Demande de certificat personnel

Pourquoi un certificat personnel ?

Un certificat personnel est une identité numérique qui permet de :

signer des mails⁽¹⁾
chiffrer des mails^(1),(2)
pour les personnels CNRS, accéder à la plupart des services internes du CNRS
pour les personnels non CNRS ayant des responsabilités envers des personnels CNRS, accéder à certains services

(1) utilisable uniquement avec des clients lourds de messagerie (par ex. Thunderbird), mais pas avec les webmail
(2) nécessite de posséder la clé publique du destinataire, donc d'avoir déjà reçu de sa part un courrier signé par son certificat

Préambule

Pour la récupération de votre certificat vous aurez besoin d'un compte DigiCert : commencez par créer celui-ci. Suivre ce lien.
Une fois le compte créé, vous pourrez poursuivre la procédure de demande.

Effectuer une demande

Le site pour effectuer une demande se trouve à l'adresse suivante : https://www.digicert.com/sso

En suivant ce lien vous arrivez à une demande « Please enter the Identity Provider to authenticate with » : vous ne pouvez accéder à ce service que via vos identifiants CNRS (JANUS). Tapez « CNRS » et sélectionnez celui-ci.

Une fois validé, vous êtes redirigé vers l'interface d'authentification du CNRS (JANUS) : identifiez-vous.

Si vous n'avez pas vos identifiants JANUS, rendez-vous sur https://sesame.cnrs.fr (note : tous les personnels du LIRIS sont normalement déclarés dans JANUS).

Demande de certificat personnel

Il y a deux champs obligatoires à saisir :

Type de certificat : il faut choisir « Premium »
Durée de validité : pas le choix, il faut choisir « 1 an »

Remarque : le certificat que vous obtiendrez sera pour le mail enregistré dans JANUS, rapellé à la ligne « Courriel » de ce formulaire. Si ce mail n'est pas en @liris.cnrs.fr contactez webmaster-admin@liris.cnrs.fr afin de corriger la situation. Si vous recherchez un certificat pour le mail associé à votre établissement c'est auprès des services informatiques concernés qu'il faut faire la demande (le LIRIS n'a pas vocation à fournir des certificats Lyon 1, INSA, ECL…).

Valider la demande

Il y a deux moyens pour obtenir le certificat :

en laissant faire les échanges par le navigateur : le certificat est directement chargé dans le navigateur à l'issue de la procédure
en passant par un CSR (Certificate Signing Request) : vous avez alors la clé privée du certificat et recevrez le certificat lui-même par mail

ATTENTION : il y a actuellement un problème avec les principaux navigateurs, et il n'est pas possible de récupérer directement les certificats générés.
Si vous utilisez Internet Explorer ou Safari vous pouvez suivre les instructions ci-dessous (« Valider la demande (avec navigateur compatible) »).
Si vous êtes en mesure d'utiliser une version ESR de Firefox (voir ce lien) vous pouvez suivre les instructions ci-après (« Valider la demande (avec navigateur compatible) »), en utilisant du début à la fin cette version ESR (ou IE / Safari).
Sinon suivez les instructions du paragraphe suivant « Valider la demande (avec CSR) ».

Note : dans tous les cas vous pouvez utiliser la méthode « CSR ».

Valider la demande (avec navigateur compatible)

Rappel : vous devez avoir un compte DigiCert pour la récupération (voir « Préambule » plus haut).

Validez le formulaire.
Vous recevrez un mail lorsque le certificat aura été créé, avec un lien à suivre pour la récupération.
Le certificat sera alors automatiquement chargé dans votre navigateur.

Valider la demande (avec CSR)

Rappel : vous devez avoir un compte DigiCert pour la récupération (voir « Préambule » plus haut).

En l'absence d'une version de navigateur compatible, vous devez générer une demande de certificat (un CSR). Pour cela allez sur l'URL suivante : https://projet.liris.cnrs.fr/certificats/ctrl/. Vous devez vous identifier avec vous identifiants LIRIS. Une fois identifié vous avez deux parties :

« La clé privée de votre certificat » (à gauche) : copiez le contenu de cette zone dans un fichier que vous conserverez. Il s'agit de la clé privée de votre futur certificat, et celui-ci ne peut être utilisé sans cette clé⁽¹⁾
« Le CSR » (à droite) : copiez le contenu de cette zone dans la partie « CSR » du formulaire de demande de certificat

(1) Cette clé privée est nécessaire pour utiliser le certificat, ne pas la perdre. Vous devez également la stocker de façon sécurisée, car si quelqu'un la récupère il pourra utiliser votre certificat !

Vous pouvez valider le formulaire. Vous recevrez un mail contenant :

le certificat au format P7B (PKCS#7). Ce format est en général utilisé par Java/TomCat
une archive ZIP contenant trois fichiers au format PEM (extension .pem ou, dans le cas présent, .crt) :

le certificat personnel, à votre nom
le certificat autorité ayant signé votre certificat (parfois nécessaire)
le certificat racine de DigiCert (normalement inutile puisque déjà présent dans tous les OS)

Importer / exporter un certificat

Si vous utilisez la méthode 1 (« navigateur compatible ») votre certificat personnel sera stocké dans votre navigateur.
Si vous utiliser la méthode 2 (« avec CSR ») votre certificat sera disponible sous forme de fichiers : un pour la clé privée (que vous avez copié dans un fichier) et un pour le certificat (réçu par mail, dans un fichier ZIP).

Si votre certificat personnel est dans votre nagivateur, il vous faudra probablement l'exporter pour pouvoir l'importer dans votre outil de messagerie (pour pouvoir signer des mails).

Export depuis un navigateur Firefox :

Aller dans le menu Edit > Preferences
Aller dans Privacy & Security
Cliquer sur « View Certificats… »
Sélectionner le certificat concerné (vérifiez la date d'expiration, à droite, si vous en avez plusieurs)
Cliquer « Backup »
Saisir un nom (extension .p12) et enregistrer : l'outil vous demande un mot de passe, qui protegera la clé privée (ne pas l'oublier : ce mot de passe est nécessaire pour importer le certificat)

Convertir un certificat + clé en PKCS12 :
Pour importer un certificat, celui-ci doit être au format PKCS12 (extension .p12 ou .pfx). Pour créer un fichier .p12 à partir d'une clé privée et d'un certificat il faut utiliser la commande suivante (linux) :

openssl pkcs12 -export -inkey votre_clef_privee.key -in votre_vertificat.pem -out resultat_final.p12

Ceci vous demandera le mot de passe associé à la clé (s'il y en a un, ce qui n'est pas le cas avec l'interface que nous proposons), ainsi qu'un mot de passe pour le fichier créé.
Notez que vous pouvez également intégrer le CA dans le certificat en ajoutant

-certfile le_fichier_ca.crt

(si vous ne savez pas ce que ça signifie, c'est que vous n'en avez sans doute pas besoin).
Notez également que les extensions .crt et .pem sont en général équivalentes.

Importer un certificat personnel dans Thunderbird :

Aller dans le menu Edit > Preferences
Aller dans Advanced
Cliquer « Manage certificates »
Cliquer « Your certificates »
Cliquer « Import »
Sélectionner le fichier .p12 dans l'exploreur de fichier qui apparaît (note : il faut que le type soit sur PKCS12, en bas à droite)
Saisir le mot de passe associé