wiki:CertificatsElectroniques


Demander un certificat spécial Grid

Demander un certificat GRID (pour s'authentifier sur la grille de calcul) : https://pub-ee-grid.pncn.education.gouv.fr/EE/

  • Depuis le 1er juin 2018, l’infrastructure de gestion des clés GRID-FR n'est plus gérée par le CNRS mais par le Ministère de l’Education Nationale de l’Enseignement Supérieur et de la Recherche. Le sujet du certificat ne change pas. Par contre, l’autorité de certification émettrice est modifiée.
  • Chargement des certificats de l’autorité de certification dans votre navigateur Web: https://pub-ee-grid.pncn.education.gouv.fr/EE/ca-import.cgi


Demander un certificat électronique Sectigo (connexion aux sites web LPSC, CNRS, ...)

Depuis le 1er mai 2020, l'opérateur Digicert est remplacé par un autre opérateur de certification : Sectigo.

La demande de certificats personnels sur cette nouvelle autorité de certification TCS GEANT (SECTIGO) s'effectue ici : https://sesame.cnrs.fr/secure/#/. Il faut Selectionner personnel CNRS et utiliser vos identifiants Janus.


Ensuite cliquer sur Gérer mes certificats personnels et Générer un certificat


Il faut enregistrer le certificat. Sous windows, celui-ci sera téléchargé par défaut dans le répertoire Téléchargement de votre ordinateur.

Maintenant, il faut importer votre nouveau certificat SECTIGO dans votre navigateur Firefox.
Ouvrir votre navigateur Firefox, puis aller dans Options. A gauche aller dans Vie privé et sécurité, puis à droite aller tout en bas et cliquer sur Afficher les certificats


Il faut cliquer sur Importer et sélectionner le certificat que vous avez téléchargé. Maintenant, dans Vos certificats, apparait une certificat GEANT Vereniging (SECTIGO)



Suppression d'un certificat

Sauf si vous encryptez vos messages avec votre certificat, une fois celui-ci périmé ou plus utilisé (CNRS2 par exemple), vous pouvez supprimer vos anciens certificats.

Ouvrir votre navigateur Firefox, puis aller dans Options. A gauche aller dans Vie privé et sécurité, puis à droite aller tout en bas et cliquer sur Afficher les certificats


Aller dans l'onglet Vos Certificats. Si il y a un certificat personnel CNRS, vous pouvez le supprimer. Vous pouvez le sauvegarder dans un répertoire personnel avant de cliquer sur Supprimer



Quelques définitions

Un certificat électronique peut être vu comme une carte d'identité numérique. Il est utilisé principalement pour vous identifier et authentifier, mais aussi pour chiffrer des échanges. Il est signé par un tiers de confiance (Sectigo ou CNRS2-Grid dans notre cas).

Sa solidité est supérieure à celle d'un mot de passe, et le même certificat vous identifie auprès de nombreuses applications.



A quoi sert un certificat au laboratoire ?

Les certificats sont reconnus par un nombre grandissant d'applications en ligne :

  • Toutes les applications utilisant l'authentification JANUS : syrhus, simbad, agate, ...
  • Trac, documentation wiki et suivi de tickets d'intervention

Ils peuvent également être utilisés par des applications installées sur votre PC :

  • Votre messagerie électronique (signature électronique de vos messages)
  • SVN/Subversion, système de gestion de versions de fichiers
  • ...



Péremption et renouvèlement

La probabilité que votre certificat tombe entre de mauvaises mains augmente avec le temps. Il se peut aussi que vous cessiez d'en avoir besoin. Pour cette raison, le CNRS attribue une date de péremption (1 ou 2 ans après l'obtention) à votre certificat. Avant cette échéance, vous recevrez automatiquement un message vous permettant de le renouveler.

Le nouveau certificat s'installe comme l'ancien. Sauvegardez-le par un export bien protégé (voir chapitres précédents). L'ancien certificat peut être supprimé, mais ne gène en rien l'utilisation du nouveau.



Le sauvegarder et l'utiliser sur plusieurs PC ou dans plusieurs logiciels

Il est nécessaire d'exporter votre certificat sur votre disque dur (ou mieux dans un espace sauvegardé). Vous pourrez ensuite importer ce certificat dans toutes les applications ou sur toutes les machines sur lesquelles vous en avez besoin.

Avec firefox ou thunderbird :

Menu edit/preferences/privacy and security/certificates/yours Sélectionner votre certificat et l'exporter dans un fichier Votre-Nom.p12

Protégez ce fichier d'export avec un mot de passe solide, que vous ne perdrez pas, et placez-le sur un volume sauvegardé.

Vous pouvez importer le certificat dans une autre application à partir du même menu en choisissant Importer















Ancienne documentation relative aux certificats "DIGICERT"

Nous recommandons l'utilisation des certificats DIGICERT à la place des certificats CNRS2-standard. L'autorité de certification de ces certificats est directement connue par les outils et logiciels courants. Ils vous permettent la connexion à toutes les applications fournies par le CNRS.

Demander un certificat Digicert (pour s'authentifier sur les applications CNRS, RENATER, LPSC ...) : https://digicert.com/sso

  • Dans le sélecteur "IDP Selection", saisisez CNRS puis cliquez sur le bouton "Start single sign-on"
  • Authentifiez-vous sur JANUS, le système centralisé du CNRS (soit par login / mot de passe, soit par certificat CNRS2-Standard, soit par certificat DIGICERT, soit par certificat GRID-FR)
  • Demander la création d'un certificat en choisissant le produit "Premium" (non pas "grid-premium"), sans rien saisir dans CSR
  • Vous allez recevoir dans les minutes qui suivent en email ayant pour sujet "Create Your Digicert Premium Certificate". Cliquez sur le lien contenu dans cet email puis laissez-vous guider.
  • Votre certificat s'installera tout seul dans le magasin de certificat de votre navigateur. N'oubliez surtout pas de le sauvegarder.
  • Cette procédure s'exécute sans intervention du service informatique

ATTENTION Cette procédure ne fonctionne pas correctement avec les versions de firefox supérieures à 69. Si tel est votre cas, vous pouvez utiliser une des versions proposées pour utiliser l'application Sirhus : http://www.dgdr.cnrs.fr/sirh/Utilisateurs/espacetechda/espacetechda.htm. Elle vous permettra de récupérer le certificat, que vous pourrez ensuite exporter puis importer dans votre navigateur habituel. Seule sa création pose souci, pas son utilisation. Sous Mac, vous pouvez utiliser le navigateur safari.

Si un écran tel que celui ci-dessous apparait, vous devez cocher les deux cases avant de cliquer sur OK.




Ancienne documentation relative aux certificats "CNRS2-Standard"

Qu'est-ce qu'un certificat CNRS2-Standard ?

Il s'agit d'un certificat signé par le CNRS. Il permet de vous identifier en tant que membre d'un laboratoire associé au CNRS.


L'obtenir

Demander un certificat CNRS2-Standard : https://igc.services.cnrs.fr/usercert/?CA=CNRS2-Standard&lang=fr

ATTTENTION Le lien envoyé par mail pour récupérer le certificat ne fonctionne pas. Lire la section "Pour le récupérer ou l'importer dans votre navigateur"

La disponibilité de votre certificat vous sera notifiée par mail après validation (compter quelques jours).

Un certificat de "grade moyen" (clé de longueur 1024 bits) vous procurera une protection tout à fait suffisante, et son traitement par les applications utilisatrices sera plus rapide que pour un "grade haut" (clé de longueur 2048 bits).


Chargement des certificats du CNRS dans votre navigateur Web

Pour pouvoir se connecter sur les sites utilisant les certificats du CNRS sans message d'alerte comme ceci :

il faut charger les certificats du CNRS et du LPSC dans votre navigateur. Pour cela il suffit de cliquer sur les liens suivants :

http://igc.services.cnrs.fr/CNRS2-Standard/?lang=fr&cmd=search_CA_certificate&body=view_ca.html

et charger les certificats des CA CNRS et CNRS-Standard dans votre navigateur.

Si votre navigateur le propose vous devez activer les 3 boutons indiquant que le certificat est valable :

- pour identifier des sites Web
- pour identifier des utilisateurs
- pour identifier des développements logiciels.
Last modified 6 months ago Last modified on Apr 8, 2021 10:22:27 AM

Attachments (10)

Download all attachments as: .zip