire de clés, vous devez avoir installé OpenSSL. * les plates-formes nix sont généralement fournies avec OpenSSL, pour Windows s'il vous plaît visitez cliquez ici
Étapes :
- Générer une nouvelle clé privée et une nouvelle demande de signature de certificat
openssl req -out CSR.csr -new -newkey rsa: 2048 -nodes -keyout privateKey.key
Veuillez remplir les informations demandées pour le CSR.
IMPORTANT
1) Le nom commun (par exemple FQDN du serveur ou VOTRE nom) doit être (c'est-à-dire le nom d'utilisateur reçu dans l'e-mail d'invitation)
2) Vous venez de générer une clé privée pour votre certificat BPKI. Veuillez le garder en sécurité et le sauvegarder. Dans le cas où la clé est compromise, veuillez envoyer un e-mail immédiatement à cette adresse e-mail qui est protégée du spam. Vous devez activer JavaScript pour la voir. , nous révoquerons votre certificat.
3) Vous devez laisser le mot de passe du challenge vide sinon le système vous demandera le mot de passe du challenge à chaque utilisation du certificat.
- Ensuite, accédez à https://externalra.afrinic.net/externalra-gui/facelet/enroll-csrcert.xhtml et entrez les informations d'identification reçues dans votre e-mail d'invitation et cliquez sur "Parcourir" pour sélectionner le CSR fraîchement généré.
Assurez-vous de sélectionner "PEM" et cliquez sur "Envoyer la demande de certificat". Un certificat au format pem sera téléchargé. Enregistrez-le dans le même dossier que la CSR et la clé privée générée sous le nom .pem.
Convertissez le certificat PEM au format PKCS # 12 (p12). Pour ce faire, vous devez disposer du certificat CA du certificat client. Copiez et enregistrez le certificat de membre comme "memberca.pem" dans le même dossier que ci-dessus. Et exécutez la commande suivante:
openssl pkcs12 -export -out .p12 -inkey privateKey.key -in .pem -certfile memberca.pem
Sortie: votre certificat au format p12 .p12
- Vous devez maintenant importer le certificat dans votre trousseau de clés ou dans le magasin de clés du certificat du navigateur. Pour importer un certificat dans votre navigateur:
- Pour Firefox:
- Linux: ouvrez Edition -> Préférences -> Avancé -> Chiffrement -> Afficher les certificats
Windows: ouvrez Outils -> Options -> Avancé -> Certificats -> Gérer les certificats
MAC: ouvrez Firefox -> Préférences -> Avancé -> Chiffrement-> Afficher les certificats - cliquez sur importer et entrez le nom du fichier (mycert.p12 ou mycert.pfx sur un MAC)
- Linux: ouvrez Edition -> Préférences -> Avancé -> Chiffrement -> Afficher les certificats
- Pour Chrome:
- Accéder aux préférences
- Sélectionnez "Afficher les paramètres avancés" et sous HTTPS / SSL, cliquez sur "gérer le certificat".
- Importez le certificat dans votre trousseau de connexion.
- Pour MAC Safari, ouvrez un terminal
«ouvrir» mycert.pfx
Open reconnaît l'extension .pfx ou .p12 et ouvrira le trousseau afin que vous puissiez importer le certificat.
Importez le certificat dans votre trousseau de connexion.
IMPORTANT
Même si vous pouvez importer votre certificat dans une série de navigateurs différents, les seuls navigateurs actuellement pris en charge pour accéder aux sections de MyAFRINIC sont Chrome et Firefox.
Bravo! Vous avez maintenant un certificat BPKI installé dans votre navigateur et vous pouvez maintenant vous authentifier en toute sécurité pour MyAFRINIC.
Non, le certificat AFRINIC BPKI est attaché à un nom d'utilisateur ayant accès à https://my.afrinic.net et utilisé pour certifier numériquement les droits de l'utilisateur à effectuer des tâches particulières et à accéder à certains services en ligne tels que RPKI.
Le certificat ne peut pas être utilisé sur un domaine ni sur ses sous-domaines respectifs.
Les certificats BPKI sont valables 2 ans et à leur expiration, les ROA ne seront plus visibles depuis MyAFRINIC.
Dans le cas où votre certificat BPKI a expiré, veuillez vous référer aux FAQ suivantes:
- Comment inscrire le certificat BPKI?
- Comment soumettre une demande BPKI si vous êtes contact administratif?
Exigences
- Téléchargez et installez la dernière version de OpenSSL sur votre PC / ordinateur portable. Cela fonctionne sur Linux, macOS et Windows.
- Copie de l'autorité de certification membre d'AFRINIC. Cela devrait être téléchargé à partir de http://ftp.afrinic.net/bpki/memberca.pem.txt
- Informations d'identification à la page d'inscription de l'autorité d'enregistrement.
Le nom d'utilisateur est poignée-nic et par Mot de passe est envoyé par e-mail une fois la demande BPKI approuvée le MyAFRINIC portail. Pour demander une réinitialisation de mot de passe, contactez cette adresse e-mail qui est protégée du spam. Vous devez activer JavaScript pour la voir.
Une fois les exigences ci-dessus en place, procédez aux étapes ci-dessous pour créer un certificat BPKI.
-
Créer une demande de signature de certificat (CSR)
Il est recommandé de créer un nouveau dossier et d'exécuter les commandes OpenSSL à partir de ce chemin, les fichiers générés et téléchargés résideront ici. Vous aurez peut-être besoin d'un accès administratif pour exécuter certaines de ces commandes en fonction des privilèges sur le PC / ordinateur portable
openssl req -out CSR.csr -new -newkey rsa: 2048 -nodes -keyout privateKey.key
Sortie d'échantillon
Nom du pays (code à 2 lettres) []: MU
Nom de l'État ou de la province (nom complet) []: Ebene
Nom de la localité (par exemple, ville) []: Cybercity
Nom de l'organisation (par exemple, société) []: AFRINIC Ltd
Nom de l'unité organisationnelle (par exemple, section) []: Services aux membres
Nom commun (par exemple, nom d'hôte complet) [] : NICHDL-AFRINIC
Adresse e-mail [] : cette adresse e-mail qui est protégée du spam. Vous devez activer JavaScript pour la voir.
Laissez le mot de passe de défi [] vide
Les champs OBLIGATOIRES sont
Nom commun - nic-handle
Email - adresse e-mail
Sortie
RSE.csr
cléprivée.key
membreca.pem.txt - Télécharger à partir de http://ftp.afrinic.net/bpki/memberca.pem.txt -
Inscrire le CSR généré à l'autorité d'enregistrement (RA)
Accédez à la page d'inscription de l'autorité d'enregistrement (RA)
https://externalra.afrinic.net/externalra-gui/facelet/enroll-csrcert.xhtml
Nom d'utilisateur: NICHNL-AFRINIC
Mot de passe: envoyé par e-mail après approbation BPKI
Demande de certificat: Choisissez CSR généré à partir du fichier ci-dessus
Type de réponse: sélectionnez PEM. Cliquez sur Envoyer une demande de certificat
Sortie - fichier pem, enregistrez-le dans le même dossier qu'à l'étape 1
NICHNL-AFRINIC.pem -
Générez un fichier p12 à installer dans le navigateur. Les fichiers des étapes 1 et 2 seront utilisés pour cela.
openssl pkcs12 -export -out NICHNL-AFRINIC.p12 -inkey privateKey.key -in NICHNL-AFRINIC.pem -certfile memberca.pem.txt
Mot de passe: envoyé par e-mail
Sortie - fichier p12
NICHNL-AFRINIC.p12 -
Installez le p12 dans votre navigateur. AFRINIC recommande le navigateur Chrome ou Firefox. Utilisez le même mot de passe qu'à l'étape 3.
Firefox
Avancé> Certificats> Afficher les certificats> Importer puis importer le p12
Chrome
Sur la page chrome: // paramètres, faites défiler jusqu'à «Avancé»
Sous `` Confidentialité et sécurité '', cliquez sur `` Gérer les certificats '' et importez le p12
Redémarrez le navigateur
Testez l'accès en vous connectant à MyAFRINIC et accéder à la page des ressources RPKI
https://my.afrinic.net/resources/rpki/
REMARQUE
L'importation du certificat varie en fonction du système d'exploitation, mais l'installation doit être simple.
Il existe des cas signalés où la page n'était pas accessible car l'antivirus bloquait l'accès au certificat installé. La solution de contournement consiste à ajouter une liste blanche de MyAFRINIC portail sur la protection web antivirus.
- Connectez-vous sur https://my.afrinic.net
- accédez à "Mon compte> BPKI".
- Cliquez sur le bouton ci-dessous
Le contact non administrateur recevra un e-mail avec les informations d'identification environ 30 minutes après l'approbation du contact administrateur.
Une fois les informations d'identification reçues, le contact non administrateur peut inscrire le certificat BPKI comme indiqué ici
Si vous êtes un contact technique, de facturation, d'abus ou général, il vous sera demandé de demander un certificat BPKI en cliquant sur le bouton "Demander un certificat BPKI".
Votre demande sera envoyée à tous les contacts administratifs de votre organisation. Ce n'est que si le contact administrateur possède déjà un certificat BPKI valide que le système lui accordera l'accès pour accepter la demande BPKI faite par des contacts non administrateurs de l'organisation. Si ce n'est pas le cas, demandez au contact administrateur de continuer comme indiqué ici.
Le certificat BPKI est utilisé pour certifier numériquement les droits de l'utilisateur à exécuter et à accéder à certains services en ligne tels que RPKI.
Il n'y a aucun frais à payer pour obtenir un certificat BPKI mais seuls les contacts enregistrés de votre organisation (membre ressource AFRINIC) peuvent en faire la demande.
Même si vous gérez plusieurs organisations, vous n'aurez besoin que d'un seul certificat BPKI. Une fois installé dans votre navigateur, vous pouvez basculer entre les organisations et gérer les ROA.
Pour demander un certificat BPKI, connectez-vous à https://my.afrinic.net et accédez à "Mon compte> BPKI".
J'ai réussi à générer et à installer mon certificat BPKI dans mon navigateur, mais lorsque j'essaie de créer des ROA, je vois toujours la page de vérification ci-dessous:
Redémarrez votre navigateur ou votre ordinateur. Si le problème persiste, envoyez un e-mail à service-support sur afrinic.net.