FAQ

FAQ

La plupart des informations dont vous avez besoin se trouvent sur notre site internet. Nous vous proposons de répondre aux principales questions que vous pouvez vous poser concernant l’obtention, la délivrance de vos certificats, ainsi que le suivi de vos dossiers. D’une manière générale, nous vous conseillons en outre de bien lire les recommandations faites sur l’utilisation, la sauvegarde, la sécurité de vos certificats. Bien s’informer n’est pas du temps perdu, cela vous permet d’en gagner par la suite.

Certificats d'organisation et de personne physique

J’ai commandé un support (carte à puce ou clé USB), est-ce que mon certificat électronique est déjà installé dessus?

 

Oui. Votre certificat est déjà installé sur le support. Vous recevrez vos codes d’accès personnels (code PIN) au support par un autre moyen.
Les étapes préalables à l’utilisation de votre certificat électronique sont donc réduites:

– vous installez le logiciel qui fait fonctionner votre support
– votre certificat est prêt à l’emploi !

Merci de suivre attentivement nos notices d’installation, ainsi que les messages qui vous appraîtront à l’écran lors de l’installation de votre certificat.

Certificats de serveurs

  • Comment installer sur mon serveur Apache le certificat serveur reçu par e-mail en réponse à l’envoi d’une CSR ?
  • Comment installer sur mon serveur Apache le certificat serveur reçu dans un container PKCS#12 ?
  • Comment installer sur mon serveur Apache le certificat serveur reçu par e-mail en réponse à l’envoi d’une CSR ?
  • Comment installer sur mon serveur Microsoft IIS le certificat serveur reçu dans un container PKCS#12 ?
  • Comment installer sur mon serveur Microsoft IIS le certificat serveur livré sur mini CD ?

Définitions

Format PEM

Le format PEM est le format le plus courant dans lequel les autorités de certification émettent des certificats. Les certificats PEM ont généralement des extensions telles que .pem, .crt, .cer et .key . Ce sont des fichiers ASCII codés en Base64 et contiennent les instructions « —–BEGIN CERTIFICATE—– » et « —–END CERTIFICATE—–« . Les certificats de serveur, les certificats intermédiaires et les clés privées peuvent tous être mis au format PEM.
Apache et d’autres serveurs similaires utilisent des certificats au format PEM. Plusieurs certificats PEM, et même la clé privée, peuvent être inclus dans un fichier, l’un sous l’autre, mais la plupart des plates-formes, telles qu’Apache, s’attendent à ce que les certificats et la clé privée se trouvent dans des fichiers séparés.

Format DER

Le format DER est simplement une forme binaire d’un certificat au lieu du format ASCII PEM. Il a parfois une extension de fichier .der mais il a souvent une extension de fichier .cer, donc la seule façon de faire la différence entre un fichier DER .cer et un fichier PEM .cer est de l’ouvrir dans un éditeur de texte et de rechercher les instructions BEGIN/END. Tous les types de certificats et de clés privées peuvent être encodés au format DER. DER est généralement utilisée avec les plates-formes Java. Le convertisseur SSL ne peut convertir que les certificats au format DER.

Format PKCS#7/P7B

Le format PKCS#7 ou P7B est généralement stocké au format Base64 ASCII et possède une extension de fichier .p7b ou .p7c . Les certificats P7B contiennent les instructions « —–BEGIN PKCS7—– » et « —–END PKCS7—–« . Un fichier P7B ne contient que des certificats et des certificats de chaîne, pas la clé privée. Plusieurs plates-formes prennent en charge les fichiers P7B, notamment Microsoft Windows et Java Tomcat.

Format PKCS#12/PFX

Le format PKCS#12 ou PFX est un format binaire permettant de stocker le certificat du serveur, tous les certificats intermédiaires et la clé privée dans un fichier cryptable. Les fichiers PFX ont généralement des extensions telles que .pfx et .p12 . Les fichiers PFX sont généralement utilisés sur les machines Windows pour importer et exporter des certificats et des clés privées.
Lors de la conversion d’un fichier PFX au format PEM, OpenSSL placera tous les certificats et la clé privée dans un seul fichier. Vous devrez ouvrir le fichier dans un éditeur de texte et copier chaque certificat et clé privée (y compris les instructions BEGIN/END) dans son propre fichier texte individuel et les enregistrer respectivement sous certificate.cer, CACert.cer et privateKey.key.

Commandes OpenSSL pour convertir les certificats SSL sur votre machine

Utilisez les commandes OpenSSL suivantes pour convertir le certificat SSL en différents formats sur votre propre ordinateur :

OpenSSL Convertir PEM

Convertir PEM en DER

openssl x509 -outform der -in certificate.pem -out certificate.der

Convertir PEM en P7B

openssl crl2pkcs7 -nocrl -certfile certificate.cer -out certificate.p7b -certfile CACert.cer

Convertir PEM en PFX

openssl pkcs12 -export -out certificate.pfx -inkey privateKey.key -in certificate.crt -certfile CACert.crt

OpenSSL Convertir DER

Convertir DER en PEM

openssl x509 -inform der -in certificate.cer -out certificate.pem

OpenSSL Convertir P7B

Convertir P7B en PEM

openssl pkcs7 -print_certs -in certificate.p7b -out certificate.cer

Convertir P7B en PFX

openssl pkcs7 -print_certs -in certificate.p7b -out certificate.cer

openssl pkcs12 -export -in certificate.cer -inkey privateKey.key -out certificate.pfx -certfile CACert.cer

OpenSSL Convertir PFX

Convertir PFX en PEM

openssl pkcs12 -in certificate.pfx -out certificate.cer -nodes

Convertir PFX en KEY
openssl pkcs12 -export -in "certificat_name.p12" -out "certificat_name.pem"
openssl pkcs12 -in "certificat_name.p12" -out "certificat_name.key" -nocerts -nodes

Changements et mises à jour

 

  • J’ai désinstallé mon ancienne version de Microsoft Internet Explorer et installé une nouvelle version. Comment réinstaller mon certificat électronique?

    Si vous avez désinstallé votre navigateur en effaçant le programme et son répertoire, vous avez également effacé le fichier qui contient la clé privée associée à votre certificat.

    Sans cette clé, vous ne pouvez réinstaller votre certificat électronique.

    Si vous avez effacé votre certificat, vous devez le réinstaller en utilisant le mini-CD qui vous a été livré a votre commande. La clé privée présente sur le mini-CD nécessite le mot de passe qui vous a été envoyé sous la forme d’un pli sécurisé.

     

  • Comment utiliser un certificat sur carte avec Mozilla Firefox ?

    Si vous avez une carte a puce Morpho, l’installation est automatique pour windows.

    Pour Mac vous devez :

    1. Installation du plug-in Firefox « Applications>Morpho>Middleware>MWypsID-signed.xpi » Pour cela, il est nécessaire de glisser le fichier « MWypsID-signed.xpi » dans une fenêtre Firefox,
    2.   Fermeture complète de Firefox pour que l’installation du plug-in soit validée.
    3.   Insertion de la clé ypsID.

Alertes de sécurité sous Internet Explorer : qu’est-ce que cela veut dire ?

 

Trois types d’alertes existent dans Internet Explorer sur les certificats électroniques. Ces alertes concernent :

 

  • Un problème de validité du certificat (certificat révoqué ou certificat expiré) : Ne faites pas confiance, et alertez votre interlocuteur (la personne ou le site Internet qui vous présente un certificat).
  • Un problème d’adéquation entre les informations contenues dans un certificat, et les informations (adresse e-mail, adresse du site visité) de l’émetteur. Ne faites pas confiance, et alertez votre interlocuteur (la personne ou le site Internet qui vous présente un certificat).
  • Enfin, sur l’absence de référencement de l’Autorité émettrice dans le magasin d’Internet Explorer (« autorité non reconnue », « autorité à laquelle vous n’avez pas choisi de faire confiance » etc.) Vérifiez QUI est l’émetteur du certificat. Microsoft Internet Explorer référence certaines Autorités de Certification, mais ne contient aucune des Autorités de Certification référencées par les Autorités étatiques en France, ni même celles du MINEFI (Ministère de l’Economie, des Finances et de l’Industrie).

Pour reconnaître automatiquement les certificat délivrés par Certinomis, et éviter les messages d’erreur, téléchargez et installez les racines de Certinomis et suivez les informations de la rubrique « accordez votre confiance ».

Vous utilisez le Logiciel Gemsafe Toolbox : Comment voir la version de mon logiciel Gemsafe / Classic Client Toobox ?

 

Pour connaître la version de Gemsafe / Classic Client Toolbox qui est installée sur votre poste de travail :

1. Ouvrez le Toolbox

2. Allez dans le menu « diagnostic / aide », puis cliquez sur l’incône (à gauche) « outil de diagnostic ».

3. Cliquez sur les répertoires dans la fenêtre principale du « Toolbox », puis ouvrez le répertoire « version du produit ». Dans le carré en bas, la version s’affiche :

Comment voir la version de mon logiciel Gemsafe / Classic Client Toobox ?

J’ai un message d’erreur ou d’alerte sur TéléTVA, TélécarteGrise etc.

 

Vous rencontrez par exemple des difficultés sur TéléTVA, pour faire votre déclaration, vous avez des messages d’erreur ?

Souvent, ces messages d’alerte ou d’erreur signifient qu’une étape pour utiliser ces services a été négligée. Ces messages ne concernent que très rarement le certificat qui vous a été délivré par nos services. Aussi, avant de nous contacter, merci de vérifier sur les rubriques d’assistance du site des impôts, du site du ministère de l’Intérieur, etc., que vous n’avez pas oublié une étape importante.

Voici des exemples d’erreur listées par l’application TéléTVA :

  • Il faut un paramétrage de votre PC pour utiliser TéléTVA
  • Vous avez un message d’alerte « alerte de certificat, erreur d’authentification »
  • Vous avez un message de type « vous devez installer un logiciel ActiveX »

Vous trouverez des rubriques d’aide très bien faites sur les sites de téléprocédures, notamment :

  • Sur http://www.impots.gouv.fr, cliquez sur « professionnels », puis sur « déclarez votre TVA par Internet avec TéléTVA-EFI ». Tout en bas de la page qui s’affiche, cliquez sur « résoudre vous-même quelques difficultés techniques »,dans la rubrique « en savoir plus »
  • Ou contactez la hotline TéléTVA au : 0820 000 882.

Nous vous rappelons que CertiNomis délivre des certificats, mais ne gère pas l’inscription aux applications de téléprocédures, ou les serveurs de celles-ci. L’assistance téléphonique administrative ou technique de CertiNomis ne PEUT PAS se substituer à ces services, lorsque le problème rencontré n’est pas de son ressort.

Configurer votre outil de messagerie, signer vos mails :

Comment la cryptographie à clé publique permet-elle de signer numériquement ?

Dans une communication entre A et B, quand A veut signer un message vers B, voici les différentes étapes:

1 – A « hache » son message en une valeur de longueur réduite
(quelques octets) que l’on appelle le condensat de signature
2 – A chiffre ce condensat avec sa clé privée
3 – A envoie ensemble le message et le condensat de signature chiffré à B
4 – B acquiert la clé publique de A, certifiée par une Autorité de Certification,
et vérifie sa validité
5 – B déchiffre le condensat de signature, transmis chiffré par A, avec la
clé publique de A
6 – B « hache » le message et obtient le condensat de vérification
7 – B compare le condensat de vérification et le condensat de signature :

– s’ils sont égaux, le couple message signature est valide
– s’ils sont différents, le message et la signature ne correspondent pas

On voit selon ce principe que seul A possède sa clé privée et donc seul A peut signer des messages en son nom.
Par contre tout le monde peut avoir la clé publique de A, et donc tout le monde peut vérifier la signature d’un message de A.

Pour envoyer un message signé par A, il faut que A ait un bi-clé. B n’en a pas besoin.

J'ai reçu un message signé par un certificat, comment vérifier que la signature électronique est valide ?

Pour un certificat émis par CertiNomis :

le destinataire d’un message signé électroniquement par un certificat émis par CertiNomis doit vérifier que le certificat est toujours valide. Pour ce faire : il faut d’abord vérifier que le certificat n’est pas expiré. Puis, vérifier que le certificat ne figure pas dans la Liste des Certificats Révoqués de CertiNomis.

La « vérification par révocation » permet de contrôler la validité d’un message signé numériquement. Lorsque vous effectuez ce type de vérification, Outlook Express demande à l’autorité de certification CertiNomis des informations sur l’identification numérique qu’elle a délivrée. CertiNomis renvoie des renseignements sur l’état de l’identification numérique et précise si elle a été révoquée. L’autorité de certification CertiNomis effectue le suivi des certificats ayant été révoqués à cause d’une perte, dégradation ou d’une fin de validité.

Ou : connectez-vous directement sur notre site internet, allez dans la rubrique « vérifier un certificat », et suivez ce qui vous est proposé.

Note
Sous Outlook et Outlook Express, la vérification de la révocation de certificat est désactivée par défaut.
Vous devez modifier cette option depuis le menu « Outils » | « Options » | « Sécurité » | « Options avancées », et cliquer sur « Uniquement en ligne ».

Les menus peuvent varier d’une version à une autre. Nous vous conseillons de vous reporter à l’aide en ligne fournie avec votre logiciel de messagerie.

Je dispose de plusieurs certificats

Vous pouvez configurer Outlook Express pour envoyer des messages avec votre signature numérique en utilisant un certificat, et utiliser un autre certificat pour envoyer des messages cryptés.

 

Dans le menu Outils, cliquez sur Comptes.

 

Sélectionnez le compte de messagerie pour lequel vous voulez utiliser un certificat et cliquez sur « Propriétés ».

 

Dans l’onglet « Sécurité », cliquez sur « Sélectionner » pour choisir le type de certificat que vous voulez utiliser pour la signature et le chiffrement.

 

Note : pour plus d’informations concernant la configuration de votre logiciel de messagerie, reportez-vous à la première question de cette rubrique. les menus peuvent changer d’un logiciel de messagerie à un autre. Pour plus d’information, nous vous conseillons de vous reporter à la rubrique d’aide en ligne de votre logiciel.

Comment signer depuis Microsoft Outlook ou Outlook Express ?

Un message comportant une signature numérique permet à son destinataire de vérifier l’identité de son expéditeur.

Composez le message électronique que vous souhaitez signer.

Pour le signer numériquement, dans le menu Outils, cliquez sur Signer numériquement.

Pour pouvoir utiliser une identification numérique, il faut que l’adresse e-mail de votre certificat numérique corresponde à l’adresse e-mail de votre compte de messagerie. Si vous utilisez plusieurs comptes de messagerie, vous devrez utiliser un certificat numérique différent pour chacun des comptes à partir desquels vous voudrez envoyer des messages sécurisés.

Les menus peuvent varier d’une version à une autre. Nous vous conseillons de vous reporter à l’aide en ligne fournie avec votre logiciel de messagerie.

Note : configurer d’abord votre logiciel de messagerie. Pour plus d’informations sur la configuration de votre logiciel, reportez-vous à la question précédente.

Comment configurer Microsoft Outlook (versions 2000 et 2002 XP) pour signer mes mails ?

Voici les instructions nécessaires afin de pouvoir envoyer un mail signé depuis configurer Outlook

NB : Nous ne pouvons apporter aucun support aux utilisateurs de Notes qui doivent se rapprocher de leur administrateur Notes.

 

Microsoft Outlook (versions 2000 et 2002 XP).

Ouvrez Outlook, menu Outils | Options, onglet Sécurité, cliquez sur le bouton Paramètres :

Cliquez maintenant sur le bouton « Choisir » de la ligne « Certificat de signature ».
Sélectionnez le certificat désiré en cliquant dessus, et cliquez sur « Ok »:

Recommencez la même opération pour le « Certificat de chiffrement », puis cliquez sur « ok ».

Cliquez sur « Ok » de nouveau :

Pour envoyer un message signé numériquement avec votre certificat, créez un nouveau message, et cliquez sur le bouton « Options » : 

Puis sur le bouton « Paramètres de sécurité »:

Cochez la case « Ajouter une signature numérique au message » :

Cliquez sur Ok. Le message sera signé lors de l’envoi.

Testez maintenant l’envoi d’un mail signé à vous-même. Si votre certificat est sur carte à puce ou clé USB, il vous sera demandé d’insérer celle-ci.

Pensez à ajouter une phrase du type
« ce message est signé numériquement avec un certificat CertiNomis. Pour approuver l’identifiant de ce message, merci de bien vouloir télécharger et installer les racines de CertiNomis depuis :
http://www.certinomis.com « 

Comment signer depuis Microsoft Outlook Express (versions 5 et 6) pour signer mes mails ?

Ouvrez Outlook Express, menu « Outils » | « Comptes », sélectionnez le compte courrier désiré et cliquez sur le bouton « Propriétés », puis sur l’onglet « Sécurité ».

Cliquez sur le bouton « Sélectionner… » de la ligne « Certificat de signature » et sélectionnez le certificat correspondant, puis confirmez par « Ok ».

 

Répétez la même opération pour la ligne « Certificat de cryptage » puis validez par « Ok » :

Pour envoyer un message signé numériquement avec votre certificat, créez un nouveau message, et cliquez sur le bouton « Signer » : 

ou menu « Outils », « Signer numériquement » .

L’icône  apparaît alors à la droite du message indiquant que le message sera signé numériquement.

Testez maintenant l’envoi d’un mail signé à vous-même. Si votre certificat est sur carte à puce ou clé USB, il vous sera demandé d’insérer celle-ci.

Pensez à ajouter une phrase du type
« ce message est signé numériquement avec un certificat CertiNomis. Pour approuver l’identifiant de ce message, merci de bien vouloir télécharger et installer les racines de CertiNomis depuis :
http://www.certinomis.com « 

Messages d’erreur et résolution de problèmes

Je dispose d'un certificat Certinomis, mais ma messagerie m'affirme le contraire

Assurez-vous que vous utilisez l’adresse e-mail indiquée lors de la souscription de votre certificat : en effet, si l’adresse e-mail contenue dans le certificat est différente de l’adresse e-mail que vous utilisez, vous ne pourrez pas utiliser votre certificat avec votre messagerie.

Puis-je utiliser mon certificat avec plusieurs adresse e-mail ?

Non, votre certificat est lié à l’adresse e-mail indiquée lors du remplissage de la demande.

 

Vous ne pouvez envoyer un mail signé d’une autre adresse que celle qui est indiquée dans votre certificat.

J'ai changé d'adresse e-mail, puis-je la modifier dans mon certificat ?

Une fois votre certificat fabriqué, il ne peut être modifié. Or, votre certificat est lié à l’adresse e-mail indiquée lors du remplissage de votre dossier de demande.
Si vous changez d’adresse e-mail, vous devez demander un nouveau certificat.

Où doit-on envoyer les dossiers de demande de certificats électroniques ?

Merci d’envoyer vos dossiers de demande à l’adresse suivante :

 

CertiNomis
Service Enregistrement
ACI 1A2-101
45/47 boulevard Paul Vaillant Couturier – CS 50108
94766 Ivry sur Seine Cedex

 

Pourquoi dois-je fournir mon adresse e-mail, et quelle adresse fournir ?

L’adresse e-mail du bénéficiaire est une des informations nécessaires pour vous délivrer un certificat électronique. Elle est contenue dans le certificat. Renseigner l’adresse e-mail du bénéficiaire est donc indispensable, sans cette information, nous ne pouvons vous délivrer de certificat.

 

Merci, en conséquence, de renseigner ce champ très lisiblement, en levant toute ambigüité possible : faites attention aux caractères qui pourraient prêter à confusion. Différenciez les tirets : «  » des underscore « _ » (tiret sous la ligne), et des points « .« , les « s » des « 5« , les zéros des « o » etc.

 

Vous pouvez joindre à cette fiche votre carte de visite où figure votre adresse e-mail.

 

ATTENTION: Nous vous déconseillons vivement d’utiliser une adresse « webmail » (accessible depuis Internet) de type hotmail, yahoo, msn, gmail ou autres.
Il vaut mieux utiliser dans ce cas l’adresse utilisée par votre fournisseur d’accès (wanadoo, orange, free, alice etc.)

 

En effet, une partie des informations concernant le certificat électronique sera délivrée par e-mail. En cas de non réception de ces informations, nous ne pourrons que renvoyer l’e-mail à la même adresse, et vous aurez beaucoup de mal à joindre un prestataire de services gratuits.

Comment faire une demande de certificats électronique pour plusieurs bénéficiaires ?

Il faut remplir autant de fiches « demande de certificat d’organisation » (fiche 3) que de bénéficiaires concernés, chaque fiche doit contenir le nom d’un seul bénéficiaire. Merci de joindre à votre envoi la copie des pièces d’identité de chaque bénéficiaire.

Quel est l'intérêt d'avoir plusieurs bénéficiaires de certificats au sein d'une même société ?

Le certificat est une pièce d’identité personnelle et nominative, il ne peut donc être partagé entre plusieurs utilisateurs.

Pour faire face aux absences et aux éventuels problèmes techniques sur votre poste de travail, il est important qu’une autre personne de votre entreprise dispose aussi d’un certificat, qui soit référencé auprès des applications concernées.

Qu'est-ce qu'un bénéficiaire de certificat ?

Le bénéficiaire est la personne physique qui détient le certificat. Le certificat contient ses données d’identification (prénom, nom, adresse e-mail, service et fonction), c’est donc sa pièce d’identité sur Internet.

Le bénéficiaire est responsable de l’utilisation du certificat.

Un certificat électronique, même délivré à une personne agissant  pour le compte de sa société, est un élément personnel, il est interdit de le prêter ou de le céder.

Par quoi remplacer l'extrait k-bis quand la structure n'en dispose pas ? (collectivités, profession libérales, organismes publics, associations etc. )

L’extrait k-bis nous permet de confirmer :

1. l’existence de l’entreprise, et l’adresse de son siège social
2. son n° de SIREN
3. le nom du représentant légal de l’entreprise

 

Pour les organismes inscrits au répertoire SIRENE, merci d’imprimer la fiche de situation disponible sur le site internet de l’INSEE,de plus, et suivant la forme juridique de votre organisme, merci de nous fournir :

 

  • un document attestant l’inscription à une chambre de métiers ou à un ordre
  • les statuts de votre organisme et la copie de l’élection ou de la nomination de son représentant légal
  • la copie des minutes du conseil élisant votre représentant légal, ou toute parution à un bulletin ou journal officiel
  • ou toute autre pièce nous permettant de reconnaître l’existence d’une organisation et le lien avec son représentant légal.

Merci d’apposer votre cachet s’il s’agit de copies et de les faire signer par votre représentant légal.

Si mon représentant légal est choisi comme mandataire de certification, devons-nous fournir obligatoirement un extrait k-bis ?

Bien sûr, que le mandataire de certification soit ou non représentant légal de votre société, toutes les pièces justificatives demandées doivent être fournies.

 

Si votre organisme ne possède pas d’extrait k-bis, reportez-vous à la question suivante pour savoir par quoi le remplacer.

Si mon représentant légal est choisi comme mandataire de certification, doit-il remplir la fiche "procuration" ?

NON,

si votre représentant légal est aussi mandataire de certification, il n’a pas besoin de se faire une procuration.

 

La procuration intervient pour le cas où la personne désignée comme mandataire n’est pas représentant légal de votre société.

Qu'est-ce qu'un mandataire de certification ?

Le mandataire de certification est la personne qui sera notre interlocuteur au sein de votre société. Le mandataire est la seule personne habilitée (avec le représentant légal) à autoriser l’émission, le renouvellement, ou la révocation d’un certificat au nom de votre société. Son rôle est administratif.

 

Ce peut donc être soit le représentant légal de votre société, soit une personne désignée par le représentant légal grâce à la procuration fournie dans le dossier.

 

Une personne peut aussi bien avoir les rôles de représentant légal, mandataire de certification et bénéficiaire du certificat.

 

N’oubliez pas de renseigner toutes les fiches du dossier, et vérifiez avant d’envoyer votre dossier la cohérence des informations qui y sont portées.

Les Questions-réponses à faire remplir par le mandataire sont-elle obligatoires ? A quoi servent ces question-réponses ?

Dans la procédure CertiNomis ces questions-réponses sont obligatoires.

Elles servent à identifier le mandataire par téléphone, dans le cas de la révocation urgente d’un certificat émis sous son autorité.

Nous recommandons d’inscrire des questions dont les réponses seront faciles et aisées, tout en vous restant personnelles. Ces réponses doivent être pérennes, et ne pas risquer d’être modifiées dans le temps (si vous notez  en question : « quelle est la couleur de ma voiture », en réponse : « rouge », il est possible que vous changiez de voiture entretemps, et ne puissiez plus répondre correctement à la question)

 

Exemples de questions -réponses :

 

question : « quel est le nom de jeune fille de ma mère ?  » réponse : « Dupuis « .

question   » date de naissance de mon frère Paul  » réponse : « 1er juillet 1969 « .

Comment concrètement se présente un certificat électronique ?

Le certificat se présente sous deux formes* :

  • Un format dit « logiciel », à télécharger sur le disque dur de votre ordinateur. Vous serez alors contraint à utiliser le certificat depuis ce poste. Vous avez une obligation de sécuriser l’accès à votre certificat, et une obligation d’en faire une sauvegarde, sécurisée elle aussi.
  • Sur support cryptographique : vous téléchargez votre certificat sur la carte à puce ou la clé USB que vous avez commandée.

 

 

<< carte à puce personnalisable      << clés USB cryptographiques

 

 

Le certificat sur support offre davantage de sécurité : il n’est plus stocké sur disque dur (risque de suppression, d’écrasement, d’utilisation ou de copie sur disquette par autrui…). Ce format propose aussi plus de souplesse : une fois le logiciel d’utilisation du matériel installé, vous pouvez utiliser votre certificat depuis un autre poste de travail.

en savoir plus sur les supports

*supports non disponible pour certaines gammes.

Comment trouver le numéro de série d'un certificat électronique ?

Pour trouver le numéro de série d’un certificat, ou toute autre information qui y est contenue :

 

1 – ouvrez une page Internet Explorer
2 – cliquez sur le menu : Outils, puis options Internet
3 – l’onglet « contenu », cliquez sur le bouton « certificats ».
4 – faites un double clic sur la ligne pour voir appraître le certificat, ou cliquez sur le bouton « afficher ».
5 – dans le fenêtre du certificat, cliquez sur l’onglet « détails ».

A quoi sert un lecteur ?

Le lecteur est associé à la carte à puce et vous permet d’utiliser cette dernière en faisant le lien avec votre poste de travail.

Pour faire le choix entre un lecteur série et un lecteur USB : le choix se fait en fonction des ports ( prises de branchement ) disponibles sur votre machine.

 

 Lecteur de carte port série   Lecteur de carte port USB
  Branchement
 Branchement sur un port série de votre ordinateur   Branchement sur un port USB de votre ordinateur
   Apparence                Prise Série

 

 Port Série

                   Prise USB

 Port USB

     Conseils
  • En cas de doute sur le choix à effectuer, consulter votre service informatique ou votre prestataire habituel
  • Vérifiez avant de commander que les ports série et USB de votre ordinateur sont en état de marche.

 

Puis-je utiliser un seul lecteur avec plusieurs cartes à puce ?

Bien sûr,

si vous avez un poste dédié aux téléprocédures ou à une application, vous pouvez y connecter le lecteur, et toutes les personnes ayant un certificat sur carte pourront venir insérer leur carte dans le lecteur pour utiliser leur certificat.

Au bureau de distribution indiqué, on me répond qu'il n'y a pas de pli à mon attention, ou on me demande un numéro de pli

Le pli envoyé au bureau de distribution n’est pas un recommandé. C’est un pli adressé au chef d’établissement ou au responsable guichet, contenant une lettre rappelant notre procédure, et le pli à l’attention du destinataire. Ce pli est conservé 15 jours par le bureau de distribution.

Pour les gammes PRO (classe 3 et 2 étoiles) est-il possible d'envoyer quelqu'un d'autre que la personne désignée pour chercher le pli au bureau de distribution ?

Non.

En effet, seul le mandataire ou les bénéficiaires de certificat peuvent se déplacer chercher les certificats, pour que le contrôle d’identité en face à face puisse être effectué. Aucune procuration n’est possible.

Dans le cas où le mandataire cherche les codes d’accès des bénéficiaires, il doit les leur remettre en main propre.

Comment savoir si mon dossier a été traité ? Que se passe-t-il ensuite ?

Lorque votre dossier est traité et validé, un courrier électronique arrive dans la boîte de réception du bénéficiaire du certificat.

En parallèle, un courrier postal contenant le certificat sera adressé à chaque bénéficiaire pour les certificats 1 étoile,

et un avis d’envoi du certificat au bureau de distribution envoyé au mandataire pour les certificats de classe 3.

Chaque bénéficiaire reçoit en parallèle un pli sécurisé contenant le code d’accès à son certificat. Les courriers, arrivant de deux lieux différents, sont distribués de manière séparée.

Serai-je prévenu avant la fin de vie de mon certificat électronique

Oui, 3 messages de rappel vous serons envoyés 45j, 30j et 15j avant la fin de validité de votre certificat électronique.

 

Quand faut-il renouveler ?

Nous vous conseillons d’envoyer votre demande de certificat environ un mois à l’avance.

Ainsi, vous aurez un minimum de souplesse de délai, une fois votre dossier traité, pour obtenir votre nouveau certificat en toute sérénité, et faire les opérations de remplacement nécessaires de votre certificat sur certaines applications.

 

Comment procéder ?

Votre interlocuteur commercial vous donne les moyens d’accéder au dossier de demande de certificat:

vous êtes directement passé par Certinomis. Pour obtenir le dossier de demande de certificat, cliquez ici :

vous avez acquis votre certificat par l’intermédiaire d’un de nos partenaires. Prenez contact avec votre interlocuteur habituel, celui-ci vous fournira le dossier de demande.

 

Pourquoi faut-il renouveler mon certificat ?

Le certificat a une date limite d’utilisation pour 2 raisons.

La clé contenu dans le certificat doit etre régulierement changée, c’est une contre mesure pour éviter les attaques sur votre certificat, et par l’occasion de générer une nouvelle clé conforme avec les reglementations en vigueur.
L’AC contrôle a l’occasion de cette demande, que l’identité contenue dans le certificat est toujours valide.

Vérification de signature électronique ?

Quand on reçoit un message signé, il contient à la fois le message initial et une valeur calculée par l’expéditeur, qui constitue la signature numérique. En général le certificat qui permet de vérifier cette signature est aussi joint. Par un calcul différent de la génération, il est alors possible de vérifier que la signature a bien été créée à partir du document par quelqu’un qui connaît la clé privée associée au certificat, donc par le titulaire de celui-ci qui par définition doit être le seul à détenir la clé privée.

Voici la suite d’étapes, réalisées par un logiciel adapté, qui vont être nécessaires pour que B puisse vérifier la signature d’un document venant de A :

B acquiert la clé publique de A, certifiée par une Autorité de Certification, et vérifie sa validité
B déchiffre la signature pour retrouver le condensat de signature avec la clé publique de A
B «hache » le message et obtient le condensat de vérification
B compare le condensat de vérification et le condensat de signature :

s’ils sont égaux, le couple message signature est valide
s’ils sont différents, le message et la signature ne correspondent pas.

Bi-clé, clé publique, clé privée ?

Classiquement en cryptographie la clé de chiffrement et la clé de déchiffrement sont identiques. Dans les systèmes de cryptographie asymétrique, elles sont différentes et ne peuvent, en pratique, être déduites l’une de l’autre. L’ensemble de ces deux clés forme un tout appelé bi-clé.
Comme la connaissance de l’une des clés du bi-clé ne permet pas de retrouver l’autre, on peut sans souci en rendre l’une des deux publique. Elle sera appelée clé publique. L’autre qui a contrario sera gardée secrète, est appelée clé privée. La différence entre ces clés n’est pas de nature mathématique, mais dans l’usage que l’on en fait.
Dans l’ensemble des applications, il est essentiel qu’une des clés soit privée c’est-à-dire détenue, accédée et utilisée par une unique personne. Il est en général aussi indispensable que l’autre clé, publique, soit diffusée sous une forme liée à l’identité du possesseur de la clé privée, il s’agit du certificat.

Politique de Certification ?

Dans tous les usages de la cryptographie asymétrique, il est essentiel de garder le secret des clés privées.
Mais il est tout aussi important de diffuser de manière sûre et intègre les clés publiques correspondantes. Si le possesseur de clés privées peut, par exemple, envoyer des messages signés, son correspondant doit pouvoir s’assurer de l’identité du signataire.
Internet est un réseau peu, pour ne pas dire pas du tout, sécurisé. Dans ce contexte, le fait de trouver le nom de l’émetteur associé à une clé publique ne garantit en rien le lien entre les deux.
Il convient qu’une autorité forte certifie ce lien, c’est précisément le rôle d’une Autorité de Certification.
Le certificat, que seule cette autorité peut générer, démontre le lien entre l’identité de son titulaire et la clé publique qu’il contient.

Infrastructure à Clé Publique (ICP, ou PKI en anglais)

Une Infrastructure à Clé Publique (ou PKI – Public Key Infrastructure) est un ensemble de moyens techniques, humains, documentaires et contractuels mis à la disposition d’utilisateurs pour assurer, avec des systèmes de cryptographie asymétrique, un environnement sécurisé aux échanges électroniques.

Révocation

Durant la période de validité portée par le certificat, il peut arriver que la clé privée associée soit perdue ou compromise, c’est-à-dire laissée à l’usage ou la connaissance d’autrui. Il peut aussi arriver que les informations contenues dans le certificat deviennent inexactes, par exemple s’il s’agit d’un certificat professionnel et que son possesseur quitte la société au nom de laquelle il l’a reçu.
Dans tous ces cas il faut prévenir ceux qui pourraient encore se fier à ce certificat et leur signifier qu’à partir de cette date il n’est plus valide. Pour cela on demande la révocation du certificat à l’Autorité de Certification qui l’a émis.
L’Autorité de Certification fait alors apparaître ce certificat dans la liste des certificats auxquels on ne peut plus faire confiance en consignant à côté leur date de révocation. Cette liste est appelée Liste des certificats Révoqués (en anglais Certificate Revocation List).
Il est impératif avant de faire confiance à un certificat de vérifier sa validité en consultant la LCR.

Qu’est-ce qu’un certificat électronique?

Les pièces d’identité physique (passeport, carte nationale d’identité…) contiennent un certain nombre d’informations, dont :

  • vos nom, prénoms, adresse, date de naissance
  • un numéro de pièce
  • le nom de l’autorité qui a émis la pièce. Pour qu’on puisse accorder sa confiance à une pièce d’identité, l’autorité émettrice, qui garantit la validité de ces informations, doit être reconnue.

De même, le certificat électronique est une pièce d’identité sur Internet :

  • il contient des informations d’identification
  • il ne peut être falsifié
  • il est délivré par une Autorité reconnue pour qu’un tiers puisse lui accorder sa confiance.

cf schéma ci dessous :

 

Comme la pièce d’identité papier, le certificat doit être émis et délivré selon des règles précises et rigoureuses.

Un certificat peut être délivré à une personne physique. Celle-ci peut agir :

  • en son nom (certificat de personne physique)
  • pour le compte de l’organisation qu’elle représente (on parle alors de « certificat d’organisation »)

Ainsi, un certificat électronique est un élément d’identité personnel qui ne peut en aucun cas être prêté, ou être utilisé par quelqu’un d’autre que son titulaire.

Un certificat peut également être délivré à un serveur. Il certifie alors le lien entre un nom de domaine et une organisation.

Dans le cas où vous n’auriez pas trouvé la solution à votre problème dans notre F.A.Q.,

vous pouvez contacter notre service d’assistance téléphonique au 0 892 70 70 66
(0,40 cts par mn)