Outils pour utilisateurs

Outils du site


sysadmin:securite:ca:help

Installation de certificats (certificats racines et de serveurs)

Le chiffrement (ou « cryptage ») des connexions sur le Web se fait via le protocole HTTPS. Ce dernier n'est que l'adjonction à son aîné HTTP d'une couche de chiffrement SSL/TLS. HTTPS utilise les algorithmes de chiffrement à clefs publiques ; la gestion des clefs passe par des certificats. Les rudiments sont expliqués sur la page Notions élémentaires sur le chiffrement (PGP, SSH, SSL, TLS, …). Ces certificats sont signés par un tiers de confiance : l'autorité de certification.

La présente page explique comment installer soit le certificat d'un serveur soit le certificat racine d'une autorité ayant émis des certificats pour des serveurs et ce, pour les principaux navigateurs du marché.

Dans le premier cas (installation du certificat d'un serveur seulement), votre navigateur vérifiera lors des prochaines connexions que le certificat est bon. Les certificats ont une durée de vie limitée. Un jour arrivera où votre navigateur se plaindra parce que ce certificat aura été renouvelé.

Dans le second cas (installation du (ou des) certificat racine), une autorité de certification émet — c'est à dire signe avec son certificat racine — des certificats de serveurs. Ici, votre navigateur vérifiera que le certificat présenté par un serveur lors de la prochaine connexion est bien signé par le certificat racine que vous vous apprêtez à installer : vous serez donc assuré que le serveur est bien qui il prétend être.
Le certificat racine d'une autorité de certification a lui aussi une durée de vie limitée mais cette dernière est beaucoup plus longue (certains sont valables 30 ans).

Installation des certificats

Pour nous faire confiance définitivement, il vous faut installer des certificats pour que votre navigateur puisse y accéder.

Laissez-vous guider pour installer nos certificats dans votre navigateur :

Internet Explorer

Avec Internet Explorer, lorsque vous accédez à une page chiffrée par SSL (HTTPS), une fenêtre s'affiche :

Si vous demandez « Plus d'infos » comme proposé, il s'affiche :

Choisissons de continuer en cliquant sur OK ; un seconde fenêtre d'avertissement s'affiche :

Par défaut Internet Explorer propose de refuser la connexion. Cliquons plutôt sur Afficher le certificat ; on voit que le certificat a été donné a www.eila.univ-paris-diderot.fr par l'autorité de certification nommée UFR EILA CA Servers ; cela paraît raisonnable et nous cliquons sur Installer le certificat :

On entre dans le gestionnaire de certificats de Windows :

Le gestionnaire nous propose de changer de magasin, ce que nous ne faisons surtout pas, laissons-nous plutôt guider :

Nous voilà presque au bout de nos peines :

Notre certificat est installé, nous voilà revenu à la source de nos peines ; choisissons cette fois de continuer :

Le navigateur nous prévient que la page contient des éléments non-sécurisés (images et feuilles de styles) que nous souhaitons afficher :

Et notre page sécurisée s'affiche !

On vérifie que l'adresse est bien https: et non pas http: :

Voilà ! La prochaine connexion sécurisée sera transparente, votre navigateur ne vous demandera plus rien (sauf éventuellement si vous voulez ou non afficher aussi les éléments non-sécurisés).

Logiciels Mozilla

Pour ceux d'entre vous qui ont fait le (bon) choix en utilisant Mozilla (Firefox ou Camino ou toute la Mozilla Suite), voici comment procéder pour que votre navigateur ne vous pose plus de questions.

Les développeurs de la fondation Mozilla ont choisi d'afficher dans les navigateurs Web un message qui ne laisse pas indifférent. On y lit clairement que le certificat présenté par le serveur n'est signé par aucune autorité de certification connue de votre navigateur ; cliquer sur « Ou vous pouvez ajouter une exception… » :

Confirmer l'ajout d'une exception :

Obtenir le certificat du serveur :

Il reste à valider :

Cette méthode n'est pas recommandée, installez plutôt les certificats racine, cette démarche est plus sûre et plus simple :

  • vous le faites une seule fois,
  • ce sera opérationnel pour tous nos serveurs,
  • vous n'aurez pas à le refaire lors du renouvellement d'un certificat.

Reconnaissance des autorités

Pour reconnaître une autorité de certification, il suffit d'ajouter son (ou ses) certificat(s) racine(s). Il y a deux étapes, quel que soit le logiciel :

  1. accès au certificat (en l'enregistrant sur le disque, par exemple sur le bureau, ou directement en le chargeant depuis le serveur),
  2. ouverture et configuration du fichier avec le logiciel.

Interface Microsoft

Obsolète, nous utilisons désormais TERENA Certificate Service (voir aussi TERENA Certificate Service) : il n'y a donc plus besoin d'installer de certificat.

Interface Mozilla

Obsolète, nous utilisons désormais TERENA Certificate Service (voir aussi TERENA Certificate Service) : il n'y a donc plus besoin d'installer de certificat.
sysadmin/securite/ca/help.txt · Dernière modification: 2012/05/03 12:57 par Pascal Cabaud