SSL Managed — Gestion souveraine de certificats SSL Azure

Le problème

La gestion des certificats SSL/TLS OV (Organization Validated) d'une organisation est une corvée critique : vetting préalable de l'organisation auprès de la CA (KBIS, documents corporate), vetting de chaque domaine DNS, suivi des dates d'expiration, renouvellement à temps, distribution aux services consommateurs. La déléguer à un prestataire impose habituellement un partage de secrets ou un accès tiers à votre tenant — incompatible avec une posture de souveraineté.

La solution SSL Managed

SSL Managed est une Azure Managed Application qui déploie chez vous un Key Vault dédié (RBAC mode) et un Storage Account avec un container sslcerts. Vous y déposez la liste des CN à gérer. 3SR émet vos certificats OV via l'API GlobalSign Managed SSL (relayée par notre API interne) puis pousse les certificats directement dans votre Key Vault.

Aucun certificat ni clé privée ne quitte votre tenant — 3SR opère chez vous.

Ce qui nous différencie

100% souverain

Certificats et clés stockés dans votre Key Vault, sous votre RBAC. 3SR ne les extrait jamais.

Certificats OV GlobalSign

Émission via l'API GlobalSign Managed SSL relayée par 3SR. Niveau de validation Organization Validated, supérieur aux DV gratuits type Let's Encrypt.

Vetting mutualisé

Vous validez votre organisation et vos domaines une seule fois. Chaque émission ou renouvellement réutilise ce vetting — émission sous quelques minutes au lieu de quelques jours.

Externalisation propre

3SR opère sans accès cross-tenant. Notre Service Principal éditeur n'écrit que dans le Key Vault et le storage du Resource Group managé.

Activation rapide

Déploiement Marketplace, vetting initial, puis renouvellements automatiques.

Architecture

SSL Managed déploie chez vous, dans un Resource Group managé :

Azure Key Vault (SKU standard, RBAC mode enableRbacAuthorization: true) — stockage des certificats émis et de leurs clés privées
Storage Account avec container sslcerts (allowSharedKeyAccess: false) — déclaration des CN à gérer

Côté 3SR : une API interne qui sert de relais authentifié vers GlobalSign Managed SSL. Cette API est le seul point qui interagit avec GlobalSign — vous n'avez aucune relation directe à gérer avec la CA.

Workflow d'usage

Onboarding initial (une seule fois) — Vous fournissez à 3SR les pièces de vetting de votre organisation (KBIS, statuts, justificatif d'adresse, etc.). 3SR enregistre votre organisation auprès de GlobalSign Managed SSL.
Vetting des domaines — Pour chaque domaine DNS qui hébergera des certificats SSL Managed, GlobalSign procède à un vetting du domaine (vérification de propriété DNS). Une fois validé, le domaine peut servir à émettre des certificats sans nouveau vetting.
Installation — Vous installez SSL Managed depuis Microsoft Marketplace (wizard portail Azure). Le Resource Group managé est provisionné dans votre tenant.
Déclaration des CN — Vous déposez dans le container sslcerts la liste des CN à gérer (format JSON). Tous les domaines parents doivent être pré-vettés (étape 2).
Émission — 3SR appelle l'API GlobalSign via son relais interne et émet les certificats OV. Les certificats + clés privées sont poussés dans votre Key Vault.
Renouvellement automatique — Avant chaque échéance, 3SR ré-émet via GlobalSign et met à jour le Key Vault. Les services consommateurs (App Gateway, Front Door, App Service) lisent les certificats à jour via les références Key Vault, sans intervention de votre part.

Support et engagements

Support 3SR via support@3sr.fr. Le vetting initial peut prendre 2-5 jours ouvrables côté GlobalSign (dépend de la rapidité de fourniture de vos documents). Une fois vetté, l'émission ou le renouvellement d'un certificat sur un domaine connu prend quelques minutes. Voir la page Support pour le SLA détaillé et la FAQ.