Un certificat BPKI, également appelé certificat client X.509, est utilisé pour identifier un utilisateur ou un client. Ils sont destinés à authentifier un client auprès d'un serveur. Dans le cas d'AFRINIC, le certificat client livré contiendra votre NIC-HANDLE en tant que nom commun (CN). Vous devez être un contact autorisé de votre organisation pour obtenir un certificat BPKI. Un certificat BPKI est nécessaire pour accéder aux services de certification des ressources (RPKI).
Pour demander un certificat BPKI, connectez-vous à https://my.afrinic.net et accédez à "Mon compte> BPKI".
Si vous êtes un contact administratif, vous devrez nous envoyer vos informations d'identification:
Veuillez envoyer les détails ci-dessus à cette adresse e-mail qui est protégée du spam. Vous devez activer JavaScript pour la voir. ainsi que les documents requis.
Si vous êtes un contact technique, de facturation, d'abus ou général, il vous sera demandé de demander un certificat BPKI en cliquant sur le bouton "Demander un certificat BPKI".
Votre demande sera envoyée à tous les contacts administratifs de votre organisation. Vous devez faire un suivi avec eux pour connaître l'état de votre demande.
Un e-mail est envoyé à tous les contacts administratifs d'une organisation lorsqu'un contact non administrateur effectue une demande BPKI. Voici un exemple d'un e-mail envoyé à des contacts administratifs.
Pour accepter une demande BPKI faite par des contacts non administrateurs de l'organisation, accédez à "Mon compte -> BPKI". Le système vous accordera l'accès à cette section uniquement et uniquement si vous (en tant que contact administrateur) avez déjà un certificat BPKI valide. Sinon, revenez à l'étape 2.1.
Vous pouvez alors accepter ou rejeter une demande BPKI d'une personne de votre organisation.
Une fois votre demande BPKI approuvée soit par le Hostmaster (pour les contacts administratifs) soit par le contact administratif de votre organisation, vous recevrez un email comme celui ci-dessous:
Pour inscrire votre certificat BPKI, vous devrez vous connecter au service External RA (Registration Authority).
Créer un certificat à partir d'une CSR (processus manuel)
Pour pouvoir générer une paire de clés, vous devez avoir installé OpenSSL. * les plates-formes nix sont généralement fournies avec OpenSSL, pour Windows s'il vous plaît visitez cliquez ici
Étapes :
openssl req -out CSR.csr -new -newkey rsa: 2048 -nodes -keyout privateKey.key
Veuillez remplir les informations demandées pour le CSR.
IMPORTANT
1) Le nom commun (par exemple FQDN du serveur ou VOTRE nom) doit être (c'est-à-dire le nom d'utilisateur reçu dans l'e-mail d'invitation)
2) Vous venez de générer une clé privée pour votre certificat BPKI. Veuillez le garder en sécurité et le sauvegarder. Dans le cas où la clé est compromise, veuillez envoyer un e-mail immédiatement à cette adresse e-mail qui est protégée du spam. Vous devez activer JavaScript pour la voir. , nous révoquerons votre certificat.
3) Vous devez laisser le mot de passe du challenge vide sinon le système vous demandera le mot de passe du challenge à chaque utilisation du certificat.
Assurez-vous de sélectionner "PEM" et cliquez sur "Envoyer la demande de certificat". Un certificat au format pem sera téléchargé. Enregistrez-le dans le même dossier que la CSR et la clé privée générée sous le nom .pem.
Convertissez le certificat PEM au format PKCS # 12 (p12). Pour ce faire, vous devez disposer du certificat CA du certificat client. Copiez et enregistrez le certificat de membre comme "memberca.pem" dans le même dossier que ci-dessus. Et exécutez la commande suivante:
openssl pkcs12 -export -out .p12 -inkey privateKey.key -in .pem -certfile memberca.pem
Sortie: votre certificat au format p12 .p12
«ouvrir» mycert.pfx
Open reconnaît l'extension .pfx ou .p12 et ouvrira le trousseau afin que vous puissiez importer le certificat.
Importez le certificat dans votre trousseau de connexion.
IMPORTANT
Même si vous pouvez importer votre certificat dans une série de navigateurs différents, les seuls navigateurs actuellement pris en charge pour accéder aux sections de MyAFRINIC sont Chrome et Firefox.
Bravo! Vous avez maintenant un certificat BPKI installé dans votre navigateur et vous pouvez maintenant vous authentifier en toute sécurité pour MyAFRINIC.