Accueil

  IGC CNRS : FAQ

Cette FAQ n'a pas pour but de reprendre la documentation utilisateur accessible sur le site de l'IGC (https://igc.services.cnrs.fr/DocTech/) mais de vous aider à résoudre les problèmes fréquemment rencontrés lors de la mise en place des certificats numériques.
Avant toute chose, nous vous conseillons de lire les pré-requis puis de consulter la liste des questions pour voir si votre problème est référencé.
Si ce n'est pas le cas, vous pouvez vous adresser à votre support dont les coordonnées sont indiquées à cette page : https://igc.services.cnrs.fr/aide.html.

Avertissement

Dans tous les exemples présents dans cette documentation, l'autorité de certification utilisée est CNRS-Test. Cette autorité sert à des fins de tests uniquement. Vous devrez adapter les noms et les URL à l'autorité qui vous concerne.
Exemples : la page d'accueil pour l'autorité de certification CNRS-Test est : https://igc.services.cnrs.fr/CNRS-Test/
C'est à partir de cette page que pourront se faire les demandes de certificat. On y trouve aussi un certain nombre d.informations concernant l'autorité et le(s) nom(s) de l'autorité d.enregistrement.
La page d'accueil de l'autorité de certification CNRS2-Standard est : https://igc.services.cnrs.fr/CNRS2-Standard/
Toutes les demandes de certificat CNRS2-Standard se feront à partir de cette page.
Le principe est le même pour toutes les autorités de certification du CNRS.

Ce document est propriété du CNRS et de ces auteurs et est maintenu par l'UREC/CNRS. Il est à destination des utilisateurs de l'infrastructure de Gestion de clefs du CNRS et des possesseurs de certificats délivrés par le CNRS. Il ne peut pas être utilisé, distribué ou copié en dehors de ce cadre ou sans l'accord d.un de ses auteurs ou de l'UREC/CNRS. 

Pré-requis

Systèmes d'exploitation
Navigateurs
Clients de messagerie
Divers

Demande de certificats

Qu'est-ce qu'une autorité d'enregistrement  ?
Je veux un certificat, comment faire ?
A quoi servent les certificats des autorités de certification ?
Comment récupérer les certificats des autorités de certification dans mon navigateur ?
Le code unité n'est pas présent dans les codes autorisés
J'ai fait une demande et je ne vois rien venir.
Le nom ou le prénom est refusé lors de la demande
Le message électronique de confirmation n'a pas été compris par le moteur de l'IGC.
Impossible de récupérer le certificat
Comment exporter mon certificat ?
Quelle est la différence entre exporter et sauvegarder un certificat ?
Je dois changer de poste de travail ou réinstaller le système d'exploitation
Je souhaite un certificat pour un serveur

Utilisation des certificats

J'ai mon certificat, est-ce que ça fonctionne ?
Mon certificat ne fonctionne pas. Quelles vérifications puis-je faire ?
Impossible de visualiser un site sécurisé (en HTTPS)
Impossible de signer un message avec mon certificat
Un mot de passe ? Quel mot de passe ?
J'ai perdu le mot de passe sous Netscape ou Mozilla. Que faire ?
Ou sont stockés les certificats et les clefs privées ?
Qui contacter pour révoquer un certificat ?
Les listes de révocations sont obsolètes : comment les mettre à jour manuellement ?

Renouvellement

Pourquoi renouveler mon certificat
Comment le certificat est-il renouvelé ?
Mon certificat est expiré
Lors d'un renouvellement de certificat, les clefs (privée et publique) sont-elles changées  ?
Problème de renouvellement

Problèmes de navigateurs et de systèmes

Netscape Communicator : Problème du nom d’un certificat utilisateur
Netscape Communicator : Problème de récupération des certificats des autorité d'enregistrement.
Netscape Communicator : Problème de récupération de certificat lors de la réception du message “ [RA] Votre demande de certificat ”
Netscape Communicator : Problème du choix d’un certificat pour signer et chiffrer
Netscape Communicator : Problème du choix d’un certificat pour l’accès aux pages Web protégées.
Netscape Communicator : Problème d’accès à une page Web contrôlée par certificat
Netscape Communicator :  Problème des multiples instances sous Netscape UNIX
Netscape Communicator : Chargement « à la volée » (CA RACINE + Clef Utilisateur)

Mozilla, Netscape : code erreur 12227

Internet Explorer : comment changer le niveau de sécurité d'un certificat
Internet Explorer : problème de récupération de certificat
Internet Explorer : Problème lors de la demande de certificat
Internet Explorer : lors de la récupération des certificats des autorités de certification, mon système ne sait pas comment les installer (avec Microsoft)
Internet Explorer : qu'est ce que “ xenroll.dll ” ?
Internet Explorer : message "Voulez-vous installer et exécuter “Microsoft Certificate Enrollment Control” " pendant une demande de certificat.
Internet Explorer : après une mise à jour d'IE, impossible de se connecter à un site sécurisé.

Mac OS X : comment importer les certificats des AC CNRS dans Safari
Mac OS X : comment importer un certificat dans Safari

Divers

J'ai changé d'adresse électronique, de laboratoires, ...
Comment supprimer TOUTES les informations sur les certificats ?

 


Distribution du document, Contributions

Pré-Requis

Systèmes d'exploitation

L'OS doit supporter le cryptage 128bits !

Pour les plates-formes Windows, le pack se trouve à cette URL : http://www.microsoft.com/windows/ie/downloads/recommended/128bit/default.asp (attention à la langue utilisée par votre OS).

Pour NT4 : service pack 6a version 128bits et non la version standard.

Attention ! Pour win9x, Me et NT, la mise a jour d'IE peut écraser deux bibliothèques de cryptage. Il est alors nécessaire de repasser, soit le service pack (pour NT), soit le pack 128bits (pour les autres OS).

Sur MacOS, Linux et systèmes Unix, l'installation du navigateur (Netscape 7 ou Mozilla 1) permet la gestion du cryptage 128bits.

À partir de Mac OS X 10.3.3 les certificats CNRS sont supportés dans les applications Mail et Safari d'Apple. Voir la documentation suivante : http://www.laas.fr/~matthieu/macosx/certificats.html

Navigateurs

Linux :

  • Mozilla 1.X
  • Netscape Communicator 4.7X,
  • Netscape 7.X

Mac OS X

  • Internet Exporer 5.0 et +,
  • Mozilla 1.X
  • Netscape Communicator 4.7X,
  • Netscape 7.X
  • Safari 2.0 et +

Windows :

  • Internet Explorer 5.0 et +; les demandes de certificats ne fonctionnent pas sous Windows Vista avec IE7
  • Netscape Communicator 4.7X,
  • Netscape 7.X
  • Mozilla 1.X

Chacune de ces navigateurs a des points forts et des points faibles dont voici un très bref aperçu :

  • Netscape Communicator 4.X gère mal les noms des certificats lorsque vous en avez plusieurs,
  • Seul Netscape en version 4.75 à 4.8 sait signer les requêtes de demande de certificat (fonction utile uniquement pour les autorités d'enregistrement). Les autres navigateurs n'en sont pas capables à l'heure où cette FAQ est écrite.
  • Les demandes de certificats peuvent être effectuées via IE, Netscape ou Mozilla.
  • IE, Mozilla 1.X et Netscape 7.X savent gérer plusieurs certificats,
  • IE sait exporter un certificat en incluant les certificats racines rattachés. Mais l'importation ne peut alors qu'être effectuée au sein d'IE.

Clients de messagerie

Plusieurs clients de messagerie supportent le "smime" et donc le processus de signature ou chiffrement des messages :

Linux :

  • Mozilla 1.X
  • Netscape Communicator 4.7X,
  • Netscape 7.X

Mac OS X

  • Mail
  • Mozilla 1.X
  • Netscape Communicator 4.7X,
  • Netscape 7.X

Windows :

  • Mozilla 1.X
  • Mozilla
  • Netscape Communicator 4.7X,
  • Netscape 7.X
  • Outlook express,
  • Outlook,
  • TheBat!

Eudora, hélas, ne supporte pas le smime bien qu'il représente près de 80% du parc "recherche".

Divers

Il est absolument nécessaire de récupérer les certificats racines qui se trouvent en amont du certificat utilisateur. Donc, pour un certificat CNRS2-Standard, CNRS racine et CNRS2-Standard racine doivent être installés et pour un certificat CNRS2-Plus, CNRS racine et CNRS2-Plus racine. Si ces certificats ne sont pas installés, les processus de signature et de cryptage ne pourront pas fonctionner correctement. Ces certificats sont disponibles à ces URL respectives : https://igc.services.cnrs.fr/CNRS2-Standard/recherche.html et https://igc.services.cnrs.fr/CNRS2-Plus/recherche.html. Contacts, obtenir de l'aide Si la documentation ne résout pas vos problèmes, vous pouvez contacter votre support. Le support est distribué en fonction de votre laboratoire, la délégation dont vous dépendez ou le département scientifique. La liste des supports est disponible à l'adresse suivante : https://igc.services.cnrs.fr/aide.html  

Demande de certificats

Qu'est-ce qu'une autorité d'enregistrement  ?

Les demandes de certificats doivent être validées. L'autorité d'enregistrement (AE) est la personne responsable de cette fonction. Son rôle est de vérifier les informations contenues dans le certificat avant d'accepter ou de refuser la validation du certificat demandé.

Au CNRS, pour les certificats CNRS2-Standard, il y a une autorité d'enregistrement par laboratoire, le directeur, qui peut déléguer cette fonction à un membre du laboratoire.

Je veux un certificat, comment faire ?

Si votre laboratoire à une autorité d'enregistrement, vous devez:

  1. vous connecter sur le site de l'IGC vous concernant.
    La liste des autorités de certification est disponible ici :

    http://www.urec.cnrs.fr/igc/Certifs_CNRS.html

    Si vous voulez un certificat CNRS2-Standard, la page d'accueil est : https://igc.services.cnrs.fr/CNRS2-Standard/

  2. Récupérer le(s) certificat(s) de(s) l’autorité(s) de certification
    par l'onglet “Recherche”, puis “Certificat CA”,
    ou consultez la réponse à la question « Comment récupérer les certificats des autorités de certification dans mon navigateur » dans cette FAQ.
  3. Demander un certificat utilisateur par l'onglet “Certificats” en r emplissant le formulaire en ligne
  4. Vous allez recevoir une demande de confirmation par messagerie. C'est à vous de confirmer votre demande par messagerie en suivant les instructions du message.
  5. Attendre la validation de cette demande par l'autorité d'enregistrement:
    Un message électronique vous préviendra de la validation, que votre certificat a été crééet comment le récupérer.
  6. Récupérer et sauvegarder votre certificat.

Si votre laboratoire n'a pas d'autorité d'enregistrement, pour les certificats CNRS2-Standard, contactez le service du RSI de votre délégation régionale.

A quoi servent les certificats des autorités de certification ?

Une autorité de Certification (AC) a elle-même un certificat qui l'identifie.

Les navigateurs comme IE ou Netscape intègrent par défaut une liste de certificats d'ACs a qui ils font confiance (Verisign, Thawte, ...), mais pas les certificats des AC du CNRS .

Il faut donc "charger" ces certificats dans le navigateur et lui indiquer qu'ils sont "de confiance" .

Comment récupérer les certificats des autorités de certification dans mon navigateur ?

 

Pour Netscape et Mozilla, il faut déclarer "faire confiance" à l'Autorité de certification.
Celà peut se faire lors du chargement du certificat, en cochant les 3 cases lorsque la fenêtre suivante apparait :

On peut aussi le faire plus tard via :

  • Pour Mozilla et Netscape 7.X :

Edit => Préférences => Privacy & security => Certificates => manage Certificates => onglet "Authorities"

  • Pour Netscape Communicator :

Security => Certificates => Signers

Puis Sélectionner le certificat de l'AC et cliquez sur "Edit"

 

Le code unité n'est pas présent dans les codes autorisés

Si le code de votre unité n'est pas présent, c'est que votre laboratoire n'a pas encore d'Autorité d'Enregistrement désignée.

Contactez le service du RSI de votre délégation pour effectuer les démarches nécessaires.

J'ai fait une demande et je ne vois rien venir.

Une fois le formulaire rempli, vous devez confirmer cette demande par messagerie. Un message électronique de demande de confirmation doit vous parvenir. C'est à vous d'y répondre en suivant les instructions.

Une fois confirmée, la demande est envoyée à votre autorité d'enregistrement, c'est-à-dire à la personne qui est chargée de valider cette demande. Cette validation se fait en fonction de ces disponibilités. Si le délai est trop long, essayez de la contacter.

Le nom ou le prénom est refusé lors de la demande

Plusieurs raisons possibles :

  1. Si vous avez déjà un certificat utilisateur, il ne sera pas possible d'en demander un nouveau avec le même nom, le même prénom et la même adresse électronique.
    Si vous l'avez perdu ou s'il n'est plus utilisable, il faut demander sa révocation puis refaire une demande.

  2. Certains caractères sont interdits.

Le message électronique de confirmation n'a pas été compris par le moteur de l'IGC.

Après une demande, il vous est demandé une confirmation par messagerie électronique. Vous allez recevoir un message comme celui-ci  :

Subject:[IGC]Confirmation de demande de certificat
From:igc@services.cnrs.fr
Date:Thu, 28 Nov 2002 17:26:13 +0100
To:votre adresse electronique
Vous avez demandé un certificat. Cette demande a besoin d'être confirmée par vous.
Pour confirmer la demande, cliquez sur le lien suivant puis envoyez le message qui va s'afficher sans le modifier :
<mailto:igc-request@services.cnrs.fr?subject=CONFIRM%2078464554>
ou envoyez un message électronique à : igc-request@services.cnrs.fr
en indiquant la commande ci-dessous dans le sujet du message sans la modifier :
CONFIRM 78464554
En confirmant votre demande, vous acceptez implicitement que votre certificat soit publié dans l'annuaire publique de l'Infrastructure de Gestion de Clés du CNRS.
Si vous ne souhaitez pas confirmer cette demande, ne cliquez pas sur le lien et détruisez ce message.

=========================================================
|Message généré par l'autorité d'enregistrement du CNRS |
=========================================================

Il faut que le message soit envoyé à l'adresse

igc-request@services.cnrs.fr

avec comme sujet de votre message 

CONFIRM <no de la requête>

Pour l'exemple ci-dessus :

CONFIRM 78464554

Si vous utilisez l'URL, attention à ce que l'intégralité de la commande CONFIRM ... soit mise dans le champ “sujet”.

Impossible de récupérer le certificat

Difficile de répondre de manière générique à ce problème.

L'un des problèmes le plus courant est qu'il faut utiliser le même navigateur que celui utilisé lors de la demande et sur le même poste utilisateur. Ceci est impératif, car les clefs privées et publiques sont crées par le navigateur lors de la demande de certificat et la clé privée n'est pas transmises à l'IGC.

Vérifiez tous les prérequis, en particulier le pack encryption.

Comment exporter mon certificat ?

Consultez la documentation en ligne, chapitre 4.3.5 pour Netscape et chapitre 4.4.4 pour Internet Explorer.

Quelle est la différence entre exporter et sauvegarder un certificat ?

C'est la même chose. C'est l'action de sortir le certificat et sa clef privée du navigateur pour les stocker dans un fichier. Ce fichier est ensuite à sauvegarder sur un support externe. Attention à bien protéger le fichier ainsi créé par un mot de passe non trivial et à stocker le support de sauvegarde en lieu sûr!

Je dois changer de poste de travail ou réinstaller le système d'explotation

Il faut au préalable sauvegarder (ou exporter) le certificat sur un support externe (CD-ROM, disquette, lecteur zip ...).

Consultez la documentation en ligne, chapitre 4.3.5 pour Netscape et chapitre 4.4.4 pour Internet Explorer.

Sur le nouveau poste ou après réinstallation, il suffira de :

consultez la documentation en ligne, chapitre 4.3.6 pour Netscape et chapitre 4.4.5 pour Internet Explorer.

Je souhaite un certificat pour un serveur

Il faut au préalable avoir un certificat utilisateur.

Une fois celui-ci obtenu, vous pouvez demander un certificat serveur à partir de l'onglet « certificats » de la page de l'autorité de certification qui correspond à votre certificat. (cf. http://www.urec.cnrs.fr/igc/Certifs_CNRS.html)

Utilisation des certificats

J'ai mon certificat, est-ce que ça fonctionne ?

Pour tester, vous pouvez vous tester votre certificat ici :

https://igc.services.cnrs.fr/CNRS2-Standard/?cmd=test_certificate

et vérifier les informations.

 

Mon certificat ne fonctionne pas. Quelles vérifications puis-je faire ?

  1. Il n'a encore jamais fonctionné
    La première chose à faire est de vérifier la bonne installation des certificats au niveau du navigateur.

    1. Avez-vous récupéré les certificats des autorités de certification ?
      Si non, consultez la documentation:utilisateur
      Avec Netscape : chapitre 4.3.1
      Avec Internet Explorer : chapitre 4.4.1
      Attention, dans la documentation on parle de l'autorité de certification CNRS-Test. C'est juste pour l'exemple et c'est à adapter en fonction de votre autorité de certification. Si vous avez un certificat CNRS2-Standard, la page d'accès est : https://igc.services.cnrs.fr/CNRS2-Standard/
    2. Avez-vous des listes de révocations ?
      Il est conseillé de ne pas les utiliser au niveau du poste client. Consultez la documentation : avec Netscape : chapitre 5.3.4
    3. Vérifiez le certificat à partir du navigateur:
      Avec Netscape :
      aller dans les menus: "communicator", "outils", "info sur la securite" puis "certificats", "vos certificats".
      Sélectionner le certificat à tester et cliquer sur "vérifier".
      Avec Mozilla :
      cliquer sur “ edit ”, “ preferences ”, “ privacy & security ”, “ certificates ”.
      Dans la partie centrale de la fenêtre, cliquer sur “ manage certificates ”.
      Sélectionner le certificat et cliquer sur “ view ” et vérifier le résultat.
      Avec Internet Explorer :
      aller dans le menu « Outils », « Options Internet » , cliquer sur l’onglet « Contenu » puis « Certificats »
      Cliquer sur l’onglet « personnel ». Le nom du certificat devrait être affiché.
      Le sélectionner et cliquer sur voir. Une fenêtre s'affiche et indique les rôles du certificat ou si il y a un problème.
  2. il ne fonctionne plus !
    1. vérifier le certificat à partir du navigateur.
      Avec Netscape :
      aller dans les menus " communicator ", " outils ", " info sur la securite " puis " certificats ", " vos certificats ".
      Sélectionner le certificat à tester et cliquer sur " vérifier ". Bien vérifier les dates de validité.
      Avec Mozilla :
      cliquer sur “ edit ”, “ preferences ”, “ privacy & security ”, “ certificates ”.
      Dans la partie centrale de la fenêtre, cliquer sur “ manage certificates ”.
      Sélectionner le certificat et cliquer sur “ view ” et vérifier le résultat. Bien vérifier les dates de validité.
      Avec Internet Explorer :
      aller dans le menu « Outils », « Options Internet » , cliquer sur l’onglet « Contenu » puis « Certificats »
      Cliquer sur l’onglet « personnel ». Le nom du certificat devrait être affiché.
      Le sélectionner et cliquer sur voir. Une fenêtre s'affiche et indique les rôles du certificat ou si il y a un problème.
      Bien vérifier les dates de validité.
    2. vous avez paramétré votre navigateur pour utiliser les CRLs et les CRLs ne sont plus à jour.
      Il faut les mettre à jour ou les supprimer.

      Consulter la FAQ « Les listes de révocations sont obsolètes : comment les mettre à jour manuellement ? »

Impossible de visualiser un site sécurisé (en HTTPS)

Plusieurs cas possibles :

  1. Le certificat a un problème au niveau de l'installation dans le navigateur. Effectuez les vérifications données dans la question “ Mon certificat ne fonctionne pas. Quelles vérifications puis je faire ? ”

  2. Le site serveur refuse ou ne reconnaît pas les certificats du CNRS. Pour les reconnaître, il faut que le serveur intègre les certificats des autorités de certification du CNRS.
  3. Vous avez paramétré votre navigateur pour utiliser les CRLs et les CRLs ne sont pas à jour.
    Il faut les mettre à jour.
    Consultez la FAQ « Les listes de révocations sont obsolètes : comment les mettre à jour manuellement ? »
  4. Vous utilisez plusieurs certificats et celui que vous présentez au serveur n'est pas celui attendu.
    • Vérifiez la configuration de votre navigateur pour qu'il vous demande toujours le certificat à présenter

    • Fermez le navigateur et rouvrez-le en présentant le certificat attend

Impossible de signer un message avec mon certificat

Plusieurs cas possibles :

  1. Le certificat a un problème au niveau de l'installation dans le navigateur. Effectuez les vérifications données dans la question “ Mon certificat ne fonctionne pas. Quelles vérifications puis je faire ? ”

  2. Vous avez paramétré votre navigateur pour utiliser les CRLs et les CRLs ne sont pas à jour.
    Il faut les mettre à jour.
    Consultez la FAQ « Les listes de révocations sont obsolètes : comment les mettre à jour manuellement ? »
  3. Vous utilisez Netscape Messenger ou Mozilla et vous n'avez pas configurer les AC CNRS comme "de confiance". Voir «Comment récupérer les certificats des autorités de certification dans mon navigateur ?»

Un mot de passe ? Quel mot de passe ?

Il y a deux types de mot de passe.

  1. le mot de passe qui protège le magasin des certificats du navigateur. Ce mot de passe est demandé :

    • lors de la première demande de certificat (création du mot de passe)
    • à la première utilisation du certificat par le navigateur, ou à chaque utilisation selon le paramétrage choisi pour le navigateur,
    • lorsqu'on importe un certificat.
  2. le mot de passe qui protège une sauvegarde (ou export) de certificat. Ce mot de passe est demandé lors de l'export ou lors de l'import du certificat dans le navigateur.

Attention, quand le mot de passe est incorrect, le message d'erreur n'est pas très parlant.

Exemple d'un import de certificat avec un mauvais mot de passe avec Mozilla :

Lors d'une demande d'importation, on sélectionne le fichier qu contient le certificat sauvegardé.

Ce premier mot de passe correspond à celui qui protège le magasin des certificats du navigateur.

On rentre le bon mot de passe, puis :

Ce deuxième mot de passe correspond à celui qui protège la sauvegarde du certificat.

Si le mot de passe est incorrecte, on obtient :

Sinon, le certificat est importé correctement.

Exemple avec Internet Explorer : le mot de passe protégeant le magasin des certificats n'est pas obligatoirement demandé. Ca dépend du niveau de sécurité utilisé. Par défaut, il n'est pas demandé et seul le mot de passe protégeant le certificat sauvegardé est utilisé.

On va chercher le certificat à importer

Password correspond au mot de passe qui protège le certificat sauvegardé.

Si le mot de passe est incorrect, le message est plus parlant. Il faut réessayer avec le bon mot de passe.

J'ai perdu le mot de passe sous Netscape ou Mozilla. Que faire ?

L’accès à la clé privée du certificat avec Netscape (ou toute application) est contrôlé par un mot de passe nommé « passphrase ».
Ce mot de passe est demandé par Netscape lorsqu’on utilise son certificat la première fois. En cas de perte du mot de passe, il n’y a pas de moyen connu actuellement pour le retrouver.

La seule possibilité est de supprimer complètement les certificats de Netscape. Cela évite d’avoir à réinstaller Netscape, mais ne permet pas de réutiliser les certificats s'ils n’ont pas été sauvegardés.

Pour supprimer les certificats de Netscape communicator, Netscape 7.X et Mozilla  :

  • Quittez complètement le navigateur.

  • Ouvrez le répertoire contenant votre profile. Ce répertoire dépend du navigateur, du système, etc.
  • détruisez les trois fichier suivants : cert7.db, key3.db, secmod.db
  • Au prochain lancement du navigateur, tous vos certificats auront disparus.
  • Si vous avez sauvegardé votre certificat, vous pouvez l’importer ainsi que les certificats des autorités de certification.
  • Si vous n’avez pas de sauvegarde, demandez la révocation de votre certificat auprès de votre autorité d’enregistrement et faites une nouvelle demande de certificat.

Ou sont stockés les certificats et les clefs privées ?

Une fois intégré au navigateur, les clefs et les certificats sont stockés par celui-ci.

Le lieu de stockage dépend du navigateur.

Netscape et Mozilla stockent les clefs dans le fichier key3.db et les certificats dans le fichier cert7.db.

Ces deux fichiers sont situés dans le répertoire contenant le profile de l'utilisateur.

Internet Explorer, Outlook et le système Microsoft stockent les clefs et les certificats dans les registres.

Qui contacter pour révoquer un certificat ?

Un certificat peut être révoqué, en cas de perte, de vol ou de perte du mot de passe.
Cette demande doit être adressée à votre autorité d'enregistrement.
Au CNRS, l'autorité d'enregistrement est le directeur du laboratoire (ou une personne à qui il a délégué cette fonction)

Les listes de révocations sont obsolètes : comment les mettre à jour manuellement ?

Utilisez les URL suivantes, en fonction de votre certificat :

Remarque : au niveau du poste client, il est déconseillé d'utiliser les listes de révocations.Par contre pour un serveur (HTTPS par exemple) il est absolument nécessaire d'avoir accès aux CRLs pour pouvoir valider les certificats des clients.

Renouvellement

Pourquoi renouveler mon certificat?

Parce qu'un certificat a une durée de validité qui commence à la date de sa création et se termine à une date d'expiration.

Cette durée de validité est un choix au niveau de l'Autorité d'Enregistrement. Par exemple, elle est d'un an pour les certificats personnels CNRS2-Standard et elle est de deux ans pour les certificats de service CNRS2-Standard.

Comment le certificat est-il renouvelé ?

Avant l'expiration de votre certificat, plusieurs messages d'avertissement vous seront envoyés : 2 mois avant, 1 mois avant, 15 jours avant et 24h avant la date d'expiration.

Il est impossible de renouveler son certificat avant deux mois avant la date d'expiration.

Consultez la documentation utilisateur, chapitre 6.

Mon certificat est expiré

Il n'y a plus qu'une chose à faire, en demander un nouveau.

Lors d'un renouvellement de certificat, les clefs (privée et publique) sont-elles changées  ?

Oui.

Problème de renouvellement

Pour un renouvellement de certificat, il faut se connecter à une URL en mode https. Ceci nécessite que le certificat à renouveler soit correctement installé dans le navigateur et correctement reconnu par celui-ci.

Si la date de validité de votre certificat est dépassée avant son renouvellement, il est automatiquement révoqué. Vous pouvez le supprimer de votre navigateur (en gardant une copie) et refaire une demande comme pour un nouveau certificat.

Problèmes de navigateurs et de systèmes

Netscape Communicator : Problème du nom d’un certificat utilisateur

Netscape Communicator gère « mal » les noms qu’on donne aux certificats.

Lors de la récupération d’un certificat via le Web, on n’a pas la possibilité de nommer le certificat.

Pour le renommer, il faut exporter le certificat avec Netscape Communicator, l’importer via Internet Explorer (pensez à rendre la clé privée exportable) et le renommer en passant par les menus suivants de Internet Explorer :

« Outil » - « Options Internet » - « Contenu » - « Certificats »

 

Choisir le certificat à renommer, l’afficher en cliquant 2 fois dessus, cliquer sur l’onglet « détails »

Cliquer sur « modifier les propriétés » et entrer le nom voulu dans « Nom convivial » (ou « Friendly Name » en Anglais).

Il ne reste « plus » qu’à l’exporter à nouveau et à l’importer sous Netscape Communicator.

Pour les utilisateurs sous Unix et familiarisés avec Openssl, une autre possibilité est de modifier le certificat avec openssl :

  • exporter le certificat depuis Netscape au format Pkcs12,

  • passez la commande : openssl pkcs12 -in cert_cnrs_plus.p12 –out file.pem
  • puis   openssl pkcs12 -export -in file.pem -out cert_cnrs_plus_new.p12 -name "Mon certificat CNRS"
  • détruisez l'ancien certificat dans Netscape
  • importez le à nouveau

Bref, ce n’est pas très simple.

Lors de l'exportation, pensez bien à protéger le fichier par un mot de passe correcte !

Netscape Communicator : Problème de récupération des certificats des autorité d'enregistrement.

Toujours à cause de ce problème de mauvaise gestion des noms de certificats, un utilisateur peut rencontrer des problèmes lors de la récupération des certificats des autorités de certification s’ils existent déjà ou si un autre certificat existe déjà avec le même nom, Netscape ne faisant rien à ce moment là (sans le dire).

En cas de problèmes, supprimez tous les certificats des autorités de certification CNRS et essayez de les récupérer à nouveau en leur donnant des noms différents.

Pour supprimez un certificat d’autorité de certification :

  • cliquez sur l’icône “ Sécurité ” sur la barre d’outils ou allez dans le menu « Communicator » - « outils » - « Information sur la sécurité »

  • cliquez sur « certificats » puis « signataires » dans le menu de gauche :

Sélectionnez le certificat à supprimer et cliquez sur « supprimer »

Netscape Communicator : Problème de récupération de certificat lors de la réception du message “ [RA] Votre demande de certificat ”

Si le navigateur avec lequel vous avez effectué la demande est différent de celui avec lequel vous voulez récupérer votre certificat, une erreur s’affichera. Il faut impérativement utiliser le même.

En cas d’erreur la fenêtre suivante s’affiche :

Ne tenez plus compte des informations qui s’affichent ensuite.

Netscape Communicator : Problème du choix d’un certificat pour signer et chiffrer

Netscape utilise un certificat par défaut pour signer et/ou chiffrer les messages électroniques. Cela peut poser des problèmes si vous êtes en possession de plusieurs certificats. Pour modifier les paramètres par défaut :

  • cliquez sur l’icône “ Sécurité “ sur la barre d’outils ou allez dans le menu « Communicator » - « outils » - « Information sur la sécurité »

  • cliquez sur Messenger dans le menu de gauche.

Sélectionnez le certificat par défaut dans « Certificat pour vos messages signés et chiffrés »

Netscape Communicator : Problème du choix d’un certificat pour l’accès aux pages Web protégées.

On peut configurer Netscape pour qu’il sélectionne automatiquement un certificat par défaut lors de l’accès à une page sécurisée. Cela pose des problèmes lorsqu’on a besoin d’un autre certificat que le certificat par défaut pour accéder à la page.

  • cliquez sur l’icône “ Sécurité “ sur la barre d’outils ou allez dans le menu « Communicator » - « outils » - « Information sur la sécurité »

  • cliquez sur « Navigator »

Dans la zone « Certificat pour vous identifier auprès d'un site Web », laissez « Demander à chaque fois » si vous voulez avoir le choix, sinon sélectionnez un certificat par défaut. Attention, si un autre certificat est nécessaire pour l’authentification, l’accès sera refusé et il faudra modifier les paramètres de ce menu.

Netscape Communicator  : Problème d’accès à une page Web contrôlée par certificat

Les erreurs suivantes peuvent s’afficher :

«Une erreur de réseau est survenue pendant que Mozilla recevait des données
(Erreur réseau : XP_GetBuiltinString : 7000 not found) Essayez de vous connecter à nouveau»

Ou

«Une erreur de réseau est survenue pendant que Netscape recevait des données»

L’erreur peut venir d’un problème de liste de révocation. Le plus simple est de la supprimer (Cf. le paragraphe concernant la liste de révocation dans ce chapitre) ou de la recharger.

Si l’erreur persiste, contrôlez la validité de votre certificat et des certificats des autorités racines.

Netscape Communicator   Problème des multiples instances sous Netscape UNIX

Si vous avez lancé plusieurs Netscape sur différentes machines (avec redirection X11 sur une seule et même machine), il y a mélange des configurations. Arrêter tous les Netscape et n’en configurez qu’un à la fois.

Netscape Communicator   Chargement « à la volée » (CA RACINE + Clef Utilisateur)

Attention avec Netscape, si vous désirez configurer une machine vierge et que vous avez déjà votre certificat, il faut d’abord rentrer les CA racines, quitter Netscape, puis recharger Netscape et importer vos certificats.

Mozilla, Netscape : code erreur 12227

Ce problème arrive par exemple lors de tentative d'accès à un site sécurisé exigeant un certificat client. Son origine est en général la mauvaise installation de votre certifcat dans votre navigateur.
Vérifiez :

Avec Internet Explorer, comment changer le niveau de sécurité d'un certificat

On cherche...

Internet Explorer : problème de récupération de certificat

Code erreur : 80092004

Le navigateur avec lequel vous avez effectué la demande est différent de celui avec lequel vous voulez récupérer votre certificat.

Il faut impérativement utiliser le même

Internet Explorer : Problème lors de la demande de certificat

Code erreur 80090019 avant de valider la demande

Internet Explorer : Problème pour chiffrer sous Outlook 2000 (case grisée)

Si la case chiffrage est grisée sous Outlook 2000, vous pouvez essayer la manipulation suivante :

changer dans le panneau de configuration la langue en français canada (au lieu de français) et redémarrer Outlook2000.

Microsoft ne reconnaît pas les fichiers .cer

Il faut rajouter dans la base des registres les clefs suivantes :

REGEDIT4
[HKEY_CLASSES_ROOT\.cer]
@="CERFile"
"Content Type"="application/x-x509-ca-cert"

[HKEY_CLASSES_ROOT\.crt]
@="CERFile"
"Content Type"="application/x-x509-ca-cert"
[HKEY_CLASSES_ROOT\MIME\Database\Content Type\application/x-x509-ca-cert]
"Extension"=".cer"

Le plus simple est de copier ces informations dans un fichier toto.reg et de cliquer dessus. Cela mettra à jour automatiquement les registres.

Internet Explorer : lors de la récupération des certificats des autorités de certification, mon système ne sait pas comment les installer (avec Microsoft)

Cf. la question: “ Microsoft ne reconnaît pas les fichiers .cer ”

Internet Explorer : qu'est ce que “ xenroll.dll ” ?

C'est une librairie contenant des fonctions de cryptologie, installée sur les postes clients ayant un système Microsoft. Elle est située dans le répertoire système de votre ordinateur.

La version à utiliser est la version 5,131,3659,0. Toute version précédente doit être mise à jour. Pour plus d'informations, sur les problèmes de l'ancienne version, consultez l'URL suivante sur le site de Microsoft :

http://support.microsoft.com/default.aspx?scid=KB;EN-US;q323172&

La mise à jour de cette dll se fait normalement pendant une demande de certificat.

Consulter la documentation utilisateur, chapitre 5.4.2 pour plus de détails.

Internet Explorer : message "Voulez-vous installer et exécuter “Microsoft Certificate Enrollment Control” " pendant une demande de certificat.

Pendant une demande de certificat avec Internet Explorer sous systèmes Microsoft, le message suivant peut s'afficher :

Il faut accepter l'installation proposée. Ceci va permettre de mettre à jour la dll xenroll.dll

Consulter la documentation utilisateur, chapitre 5.4.2 pour plus de détails.

Internet Explorer : après une mise à jour d'IE, impossible de se connecter à un site sécurisé.

L'OS doit supporter le cryptage 128bits !

Pour win9x, Me et NT, la mise a jour d'IE peut écraser deux bibliothèques de cryptage. Il est alors nécessaire de repasser, soit le service pack (pour NT), soit le pack 128bits (pour les autres OS).

Pour les plates-formes Windows, le pack se trouve à cette URL: http://www.microsoft.com/windows/ie/downloads/recommended/128bit/default.asp

(attention à la langue utilisée par votre OS).

Pour NT4 : installer le service pack 6a version 128bits et non la version standard.

Pour win9x, Me et NT, la mise à jour d'IE peut écraser deux bibliothèques de cryptage. Il est alors nécessaire de repasser, soit le service pack (pour NT), soit le pack 128bits (pour les autres OS).

Sur MacOS, Linux et systèmes Unix, l'installation du navigateur (Netscape 7 ou Mozilla 1) permet la gestion du cryptage 128bits.

Mac OS X : comment importer les certificats des AC CNRS dans Safari

Pour CNRS2-Standard par exemple, à partir du site de l'IGC CNRS dans "Certificats CA", cliquer sur les deux croix de la colonne de droite et sauver le resultat dans des fichiers, soient CNRS.crt et CNRS2-Standard.crt .

 

recuperation certificats

Pour importer ces certificats dans le trousseau de clés du système, ouvrir un terminal et exécuter les commandes suivantes :

sudo certtool i CNRS.crt k=/System/Library/Keychains/X509Anchors sudo certtool i CNRS2-Standard.crt k=/System/Library/Keychains/X509Anchors

Mac OS X : comment importer un certificat dans Safari

Le certificat de l'utilisateur se trouve dans un fichier avec l'extension .p12, protégé par un mot de passe.
Il suffit de double-cliquer sur l'icône de ce fichier dans le finder pour l'importer dans le trousseau de clés.

 

Divers

J'ai changé d'adresse électronique, de laboratoire, ...

Tout changement dans les données contenues dans le certificat entraine normalement sa révocation ainsi que la demande d'un nouveau certificat. Il faut donc :

  1. demander la révocation de son certificat auprès de son autorité d'enregistrement,

  2. supprimer le certificat dans le navigateur,
  3. refaire une demande de certificat.

Comment supprimer TOUTES les informations sur les certificats ?

Il faut supprimer le certificat du navigateur et éventuellement les certificats des autorités de certification.

A compléter ...

Distribution du document, Contributions

Ce document est propriété du CNRS et de ses auteurs et est maintenu par l’UREC/CNRS.

Il est à destination des utilisateurs de l'infrastructure de Gestion de Clefs du CNRS et des possesseurs de certificats délivrés par le CNRS.

Il ne peut pas être utilisé, distribué ou copié en dehors de ce cadre.

Auteurs : Philippe Leca (CNRS-UREC) et Claude Gross (CNRS-UREC)
Contributions : Stéphane Calgaro (CNRS-DR14)

    IGC CNRS : FAQ   CNRS/UREC

 

 
© CNRS