Les certificats serveurs proposés par le service TCS sont délivrés par l’autorité de certification TERENA SSL CA. Cette autorité est une autorité fille de UTN USERFIRST HARDWARE, elle-même fille de AddTrust External CA Root, qui apparaît sous l’intitulé AddTrust External CA Root dans les magasins de certificats des navigateurs.

La chaîne de certification

Un serveur utilisant un certificat TCS doit être configuré (avec Apache via la directive SSLCertificateChainFile) pour présenter une chaîne de certification qui regroupe le certificat de l’autorité “TERENA SSL CA” et des autorités de certification mères.

Vous pouvez la télécharger ici.

Les listes de révocation

La liste de révocation des certificats serveurs TERENA SSL CA proposés par le service TCS est disponible ici.

Attention ! Elle est au format DER. Apache n’accepte pas les CRL au format DER, il accepte les CRL seulement au format PEM. Pour convertir une CRL du format DER au format PEM, utilisez la commande OpenSSL suivante :

openssl crl -inform DER -in crl.crl -outform PEM -out crl.pem

La validation des certificats émis par cette AC peut aussi se faire au moyen du service OCSP à l’aide du serveur : http://ocsp.tcs.terena.org