Nous allons organiser et rassembler ici toutes nos différentes FAQ afin de vous apporter toutes les réponses à vos questions sur les certificats.

TBS INTERNET - Services certificats
22 rue de Bretagne
14000 CAEN
France

Tel: 02.76.30.59.00 ou +33-2-7630-5900 (9h-12h30 & 14h-17h30 lundi-vendredi, 17h le vendredi)
Fax: 09.72.11.22.04 ou +33-9-7211-2204 ou +33-1-7372-4584 ou +1-760-284-6216

Email: certs@tbs-internet.com

Préambule

Si tout ceci vous semble trop compliqué, remplissez le formulaire correspondant à votre besoin en cochant la case de l'option d'accompagnement (Accéder à un formulaire de demande ). Nous vous recontacterons alors pour vous délivrer un certificat clef-en-main.

Etape 0 : Vérifiez que votre serveur supporte SSL

Avant de chercher à obtenir un certificat pour un serveur, diverses vérifications sont nécessaires. Tout d'abord vérifiez que votre serveur supporte SSL ou TLS.
Si vous n'êtes pas l'hébergeur, sachez que vous ne pourrez pas demander de certificat sans son assistance sauf si vous avez une interface de gestion qui le permet (prenez donc contact avec lui pour vérifier s'il propose du SSL).

Etape 1 : Générez votre fichier de demande de certificat (CSR)

Vous devrez utiliser une fonction de ce serveur pour générer une demande de certificat (CSR, Certificate Signing Request). Recherchez la section détaillant cette opération dans l'aide et les manuels de votre logiciel. Vous trouverez ci-dessous des instructions résumées pour les serveurs les plus courants. Il est recommandé de générer une clef publique de 1024-bit au minimum, 2048 recommandé.

Lors de la demande de certificat vous allez générer une clé privée. Dès que cette clé est générée, faites en une copie de sauvegarde et protégez là très sérieusement. Vérifiez exactement comment sauvegarder cette clef privée avec le fournisseur de votre logiciel serveur. Si cette clé tombe entre de mauvaises mains votre sécurité est compromise et il faudra révoquer votre certificat. Si vous perdez la clef vous ne pourrez plus utiliser ce certificat.

Lors de la génération de CSR, un certain nombre de champs vous seront proposés pour y saisir les informations. Il est vivement recommandé d'avoir les Documents probant pour l'audit sous la main pour bien remplir les champs. Toute erreur dans la saisie d'un champ entraine forcement du retard !
Hébergeurs : le certificat est toujours au nom de votre client, c'est donc des documents de votre client dont on parle.

• Common name / domain name / nom du serveur : ici il faut indiquer le nom de votre serveur SSL, par exemple secure.entreprise.fr ou www.produit.com. Pas d'adresse IP.
  
  
• Country / Pays : indiquez FR si votre société est basée en France, BE pour la Belgique, etc.
  
  
• State / Département : en France, indiquez le nom du département dans lequel votre société a son siège social (pas le numéro).
  
  
• City / Ville : indiquez la ville où se trouve le siège social de votre société.
  
  
• Organisation / Organisation : ecrivez ici la raison sociale (pas le nom commercial ou le sigle) de votre société ou organisation, de préférence en majuscules.
  
  
• Organisational unit / Division / Branche : s'il y a lieu, préciser la division de votre société qui possède ce serveur (texte libre).

Autres instructions de génération de CSR

• Apache + mod_ssl on Mac OS x
• BEA WebLogic 6.1
• BEA WebLogic 8.1
• IBM HTTP
• Lotus Notes Domino R7
• Lotus Notes Domino 8.5
• iPlanet Web Server
• Oracle Web server (OSA 4.0.8)
• Redhat
• Sun Java web server
• WebSTAR/SSL
• Infinite InterChange
• Innosoft PMDF-TLS
• Netscape Messaging Server 4.1
• Stalker CommuniGate Pro
• Sun Internet Mail Server (SIMS)
• Certificat pour LDAPS avec Active Directory

• Documentation Thawte
• Documentation Comodo

Ces instructions sont valables pour tous les serveurs utilisant ApacheSSL ou Apache+mod_ssl ou Apache 2. Par contre, n'utilisez pas ces instructions pour les serveurs avec une surcouche (Cobalt, Plesk, etc.) ou Tomcat Générer un CSR pour Tomcat .

Nouveau : Utilisez notre générateur de ligne de commande

Pour gagner du temps, vous pouvez désormais générer votre ligne de commande openssl sur notre assistant OpenSSL en ligne. Il ne reste alors qu'un copier/coller à faire!

1- Crééz la clef privée

• Connectez-vous sous root et allez dans le répertoire de configuration de votre serveur Apache.
  Le plus souvent c'est :
  

  cd /etc/httpd/conf
  ou
  cd /etc/apache/conf

  
  
• On va placer les fichiers de travail ici, mais vous pouvez choisir un autre répertoire.
  
  
  
• On génère la clef avec la commande suivante en définissant un nom de fichier qui vous correspond :
  

  openssl genrsa 2048 > www.xxx.com.key

  
  
• Si vous souhaitez que cette clef ait un mot de passe (qui vous sera demandé à chaque démarrage d'apache, ajoutez
  
  "-des3"   après "genrsa").
  
  
  
• Vous pouvez aussi améliorer la qualité de la clef en ajoutant après  "genrsa" les instructions
  
  "-rand/var/log/messages".
  
  Ceci permet d'introduire des nombres aléatoires.
  

Faîtes une copie de sauvegarde de ce fichier .key !

• Protégez votre fichier en faisant :
  

  chmod 400 www.xxx.com.key

  
  
  
  

2- Crééz la demande de certificat (CSR)

• Utilisez cette commande pour générer le CSR :
  

  openssl req -new -key www.xxx.com.key > www.xxx.com.csr

  
  
• Le système va vous demander de saisir des champs ; remplissez-les en respectant les instructions données sur Obtenir un certificat serveur
  
  Country Name (2 letter code) []: (le plus souvent FR)
  State or Province Name (full name) [Some-State]: (le nom de votre département)
  Locality Name (eg, city) []: (le nom de votre ville)
  Organization Name (eg, company) []: (le nom de votre organisation)
  Organizational Unit Name (eg, section) []: (ce que vous voulez)
  Common Name (eg, YOUR name) []: (le nom du site a sécuriser)
  Email Address []: (ne rien mettre)
  
  
• Ne rien mettre dans d'éventuels champs "A challenge password" ou "An optional company name"
  
  

3- Suivez le processus de dépôt de demande

• Déposez votre demande sur notre site en utilisant le lien approprié. Voir Accéder à un formulaire de demande
• Copiez/coller le contenu du fichier www.xxx.com.csr dans le formulaire.
  
  

Notes

• Sur certaines plateformes, le fichier openssl.cnf qu'OpenSSL lit par défaut pour créer le CSR n'est pas bon.

  Dans ce cas vous pouvez télécharger les notre:

  • Pour les certificats serveur VeriSign ou Thawte: openssl-dem-server-cert-thvs.cnf
  • Pour les certificats serveur TBS X509 ou Comodo: openssl-dem-server-cert.cnf
• Pour Apache sous Windows, les instructions sont les mêmes, mais vous devez vous assurez que vous avec préalablement installé Apache avec OpenSSL. Le téléchargement se fait ici. Pour le reste des instructions, remplacez simplement openssl par openssl.exe

1- Crééz la clef privée

• Connectez-vous sous root avec ssh et allez dans le répertoire de configuration de votre serveur Apache SSL.
  

  cd /etc/apache-ssl

  
  
• On génère la clef avec la commande suivante en définissant un nom de fichier qui vous correspond :
  

  openssl genrsa 2048 > www.xxx.com.key

  
  
• Si vous souhaitez que cette clef ait un mot de passe (qui vous sera demandé à chaque démarrage d'apache, ajoutez
  
  "-des3"   après "genrsa").
  
  
  
• Vous pouvez aussi améliorer la qualité de la clef en ajoutant après  "genrsa" les instructions
  
  "-rand/var/log/messages".
  
  Ceci permet d'introduire des nombres aléatoires.
  

Faîtes une copie de sauvegarde de ce fichier .key !

• Protégez votre fichier en faisant :
  

  chmod 400 www.xxx.com.key

  
  
  
  

2- Crééz la demande de certificat (CSR)

• Utilisez cette commande pour générer le CSR :
  

  openssl req -new -key www.xxx.com.key > www.xxx.com.csr

  
  
• Le système va vous demander de saisir des champs ; remplissez-les en respectant les instructions données sur Obtenir un certificat serveur
  
  Country Name (2 letter code) []: (le plus souvent FR)
  State or Province Name (full name) [Some-State]: (le nom de votre département)
  Locality Name (eg, city) []: (le nom de votre ville)
  Organization Name (eg, company) []: (le nom de votre organisation)
  Organizational Unit Name (eg, section) []: (ce que vous voulez)
  Common Name (eg, YOUR name) []: (le nom du site a sécuriser)
  Email Address []: (ne rien mettre)
  
  
  
  

3- Suivez le processus de dépôt de demande

• Déposez votre demande sur notre site en utilisant le lien approprié et en choisissant ApacheSSL comme logiciel. Voir Accéder à un formulaire de demande
• Copiez/coller le contenu du fichier www.xxx.com.csr dans le formulaire.
  
  

1- Crééz la clef privée

• Connectez-vous sous root avec ssh et allez dans le répertoire de configuration de votre serveur.
  

  cd /usr/local/apache/conf/ssl.key

  
  
• On génère la clef avec la commande suivante en définissant un nom de fichier qui vous correspond :
  

  openssl genrsa 2048 > www.xxx.com.key

  
  
• Si vous souhaitez que cette clef ait un mot de passe (qui vous sera demandé à chaque démarrage d'apache, ajoutez
  
  "-des3"   après "genrsa").
  
  
  
• Vous pouvez aussi améliorer la qualité de la clef en ajoutant après  "genrsa" les instructions
  
  "-rand/var/log/messages".
  
  Ceci permet d'introduire des nombres aléatoires.
  

Faîtes une copie de sauvegarde de ce fichier .key !

• Protégez votre fichier en faisant :
  

  chmod 400 www.xxx.com.key

  
  
  
  

2- Crééz la demande de certificat (CSR)

• Allez dans le répertoire de travaill des CSR :
  

  cd /usr/local/apache/conf/ssl.csr

  
  
• Utilisez cette commande pour générer le CSR :
  

  openssl req -new -key ../ssl.key/www.xxx.com.key > www.xxx.com.csr

  
  
• Le système va vous demander de saisir des champs ; remplissez-les en respectant les instructions données sur Obtenir un certificat serveur
  
  Country Name (2 letter code) []: (le plus souvent FR)
  State or Province Name (full name) [Some-State]: (le nom de votre département)
  Locality Name (eg, city) []: (le nom de votre ville)
  Organization Name (eg, company) []: (le nom de votre organisation)
  Organizational Unit Name (eg, section) []: (ce que vous voulez)
  Common Name (eg, YOUR name) []: (le nom du site a sécuriser)
  Email Address []: (ne rien mettre)
  
  
  
  

3- Suivez le processus de dépôt de demande

• Déposez votre demande sur notre site en utilisant le lien approprié. Voir Accéder à un formulaire de demande
• Copiez/coller le contenu du fichier www.xxx.com.csr dans le formulaire.
  
  

Nouveau : Utilisez notre générateur de ligne de commande

Pour gagner du temps, vous pouvez désormais générer votre ligne de commande openssl sur notre assistant OpenSSL en ligne. Il ne reste alors qu'un copier/coller à faire!

1- Crééz la clef privée

• Connectez-vous sous root avec ssh et allez dans le répertoire de configuration de votre serveur.
  

  cd /etc/httpd/ssl.key

  
  
• On génère la clef avec la commande suivante en définissant un nom de fichier qui vous correspond :
  

  openssl genrsa 2048 > www.xxx.com.key

  
  
• Si vous souhaitez que cette clef ait un mot de passe (qui vous sera demandé à chaque démarrage d'apache, ajoutez
  
  "-des3"   après "genrsa").
  
  
  
• Vous pouvez aussi améliorer la qualité de la clef en ajoutant après  "genrsa" les instructions
  
  "-rand /var/log/messages".
  
  Ceci permet d'introduire des nombres aléatoires.
  

Faîtes une copie de sauvegarde de ce fichier .key !

• Protégez votre fichier en faisant :
  

  chmod 400 www.xxx.com.key

  
  
  
  

2- Crééz la demande de certificat (CSR)

• Allez dans le répertoire de travail des CSR et si besoin, créez le avant :
  

  mkdir /etc/httpd/ssl.csr ; cd /etc/httpd/ssl.csr

  
  
• Utilisez cette commande pour générer le CSR :
  

  openssl req -new -key ../ssl.key/www.xxx.com.key > www.xxx.com.csr

  
  
• Le système va vous demander de saisir des champs ; remplissez-les en respectant les instructions données sur Obtenir un certificat serveur
  
  Country Name (2 letter code) []: (le plus souvent FR)
  State or Province Name (full name) [Some-State]: (le nom de votre département)
  Locality Name (eg, city) []: (le nom de votre ville)
  Organization Name (eg, company) []: (le nom de votre organisation)
  Organizational Unit Name (eg, section) []: (ce que vous voulez)
  Common Name (eg, YOUR name) []: (le nom du site a sécuriser)
  Email Address []: (ne rien mettre)
  
  
  
  

3- Suivez le processus de dépôt de demande

• Déposez votre demande sur notre site en utilisant le lien approprié. Voir Accéder à un formulaire de demande
• Copiez/coller le contenu du fichier www.xxx.com.csr dans le formulaire.
  
  

Cette documentation s'applique à Plesk version 6, 7 et 8.

1- Générez la demande de certificat

Connectez vous à l'interface d'administration (en mode Administrateur et cliquez sur Administration du Serveur.

Cliquez sur le menu Certificat (Certificates) puis sur Ajouter un certificat

Remplissez alors le formulaire présenté en respectant les instructions ici Obtenir un certificat serveur . Donnez un nom au certificat et choisissez une longueur de 1024 bits minimum, 2048 recommandé.

Appuyez sur le bouton Demande (Request). Plesk génère alors une clef privée unique et votre CSR. Il vous envoit également un email contenant la clef privée et le certificat. Sauvegardez-le.

Vous revenez alors sur la page des Certificats. Cliquez sur le certificat que vous venez de demander (en bas).

Au milieu de la page résultante, vous verrez le CSR qu'il faut copier/coller dans le formulaire de commande. Ce CSR ressemble à:

-----BEGIN CERTIFICATE REQUEST-----
MIIBSzCB9gIBADCBkDELMAkGA1UEBhMCVVMxDjAMBgNVBAgTBVRleGFzMQ4wDAYD
....
HNX2uFXghrjBJw3mtZ36JhG7cLeWZK7B+4dmOL4f2ToreSW946wQMxK5ZYYOK68=
-----END CERTIFICATE REQUEST-----

2- Suivez le processus de dépôt de demande

• Déposez votre demande sur notre site en utilisant le lien approprié. Voir Accéder à un formulaire de demande
• Copiez/coller le CSR avec la ligne d'entête et de fin.
  
  

• Suivre les étapes 1 à 10
• Passez à l'étape 15, pour importer le certificat racine correspondant au certificat que vous allez commander (nous recommandons de ne pas utiliser de certificat TBS X509, dont la chaine de certification est trop complexe). Sélectionnez le certificat racine correspondant à votre produit ici Certificats d'autorités . Evidement en cas de doute, appelez nous pour savoir quel est le bon certificat à importer pour le produit que vous allez acheter.
• Faire les étapes 16+17 pour générer le CSR. Voir Accéder à un formulaire de demande
• A l'étape 18, déposez votre demande de certificat sur notre formulaire
• Une fois le certificat reçu, voir Installer un certificat pour Cisco ASA

Note importante

Si vous utilisez la génération du CSR en ligne de commande, il faut:

        crypto ca trustpoint NvCert
        keypair RSA-CERT-2048
        id-usage ssl-ipsec
        fqdn none
        subject-name CN=toto.domaine.fr,O=Mon Organisation,C=FR,St=Departement,L=Ville
        enrollment terminal
      crypto ca enroll NvCert noconfirm

1. Démarrez l'outil "Quick Start"
2. Dans l'onglet "Setup" cliquez sur "External Access"
3. Cliquez sur "Manage External Access"
4. Cliquez Suivant. Sélectionnez "Direct to this server" pour accéder au serveur depuis internet
5. Cliquez Suivant.
6. Si vous n'avez pas déjà de certificat, suivez le processus.
7. Entrez le FQDN public du serveur (exemple: citrix.entreprise.fr ). Evidement il faut que ce nom DNS fonctionne! Cliquez Suivant.
8. Entrez votre nom d'Organisation officielle et un texte libre dans Unité d'Organisation. Cliquez Suivant.
9. Entrez les informations géographiques de votre siège social. Cliquez Suivant.
10. Choisissez "Manually submit the certificate request to a Certificate Authority" et cliquez Suivant.
11. Spécifiez un nom et emplacement pour le fichier temporaire CSR à nous fournir. Cliquez Suivant.
12. Relisez et cliquez sur Terminer pour créer le fichier.
13. Ouvrez le fichier dans un notepad pour pouvoir le copier/coller dans notre formulaire de commande.
14. Allez sur le formulaire de commande, voir Accéder à un formulaire de demande

1. CLiquez sur l'onglet Access Gateway Cluster et ouvrez la fenetre du boitier.
2. Dans l'onglet Certificate Signing Request, entrez l'information demandée dans les champs du CSR. Ensuite cliquez sur Generate Request
3. Un fichier .csr est créé. Sauvez le fichier sur votre ordinateur et ouvrez le dans un notepad pour pouvoir le copier/coller dans notre formulaire de commande.
4. Allez sur le formulaire de commande, voir Accéder à un formulaire de demande

Pour IIS, obtenez d'abord le certificat sous IIS puis exporter le en PFX, puis le transformer en PEM. Voir: http://www.jaytomlin.com/blog/2006/07/certificate_conversion_tools.html

Pour Apache, pas besoin de convertir les fichiers.

Vous aussi la documentation Citrix sur le transfert: http://support.citrix.com/article/CTX109031

Ouvrez le gestionnaire de clefs IIS. Sélectionnez l'entrée WWW puis dans le menu appelez Key/Create New Key...

Un assistant s'ouvre. Choisissez de placer la demande dans un fichier à envoyer à une autorité (le choix 1) et nommez le fichier qui sera créé.

Définissez un mot de passe. Notez-le ! Vous aurez besoin de ce mot de passe pour l'installation et plus tard pour le renouvellement. Choisissez la longueur de clef, 1024 au minimum, 2048 recommandé.

Ensuite déroulez l'assistant. Ecrivez sans utilisez d'accents ni de caractères : ! @ # $ % ^ * ( ) ~ ? > < & / \ :

• Saisissez l'organisation et la division service (en suivant nos recommandations, voir Obtenir un certificat serveur ) et le nom usuel (common name) : le nom du site web tel que les utilisateurs le verront/le tapperont
• Le pays, la ville et le département

Allez jusqu'au bout de l'assistant.

Enregistrez votre demande en allant dans Computers/Commit changes now (enregistrer les modifications maintenant).

Faites une extraction de sauvegarde en utilisant le menu Keys/Export Key.../Backup File. Ceci vous sauvera la vie en cas de fausse manipulation. Stocker la sauvegarde ailleurs que sur votre serveur, avec le mot de passe de la clef.

Il ne vous reste plus qu'à ouvrir le fichier ainsi généré et copier/coller dans le formulaire adéquat, voir Accéder à un formulaire de demande .

Cas du renouvellement

Renouveler un certificat avec Microsoft IIS 5 ou 6

Cas général

Dans le gestionnaire IIS, cliquer droit sur le service web concerné (par exemple le site web par défaut) et sélectionner "Propriétés".

Dans l'onglet "Sécurité de répertoire", cliquer sur "Certificat de serveurs...". L'assistant Certificat de serveur Web s'ouvre ; cliquer sur "Suivant".

• Choisir "Créer un certificat" et cliquer sur "Suivant".
• Sélectionner "Préparer la demande, mais ne pas l'envoyer maintenant" et cliquer sur "Suivant".

Ensuite déroulez l'assistant. Ecrivez sans utilisez d'accents ni de caractères : ! @ # $ % ^ * ( ) ~ ? > < & / \:

• Un nom de clef
  
  
• Choisissez la longueur (1024 minimum, 2048 recommandé) et ne cochez pas la petite case à cocher
  
  
• Saisissez l'organisation et la division service (en suivant nos recommandations, voir Obtenir un certificat serveur )
  
  
• Le nom usuel (common name) : le nom du site web tel que les utilisateurs le verront/le tapperont
  
  
• Le pays, la ville et le département
  

Choisir ensuite un emplacement et un nom du fichier de demande de certificat à créer. Cliquez sur "Suivant".


Un récapitulatif s'affiche. Confirmez. Il ne vous reste plus qu'à ouvrir le fichier ainsi généré et copier/coller son contenu dans notre formulaire de commande, voir Accéder à un formulaire de demande .

Cas général

Ouvrez le nouvel outil d'administration Internet Information Services. Sélectionnez le serveur concerné dans l'arbre sur la gauche. Double-cliquez sur l'icone Certificats Serveur (Server Certificates) sur la gauche.

Dans le panneau Action, cliquer sur Créer une demande de certificat ("Create Certificate Request...").

• Ensuite déroulez l'assistant. Ecrivez sans utilisez d'accents ni de caractères : ! @ # $ % ^ * ( ) ~ ? > < & / \:
• Choisissez la longueur (1024 minimum, 2048 recommandé) et le magasin de stockage
  
• Choisir ensuite un emplacement et un nom du fichier de demande de certificat à créer. Cliquez sur "Terminer" ("Finish").
  

Il ne vous reste plus qu'à ouvrir le fichier ainsi généré et copier/coller son contenu dans notre formulaire de commande, voir Accéder à un formulaire de demande .

Il ne faut surtout pas reconfigurer le SSL ou créer une nouvelle demande de certificat entre le moment où vous générez un CSR et le moment où vous installez le certificat résultant. Si vous le faites, le logiciel risque de perdre votre demande et refuser d'installer le certificat ultérieurement.

Serveur FTP SSL

Voir aussi: http://learn.iis.net/page.aspx/304/using-ftp-over-ssl/

Si vous avez un serveur IIS sur la machine ISA, utilisez-le. Sinon, utilisez un autre serveur disposant d'IIS pour demander et obtenir un certificat, vous exporterez puis importerez ensuite le certificat vers la machine ISA. Ceci est expliqué dans nos instructions d'installation.

Dans un premier temps, suivez les instructions Générer un CSR avec Microsoft IIS5 ou IIS6

• http://www.microsoft.com/technet/isa/2004/plan/digitalcertificates.mspx
• http://www.microsoft.com/technet/isa/2004/plan/tscerts.mspx

Générer un CSR avec Microsoft IIS5 ou IIS6

1- Préparez votre demande

• Assurez-vous d'être connectés sous Administrateur sur le serveur Exchange.
• N'utilisez aucune virgule dans les champs du CSR (les virgules sont comprises comme des séparateurs).
• N'utilisez que les caractères classiques (lettres de A à Z, chiffres, tirêt) dans les noms de sites. N'utilisez pas d'accents ni ! @ # $ % ^ * ( ) ~ ? > < & / \

2- Générez votre CSR

• lancez la cmdlet New-ExchangeCertificate (dans le powershell)
• générez un CSR avec la commande suivant en adaptant aux coordonnées de votre organisation. Mettez le nom principal (officiel) de votre serveur dans CN=
• Sous Exchange 2007:
  

  New-ExchangeCertificate -GenerateRequest -SubjectName "C=FR, O=Ma Boite SARL, L=Lyon, ST=Rhone, CN=mail.maboite.fr" -IncludeAcceptedDomains -privatekeyexportable:$true -Path c:\mail.maboite.fr.txt
  

  Sous Exchange 2010:
  

  New-ExchangeCertificate -GenerateRequest -SubjectName "C=FR, O=Ma Boite SARL, L=Lyon, ST=Rhone, CN=mail.maboite.fr" -IncludeAcceptedDomains -privatekeyexportable:$true
  

• Il est nullement nécessaire (nous le déconseillons) d'inclure les autre SAN du futur certificat, vous le ferez sur notre formulaire web

3- Suivez le processus de dépôt de demande

• Déposez votre demande sur notre site en utilisant le lien approprié. Voir Accéder à un formulaire de demande
• Copiez/coller le contenu du fichier c:\mail.maboite.fr.txt ou du CSR apparu à l'écran dans le formulaire.

Pour obtenir un fonctionnement normal, il faut remplacer le certificat auto-signé par un certificat reconnu par les navigateurs et terminaux mobiles. La difficulté réside à faire l'inventaire des FQDN/SAN nécessaires au bon fonctionnement des services avec les certificats.

Il faut rechercher:

• le FQDN externe et/ou interne pour Outlook Web Access
• le FQDN externe et/ou interne pour Exchange ActiveSync
• les FQDN externe et/ou interne pour Autodiscover, Outlook Anywhere, Web Services
• les FQDN externe et/ou interne pour POP, IMAP
• le FQDN externe et/ou interne pour Unified Messaging Server
• le FQDN externe et/ou interne pour Hub Transport Server
• le FQDN externe et/ou interne pour Federation Sharing

Générer un CSR pour Microsoft Exchange 2007

Peu importe la méthode, une fois le CSR généré:

• Déposez votre demande sur notre site en utilisant le lien approprié. Voir Accéder à un formulaire de demande
• Copiez/coller le contenu du fichier CSR dans le formulaire.

• http://technet.microsoft.com/en-us/library/bb125165(EXCHG.140).aspx
• http://technet.microsoft.com/en-us/library/dd351057(EXCHG.140).aspx

Générer un CSR pour Apache

• Cyrus IMAP
• Postfix TLS
• Qmail TLS
• Sendmail TLS

1- Crééz la clef privée

keytool -genkey -keyalg RSA -alias tomcat -keystore [nomdustockage]

keytool -genkey -keyalg RSA -keysize 2048 -alias tomcat -keystore [nomdustockage]

Whatyour first and last name?
  [Unknown]:  www.exemple.com

What is the name of your organizational unit?
  [Unknown]:  test

What is the name of your organization?
  [Unknown]:  Votre nom organisation

What is the name of your City or Locality?
  [Unknown]:  Paris

What is the name of your State or Province?
  [Unknown]:  Paris

What is the two-letter country code for this unit?
  [Unknown]:  FR

Is CN=www.exemple.com, OU=test, O=Votre nom organisation, L=Paris, ST=Paris, C=FR correct?
  [no]:  yes (ou oui en Français)

Enter key password for <nomdustockage>

keytool -list -keystore [nomdustockage]

2- Générez un CSR

keytool -certreq -alias tomcat -keyalg  RSA -file mon.csr -keystore [nomdustockage]

Enter Keystore password:  

-----BEGIN NEW CERTIFICATE REQUEST-----
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
-----END NEW CERTIFICATE REQUEST-----

3- Suivez le processus de dépôt de demande

• Déposez votre demande sur notre site en utilisant le lien approprié. Voir Accéder à un formulaire de demande
• Copiez/coller le contenu du fichier mon.csr dans le formulaire.
  
  

Néanmoins depuis la version i-Sentry 4.1.0, les certificats de la gamme TBS X509 sont supportés (si votre version est plus ancienne, contacter le support BeeWare).

1- Générez le bi-clé

Connectez vous à la console de gestion (Management Console)

1. Selectionnez Configuration > SSL > Keyrings > SSL Keyrings
2. Cliquez sur Create; la boite de dialogue apparait.
3. Si vous souhaitez pouvoir exporter la clef privée par la suite, il faut cocher l'option Show-private-key
4. Selectionnez "Create a new" et choisissez une longueur de clef appropriée pour votre certificat (1024 minimum, 2048 recommandé).
5. Renseignez un nom de bi-clé

6. Terminez avec OK

2- Générez la demande de certificat

1. Selectionnez Configuration > SSL > SSL Keyrings > SSL Certificates
2. Dans la liste des bi-clé, sélectionnez celui que vous venez de créer.
3. Allez dans l'onglet "Certificate Signing Request", et cliquez sur le bouton "Create"
4. Remplissez le formulaire en spécifiant les champs comme détaillé dans la page Obtenir un certificat serveur . Il Faut laisser les champs "E-mail Address" et "Company" vide, et mettre 0000 dans "Challenge".
5. L'onglet "Create" affiche "Creating..."
6. Cliquez sur OK

3- Suivez le processus de dépôt de demande

• Déposez votre demande sur notre site en utilisant le lien approprié. Voir Accéder à un formulaire de demande
• Copiez/coller le CSR avec la ligne d'entête et de fin.
  
  

Merci de laisser vide les champs Email Address, Challenge Password et Optional Company name.

Générer une clef privée et un CSR

1. Lancez le WebStar Admin Client
2. Sous "Web Server" cliquez sur "SSL Configuration"
3. Dans le menu, cliquez sur "Tools" et choisissez "Generate Keys and CSR"
4. Dans la section "Generate Key"
   • Name: (par exemple clefprivee2009)
   • Password: (votre mot de passe)
   • Bits: (longueur: 1024 or 2048)
5. Cliquez sur le bouton "generate"
6. Allez dans la section "Generate Certificate Signing Request". Remplissez:
   • Common name / domain name / nom du serveur : ici il faut indiquer le nom de votre serveur SSL, par exemple secure.entreprise.fr ou www.produit.com. Pas d'adresse IP.
     
     
   • Organisation / Organisation : ecrivez ici la raison sociale (pas le nom commercial ou le sigle) de votre société ou organisation, de préférence en majuscules.
     
     
   • Organisational unit / Division / Branche : s'il y a lieu, préciser la division de votre société qui possède ce serveur (texte libre).
   • City / Ville : indiquez la ville où se trouve le siège social de votre société.
     
     
   • Country / Pays : indiquez FR si votre société est basée en France, BE pour la Belgique, etc.
     
     
   • State / Département : en France, indiquez le nom du département dans lequel votre société a son siège social (pas le numéro).
     
     
   • Phone number, Fax & Email : ne rien mettre
7. Selectionnez votre clef et tapez le mot de passe.
8. Choisissez "Normal Certificate" et cliquez sur "Generate CSR".
9. Déposez votre demande sur notre site en utilisant le lien approprié. Voir Accéder à un formulaire de demande
10. Copiez/coller le contenu du fichier www.xxx.com.csr dans le formulaire.
    
    

Il existe cependant quelques différences entre les produits de nos fournisseurs, et nous publions de ce fait un tableau ultra-détaillé de la compatibilité de chaque produit, en tout transparence. Voir http://www.tbs-certificats.com/navigateurs.html

En résumé, la situation est la suivante:

Thawte standard : compatible avec les navigateurs IE 4.0+, Netscape 4.0+, Mozilla/Firefox et Safari.

VeriSign Secure : compatible avec les navigateurs IE 4.0+ (sauf IE 4 Mac), Netscape 4.06+, Mozilla/Firefox et Safari.

Thawte SuperCert et VeriSign Global : compatible avec les navigateurs IE 5.01+, Netscape 4.6+, Mozilla/Firefox et Safari.

TBS X509 Omnidomaine : compatible avec les navigateurs IE 5.01+, Netscape 4.77+, Mozilla/Firefox et Safari.

Thawte Wildcard : compatible avec les navigateurs IE 5.01+, Netscape 4.5+, Mozilla/Firefox et Safari.

TBS X509 Multiples Sites : compatible avec les navigateurs IE 5.01+, Netscape 6+, Mozilla/Firefox et Safari 1.2+.

http://www.thawte.com/ssl-digital-certificates/technical-support/browsers.html

http://secure.comodo.net/ubiquity/SSLServerCertificates.html

Faites votre demande ici

• Vos sites ont tous un nom qui se termine par le même domaine (*.domaine.fr)
  Dans ce cas, utilisez un certificat Wildcard ou OmniDomaine
• Vos sites ont des noms divers et vous n'avez qu'une seule adresse IP
  Dans ce cas, utilisez un certificat Multiples Sites
• Vos sites ont des noms divers et vous avez plusieurs adresses IP
  Utilisez un certificat serveur par IP garantis 40- ou 128-bit

Il faut désormais que les navigateurs et les serveurs implémentent cette extension.

En date de mi-octobre 2007, la situation est:

• Navigateurs compatibles:
• Internet Explorer 7+
• Firefox 2+
• Opera 8+
• Serveurs compatibles:
  • OpenSSL 0.9.8f
  • Aucun serveur web à proprement parler, il existe un patch pour Apache 2.2 mais rien d'officiel: http://issues.apache.org/bugzilla/show_bug.cgi?id=34607

• Le certificat wildcard fonctionne bien pour IIS sauf que les points ne sont pas pris en compte dans l'étoile par Internet Explorer. Ceci est un choix de Microsoft et de la RFC 2818. Les outils de la famille Mozilla étaient plus tolérants que la norme, jusqu'à Firefox 3.0.13 (NSS 3.12.3) qui rejoint le fonctionnement communément admis par les autres navigateurs. Voir http://support.microsoft.com/kb/258858
• Le seul format du CN acceptable est *.exemple.com. L'étoile doit être le premier caractère à gauche et doit être suivi par un point. De ce fait, le nom exemple.com ne fonctionnerait pas avec un certificat *.exemple.com car même si l'étoile était vide, cela donnerait .exemple.com
• Il existe une limitation de ISA Server 2004 qui permet d'accepter des requêtes HTTPS sur un certificat wildcard mais l'ISA server lui-même ne sait pas initier de connexion HTTPS sur un serveur IIS possédant un certificat wildcard. Cela fonctionne en ISA Server 2006. (ceci est documenté par Microsoft ici).
• le produit Microsoft LCS (live communication server) qui utilise des certificats SSL ne permet pas l'utilisation des certificats wildcard.
• Activesync ne marche pas avec des Wildcard, sauf avec Microsoft Windows Mobile 6 (WM 3, 4 et 5 ne marchent pas avec des Wildcard). Il faut un certificat classique.
• Certains terminaux mobiles (téléphones portables) ne supportent pas le caractère *, et donc génèrent une erreur au niveau de la vérification du certificat
• Windows Mobile 5 ne supporte pas les certificats Wildcard (aucune marque). Par contre Windows Mobile 6 les supporte (Voir Site Microsoft)
• Si vous demandez un Wildcard depuis un serveur IIS 5 ou 6, vous obtiendrez un certificat dont le champ CN est encodé en UTF8. Soyez conscient que Windows 98 ne supporte par UTF8 et donc qu'il y aura un message d'alerte. Pour l'éviter, générer une demande de certificat avec OpenSSL afin d'obtenir un certificat sans UTF8.
• Si vous utilisez RPC over HTTPS, il faut configurer le client outlook de façon particulière, voir RPC over HTTPS et ISA 2006 et Wildcard

• Novell iChain 2.3 SP3
• Oracle Wallet Manager
• Aventail

Quels sont les inconvénients des certificats Wildcard ou OmniDomaine ?

• la sécurité : si un serveur hébergeant un tel certificat est compromis, tous les autres serveurs utilisant ce certificat sont en danger (même clef privée).
• la gestion : si un certificat Wildcard ou OmniDomaine doit être révoqué, il faudra le changer sur tous les serveurs qui l'utilisent.
• la compatibilité : pour éviter les soucis, il faut considérer que l'étoile ne remplace qu'un seul niveau de domaine (pas de correspondance sur le point)

Documentation externe

1- Crééz la clef privée

keytool -genkey -keyalg RSA -keysize 2048 -alias [nom-alias] -keystore [nomdustockage]

Whatyour first and last name?
  [Unknown]:  www.exemple.com

What is the name of your organizational unit?
  [Unknown]:  test

What is the name of your organization?
  [Unknown]:  Votre nom organisation

What is the name of your City or Locality?
  [Unknown]:  Paris

What is the name of your State or Province?
  [Unknown]:  Paris

What is the two-letter country code for this unit?
  [Unknown]:  FR

Is CN=www.exemple.com, OU=test, O=Votre nom organisation, L=Paris, ST=Paris, C=FR correct?
  [no]:  yes 

Enter key password for [nomdustockage]

keytool -list -keystore [nomdustockage]

2- Générez un CSR

keytool -certreq -alias [nom-alias] -keyalg  RSA -file [mon.csr] -keystore [nomdustockage]

Enter Keystore password:  

-----BEGIN NEW CERTIFICATE REQUEST-----
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
-----END NEW CERTIFICATE REQUEST-----

3- Suivez le processus de dépôt de demande

Accéder à un formulaire de demande

Documentation externe

• L'outil Keytool: http://java.sun.com/j2se/1.5.0/docs/tooldocs/solaris/keytool.html

http://browser.netscape.com/downloads/archive/

En utilisant le formulaire de demande de certificat, votre navigateur génèrera la clef privée et le CSR dans sa base de certificats, mais rien ne sera visible dans l'interface Netscape. Néanmoins quand vous installerez le certificat que nous aurons fabriqué, le certificat apparaitra. C'est pour cela qu'il est important d'utiliser le même navigateur, sous la même session utilisateur, pour la demande de certificat et le téléchargement.

Une fois le certificat apparu, vous pourrez alors l'exporter (backup) au format .p12 pour l'importer dans un Netscape 4.7 afin de disposer de l'environnement de signature optimal.

Avec Internet Explorer 5.5 à 6 (ou 7 sous XP):

Notez bien l'emplacement du fichier .pvk que vous choisissez sur le formulaire de commande.

Avec Internet Explorer 7 sous Vista ou IE8:

• X509v3 Extended Key Usage
  • Code Signing, Microsoft Commercial Code Signing
• Netscape Cert Type
  • Object Signing

En utilisant le formulaire de demande de certificat, votre navigateur génèrera la clef privée et le CSR dans sa base de certificats, mais rien ne sera visible dans l'interface. Néanmoins quand vous installerez le certificat que nous aurons fabriqué, le certificat apparaitra. C'est pour cela qu'il est important d'utiliser le même navigateur, sous la même session utilisateur, pour la demande de certificat et le téléchargement.

Une fois le certificat apparu, vous pourrez alors l'exporter (backup) au format .p12 pour l'importer dans votre application Adobe.

Il existe pourtant une solution simple et économique pour sécuriser ces communications : le certificat électronique ! Propre à chaque utilisateur, il assure l'intégrité, l'authenticité et le chiffrement.

Le courrier électronique signé d'autres personnes vous permet de vérifier l'authenticité d'un message : que le message provient du bon expéditeur et qu'il n'a pas été falsifié pendant le transit.

Vous pouvez aussi signer votre courrier électronique afin que vos interlocuteurs reconnaissent avec certitude vos messages. Cela vous permet aussi de professionnaliser votre communication.

Suivant les types de certificats clients, on vous demandera ou non de remplir le champ Email. En l'absence de ce champ, le certificat ne sera adapté qu'à l'authentification client SSL (authentification SSL/TLS forte) ou à la signature électroniques de documents. Avec un champ Email, le certificat devient en plus utilisable pour faire de la signature et du chiffrement d'email à la norme S/MIME.

Si le formulaire vous propose des options avancées, vous aurez la possibilité de sélectionner le CSP de votre choix. Le CSP est un driver d'unité de stockage de clefs privées et de certificats. Microsoft livre toujours un CSP logiciel qui correspond à la base de registre. Si vous avez un lecteur de carte à puces ou un token USB, vous disposez certainement aussi d'un CSP vous permettant d'utiliser IE avec ce matériel. Dans ce cas, il vous est possible d'utiliser ce matériel pour stocker la clef privée et votre certificat.

Associé à ce CSP, il existe deux réglages dont le sens peut varier en fonction de chaque CSP:

• Clef privée exportable: la clef privée ne pourra pas être exportée
• Clef privée protégée: un mot de passe sera demandé à chaque manipulation de la clef

Ce type d'erreur est complexe à résoudre. Elle peut provenir de plusieurs sources.

• Le téléchargement ou l'exécution d'activeX est interdit. Dans ce cas vérifiez les réglages de votre Internet Explorer, notamment en terme de niveau de sécurité. Vous pouvez également tenter de mettre le site www.tbs-internet.com dans vos sites de confiance.
• Votre librairie xenroll.dll est trop ancienne. Vous pouvez la mettre à jour depuis cette page: http://support.microsoft.com/default.aspx?scid=KB;FR-FR;q323172
• Votre Internet Explorer est un ancètre qui ne supporte pas le 128-bit (peu probable)! Il faut le mettre à jour, voir http://www.microsoft.com/windows/ie/downloads/recommended/128bit/default.asp
• Essayez d'utiliser votre Internet Explorer avec l'utilisateur Administrateur (ou privilèges équivalents)

Suivant les types de certificats clients, on vous demandera ou non de remplir le champ Email. En l'absence de ce champ, le certificat ne sera adapté qu'à l'authentification client SSL (authentification SSL/TLS forte) ou à la signature électroniques de documents. Avec un champ Email, le certificat devient en plus utilisable pour faire de la signature et du chiffrement d'email à la norme S/MIME.

Ceci parce que dans le passé, vous avez défini un tel mot de passe sur votre Firefox / Mozilla / Netscape. Etant donné que le bi-clé de certificat doit être stocké dans ce container de sécurité, si il est protégé par mot de passe, il est nécessaire de le re-saisir.

Si vous ne le connaissez plus... et bien c'est fort embêtant. Il va vous falloir effacer le container: déplacez le fichier key3.db hors du répertoire de configuration de votre logiciel. Ensuite vous pourrez re-demander un certificat et en même temps définir un nouveau mot de passe (il est possible de ne mettre aucun mot de passe, mais ce n'est pas conseillé).

Comment se déroule l'obtention d'un certificat ChamberSign Fiducio ?

• Remplissez le formulaire de commande TBS Certificats
• Après pré-audit, vous recevez un lien pour finaliser votre dossier en ligne ChamberSign
• A la fin du remplissage, les PDF contenant les documents à imprimer et signer vous sont remis, et on vous indique quel document complémentaire fournir (en général, le Kbis)
• Vous envoyez alors ce dossier papier à la CCI que vous aurez choisi préalablement
• Au bout de quelques jours, la CCI vous appelle pour vous proposer un rendez-vous de face-à-face
• Lors de ce rendez-vous, vous présentez votre pièce d'identité et repartez avec votre certificat

• Windows 98 seconde édition
• Windows 2000 avec service pack 4+
• Windows XP avec service pack 1+

• Internet Explorer 6+
• Mozilla 1.7+
• Firefox 1.0.6+
• Netscape 6+

• Windows 2000 avec service pack 4+
• Windows XP avec service pack 1+

• Internet Explorer 6+
• Mozilla 1.7+
• Firefox 1.0.6+
• Netscape 6+

• Mac OS X 10.3+

• Mozilla 1.7+
• Firefox 1.0.6+
• Netscape 6+

• Toute distribution disposant d'un des navigateurs ci-dessous

• Mozilla 1.7+
• Firefox 1.0.6+
• Netscape 6+

• UNIQUEMENT Mandriva 10.1 ou supérieur

• Mozilla 1.7+
• Firefox 1.0.6+
• Netscape 6+

• On génère la clef avec la commande suivante en définissant :
  

  openssl genrsa 2048 > votreclef.key

  
  
• Si vous souhaitez que cette clef ait un mot de passe (qui vous sera demandé à chaque utilisation, ajoutez
  
  "-des3"   après "genrsa").
  
  
  

Faîtes une copie de sauvegarde de ce fichier .key !

• Protégez votre fichier en faisant :
  

  chmod 400 votreclef.key

  
  
  
• Utilisez cette commande pour générer le CSR en spécifiant le fichier CNF que vous aurez préalablement téléchargé ci-dessous :
  

  openssl req -new -key votreclef.key -config FICHIER_CNF_CI_DESSOUS > votreclef.csr

  
  

• Pour un certificat TBS X509 Sign & Login: openssl-dem-signlogin.cnf
• Pour un certificat TBS X509 Email Professionnel: openssl-dem-emailpro.cnf
• Pour un certificat TBS X509 Email Particulier: openssl-dem-emailparti.cnf
• Pour un certificat TBS X509 Email Novice: openssl-dem-emailnovice.cnf

Certificat serveur:

openssl req -new -nodes -newkey rsa:2048 -keyout nouvelleclef.key -subj '/CN=www.mon.dom/C=FR/ST=Calvados/L=Caen/O=MA BOITE SAS/OU=service informatique' -out moncsr.csr

openssl req -config openssl-dem-client-cert.cnf -nodes -newkey rsa:2048 -keyout masuperclef.key -subj '/CN=NOM prenom/emailAddress=moi@maboite.com/O=MA BOITE SAS/streetAddress=2 rue de Paradis/L=Caen/postalCode=14000/ST=Calvados/C=FR' -out monsupercsr.csr   

TBS-Internet travaille dans le monde du certificat SSL et de la sécurité en général depuis 1996. Depuis 2003, nous nous sommes positionnés comme courtier en certificat, afin de vous proposer la gamme de certificats la plus large pour couvrir tous vos besoins et proposer des tarifs adaptés à tous les besoins.

• Nous sommes les plus pointus sur ce marché en France. Nous vendons des certificats depuis 1996.
  
  
• Nous avons livré plus de 40% des certificats serveurs en France.
  
  
• Nous connaissons mieux les formes juridiques françaises que les autorités de certification (AC).
  Nous connaissons exactement les règles de certification de chaque AC et nous savons débrouiller les cas complexes.
  
  
• Le meilleur conseil.
  Nous travaillons avec plusieurs AC, nous pourrons vous conseiller le meilleur produit au meilleur prix.
  Pour bien choisir allez sur http://www.tbs-certificats.com/
  
  
• Le meilleur service. En centralisant tous vos certificats chez nous, vous n'aurez plus qu'un interlocuteur et un guichet unique.
  
  
• Nous vous évitons les problèmes de langue. Nos bureaux sont en France alors que les autorités de certification sont majoritairement à l'étranger. Nous avons une interface de commande simple et en français.
  
  
• Nous traitons les paiements français (chèque). Nulle obligation de payer par carte bancaire. Nous gérons aussi les bons de commande administratifs, les paiements différés, etc.
  
  
• Nous avons un service optionnel de livraison clef-en main.
  
  
• Notre support technique de premier niveau en français à la réponse à la plupart des problèmes courants.
  
  
• Le suivi client : Nous conservons l'historique de vos certificats, nul besoin de renvoyer la documentation à chaque nouvelle demande !
  
  

Nous avons vocation à être durablement moins cher voire au même prix que les autorités de certification (AC) en vente en direct (à produit identique).

Nous pouvons généralement nous aligner sur les offres promotionnelles de nos concurrents, alors consultez-nous systématiquement!

• Thawte: 2/3 jours ouvrés
• Verisign: 2 jours ouvrés
• TBS X509: 3 jours ouvrés
• Comodo: 1/2 jours ouvrés

Dans la processus d'obtention d'un certificat, vous nous transmettez un CSR (Certificate Signing Request). Ce fichier ne contient que votre clef PUBLIQUE et les champs d'informations de votre certificat, le tout auto-signé. Il ne contient pas votre clef privée. Ce qui veut dire que :

• vous devez seul assurer la sécurité et la sauvegarde de votre clef privée
• vous ne transmettez pas votre clef privée hors de votre entreprise, hors du pays, etc. (insérer ici votre théorie du complot préférée)

Nous pensons que nos méthodes de vérification sont fiables. Nous pensons que cette garantie rassurera l'utilisateur. De ce fait nous fournissons une garantie.

Voyez la table des prix détaillés pour le montant de garanti fourni avec les produits.

1. Confirmer que le titulaire du certificat a pignon sur rue
2. Chiffrer les données et contenus échangés

Sur Internet, personne ne sait que vous êtes un chien! Cette formule bien connue rappelle la difficulté à vos visiteurs de savoir qui vous êtes réellement, et qu'ils peuvent vous faire confiance pour livrer une commande, gérer vos données, etc.

Même quand vous visitez une page qui affiche le visuel d'une marque bien connue, vous ne savez pas assurément si c'est bien la marque en question qui opère ce site. Même si vous avez déjà visité ce site, le site n'aurait-il pas été détourné depuis?

Le certificat serveur permet de résoudre ces soucis. Les certificats serveurs émis par des autorités de confiance avec authentification forte garantissent qu'ils ont vérifié que l'organisation:

• est légale
• existe réellement
• est l'ayant droit sur ce nom de site
• est seule en possession du certificat

C'est pour cela qu'un certificat avec forte authentification est indispensable à l'établissement d'un climat de confiance pour effectuer des transactions à distance. TBS INTERNET ne vend que ces certificats serveur à authentification forte.

Attention: tous les certificats ne se valent pas! Certains de nos concurrents vendent des certificats sans authentification de l'organisation. Ces produits sont dangereux car il ne garantissent seulement que le certificat a été délivré au propriétaire du nom de domaine! (Imaginez que vous déposiez un domaine avec un nom similaire à celui de votre banque. Vous pourriez alors obtenir un pseudo certificat pour ce site. Et en y mettant un visuel qui copie celui de la banque, induire des utilisateurs en erreur! Vous comprenez la suite.)

• Caen est à deux heures de Paris (autoroute et train)
• Caen dispose d'un large bassin d'emploi
• Caen héberge un pôle universitaire et de recherche important (Philips Microelectronics, France Telecom R&D, pôle Transactions Electroniques Sécurisées)
• Caen offre d'une excellente qualité de vie (agglomération de 200000 habitants, à 10 km de la mer)

Si vous voulez dispatcher l'information à 2 personnes, ou plus, il vous faut créer chez vous un alias (par exemple ssl@domaine.fr ) qui renvoie sur les personnes concernées. Ainsi lorsque vous renseignerez le contact technique, vous donnerez l'adresse email de cet alias.

Si vous gérez plusieurs certificats, vous pouvez ouvrir un compte et utiliser l'option "Adresse mél générique" des paramètres globaux du compte obtenir une copie de tout email envoyé à un contact technique. Ainsi vous pourrez continuer à utiliser des contacts techniques nominatifs tout en centralisant une copie des emails.

Certains produits certificats disposent de la notion de licence machine supplémentaire. Cela permet de dupliquer le certificat au lieu d'avoir à acquérir un certificat différent par machine, et aussi de limiter les coûts (une licence vaut moins cher qu'un certificat principal) tout en simplifiant la gestion. Néanmoins il est toujours possible d'acquérir plusieurs certificats pour le même CN si le besoin s'en fait sentir.

Une licence machine supplémentaire est un droit qui permet de dupliquer le certificat pour l'utiliser sur une autre machine. Il faut donc acquérir une licence machine supplémentaire par copie du certificat.

Voyons quelques cas courants :

Actif/Actif

Dans cette situation, en supposant que vous ayez un total de N machines:

• Produit avec possibilité de licence supplémentaire: 1 certificat principal et N-1 licences machines supplémentaires
• Produit sans possibilité de licence supplémentaire: N certificats principaux

Actif/Passif

Dans cette situation, en supposant que vous ayez un total de N machines:

• Produit avec possibilité de licence supplémentaire: 1 certificat principal et N-1 licences machines supplémentaires
• Produit sans possibilité de licence supplémentaire: N certificats principaux

Site de secours

• Produit avec possibilité de licence supplémentaire: 1 certificat principal et N-1 licences machines supplémentaires
• Produit sans possibilité de licence supplémentaire: N certificats principaux

Machines virtuelles

Nous comptabilisons par machine virtuelle (= image / ghost). Exemples:

• 1 machine virtuelle qui tourne sur 3 machines physiques compte pour 1.
• 2 machines virtuelles qui tournent sur 1 seule machine physique comptent pour 2.
• 3 machines virtuelles qui tournent sur 2 machines physiques compte pour 3.

Cas général

• Produit avec possibilité de licence supplémentaire: 1 certificat principal et N-1 licences machines supplémentaires
• Produit sans possibilité de licence supplémentaire: N certificats principaux

• Produit avec possibilité de licence supplémentaire: 1 certificat principal et 2 licences machines supplémentaires
• Produit sans possibilité de licence supplémentaire: 3 certificats principaux

Quand ne pas utiliser de licences machines supplémentaires ?

• Lorsque l'ensemble des machines de l'architecture n'utilise pas le même logiciel. Vu qu'un seul certificat est effectivement émis, il ne sera pas toujours possible de déployer la clef privée générée par un logiciel sur un autre différent. Dans ce cas il faut envisager de constituer des sous-groupes et éventuellement d'utiliser des licences supplémentaires au sein d'un groupe de machines avec logiciels identiques
• Lorsque le niveau de sécurité maximum est requis. Il est toujours plus sûr d'avoir une clef privée différente par machine : en cas de compromission, avec une seule clef, tout le trafic est en danger si le certificat est dupliqué sur l'architecture. Avec une clef privée différente par machine, une compromission locale ne mets pas en danger toute l'architecture.

L'autorité de certification n'a aucunement connaissance que vous signez un email. Elle ne sait pas à qui vous envoyez un email. Il n'y a pas de communication entre votre logiciel de messagerie et l'autorité lorsque vous envoyez un email.

Néanmoins si vous avez un certificat Email de classe 2 ou supérieur, n'oubliez pas que votre signature a une valeur juridique et que vos écrits vous engagent!

Oui tous les documents demandés sont nécessaire à votre demande. Si nous vous les demandons, c'est qu'ils sont indispensable à établir la confiance.

Sachez que les autorités de certifications sont soumises à une stricte confidentialité et que vos données ne sont pas réutilisées par des tiers. Reportez vous au Contrat d'abonnement et aux Conditions de certification présentées lors de la validation d'une demande de certificat (en bas de page) pour plus de détails.

Si le certificat est émis par une autorité de certification tierce, nous lui transmettons vos données pour audit.

Dans les 2 cas, les données sont ensuite archivées pendant un certain nombre d'années. Elles peuvent être re consultées par nous même pour vos demandes ultérieures, ou sur demande de la justice. Vos données ne sont en aucun cas confiés à des tiers pour exploitation !

Au 1er juillet 2010, les délais sont:

1. 30 jours pour l'Etat et ses établissements publics autres que ceux ayant un caractère industriel et commercial et autres que ceux mentionnés au 3° ;
2. Pour les collectivités territoriales et les établissements publics locaux autres que ceux mentionnés au 3°. Ce délai anciennement de 45 jours est ramené à :
   • a) 40 jours à compter du 1er janvier 2009 ;
   • b) 35 jours à compter du 1er janvier 2010 ;
   • c) 30 jours à compter du 1er juillet 2010.
3. 50 jours pour les établissements publics de santé et les établissements du service de santé des armées.

1. 30 jours pour l'Etat et ses établissements publics autres que ceux ayant un caractère industriel et commercial et autres que ceux mentionnés au 3° ;
2. 45 jours pour les collectivités territoriales et les établissements publics locaux autres que ceux mentionnés au 3° ;
3. 50 jours pour les établissements publics de santé et les établissements du service de santé des armées.

1. 30 jours pour l'Etat et ses établissements publics autres que ceux ayant un caractère industriel et commercial et autres que ceux mentionnés au 3° ;
2. 40 jours pour les collectivités territoriales et les établissements publics locaux autres que ceux mentionnés au 3° ;
3. 50 jours pour les établissements publics de santé et les établissements du service de santé des armées.

1. 30 jours pour l'Etat et ses établissements publics autres que ceux ayant un caractère industriel et commercial et autres que ceux mentionnés au 3° ;
2. 35 jours pour les collectivités territoriales et les établissements publics locaux autres que ceux mentionnés au 3° ;
3. 50 jours pour les établissements publics de santé et les établissements du service de santé des armées.

A partir du 1er janvier 2009, le délai de règlement sera au maximum de 45 jours fin de mois ou 60 jours à compter de la date d'émission de la facture.

Le choix "mode de paiement" dans nos formulaires de commande vous permet de sélectionner le mode et le délai que vous désirez. Le paiement différé est proposé, sous réserve d'acceptation par notre service financier, la règle étant le paiement comptant à la commande pour les produits sur mesure.

Le dépassement du délai de paiement ouvre de plein droit et sans autre formalité, pour le titulaire du marché ou le sous-traitant, le bénéfice d'intérêts moratoires, à compter du jour suivant l'expiration du délai. A partir du 1er janvier 2009, le taux des pénalités de retard sera égal au taux d'intérêt appliqué par la BCE à son opération de refinancement la plus récente majoré de 10 points de pourcentage.

Plus d'informations sur http://sha256.tbs-internet.com/

• Classe 1: ce sont des certificats sans aucune validation, ou avec une validation très limitée.
  On distingue:
  • Certificat serveur: seul le whois du domaine a été consulté. Ces certificats sont dit domain-validated ou à authentification faible. Ces produits sont dangereux et donnent une fausse impression de sécurité. TBS INTERNET se refuse à en vendre.
  • Certificat utilisateur/email: il n'y a que l'adresse email du titulaire qui a été vérifiée (on vérifie que l'on délivre le certificat à la personne qui utilise l'adresse email). Ce sont les produits Certificats Email gratuits.
  
  
• Classe 2: ce sont des certificats dont l'organisation a été vérifiée. L'autorité de certification garantit que l'organisation existe, que le nom de domaine ou FQDN associé lui appartient (ou qu'elle dispose des droits d'utilisation) et qu'un responsable de l'organisation ait autorisé l'émission du certificat.
  On distingue:
  • Certificat serveur: ce sont les produits classiques que nous proposons
  • Certificat développeur: ce sont les produits classiques que nous proposons
  • Certificat utilisateur/email: ce sont les produits TBS X509 PKI PME et TBS X509 PKI Entreprise
  
  
• Classe 3: ce sont des certificats utilisateurs dont l'organisation a été vérifiée et dont le titulaire (la personne physique) a été authentifiée en face à face. Voir ChamberSign
  
• Classe 3+: la même chose que la classe 3 avec en plus la délivrance de la clef privée et du certificat associé sur support physique: token USB ou carte à puce. Voir ChamberSign

En fait, ce type de certificat active le chiffrement SSL, mais on ne sait pas à quel site on parle (c'est le syndrome de la conversation de 2 hommes enfermés dans un coffre fort dans le noir: leur conversation est sécurisée, mais ils ne savent pas à qui ils parlent!)

Les autorités de certification qui délivrent ces produits ne vérifient en fait qu'une seule chose: que le propriétaire du nom de domaine associé au certificat, tel qu'il apparait dans le whois a bien demandé le certificat. Le plus souvent, ils se contentent d'envoyer un email avec un mot de passe à l'adresse email trouvée dans le whois et attendent le retour par une interface web. Variante: ils téléphonent au numéro de tel trouvé dans le whois et demandent confirmation.

Ce procédé est facilement détournable. D'abord parce que les informations du whois sont purement déclaratives, et ne sont jamais vérifiées par les registrar. Ensuite parce que les registrar peuvent modifier ces informations à leur guise. Sans oublier que n'importe qui peut déposer un nouveau nom de domaine, qui ressemble à un domaine existant et connu, et obtenir un certificat.

C'est le souci majeur du phishing. Imaginons que votre banque ait un site https://www.creditbanque.com/ sécurisé avec un certificat domain-validated. Son certificat sera:

CN = www.creditbanque.com
OU = Domain Validated
O = www.creditbanque.com

CN = www.credltbanque.com
OU = Domain Validated
O = www.credltbanque.com

L'utilisateur lambda n'y verra que du feu! Il se connectera à un site qui ressemble à sa banque, et qui dispose d'un SSL valide!

Toute ressemblance avec des faits qui se sont déjà produits n'est pas fortuite!

Aussi suivez notre conseil: bannissez les certificats à faible authentification.

Il existe des certificats à forte authentification et à faible coût, à partir de 61 EUR, voyez nos certificats TBS X509. Y'a moins bien, mais c'est plus cher!

Comment savoir si un certificat est domain-validated

Constatez qu'il est indiqué: Délivré à ou Organisation puis aucun nom de société à coté, mais un nom de domaine!

Allez ensuite dans l'onglet Détail et cliquez sur Objet ou Subject. Vous voyez alors un champ OU contenant "Domain Validated" ou un texte similaire.

Notez aussi qu'il n'y a pas le nom de la ville, et encore moins l'adresse du titulaire!

Cela signifie que ce certificat ne bénéficie d'aucune garantie sur le titulaire du certificat.

Vous acheteriez chez un commercant dont la carte de visite ne comprends ni son nom de société, ni sa ville?

• http://blog.washingtonpost.com/securityfix/2006/02/the_new_face_of_phishing_1.html
• http://news.netcraft.com/archives/2005/12/28/more_than_450_phishing_attacks_used_ssl_in_2005.html

Et l'actualité continue à fournir des éléments à charge pour les domain-validated. On apprend qu'il existe que certains Registrar (vendeurs de noms de domaines) ne respectent pas leurs obligation de vérification de cohérence des informations publiés dans le whois. Les pirates peuvent donc déposer des domaines de façon totalement anonyme! En réalité, la majorité des Registrar n'effectue aucune vérification à priori des informations d'identité déclarée dans les whois. Dans ces conditions, il est évident qu'on ne saurait baser un certificat sur ces éléments d'identité.

Lire http://www.blog.referencement-1ere-page.com/index.php/2008/09/02/71-icann-a-exige-la-fermeture-du-pire-registrar-chinois

Cette fois, c'est une faiblesse de MD5 qui illustre encore négativement les certificats 1-facteur: https://blogs.verisign.com/ssl-blog/2008/12/on_md5_vulnerabilities_and_mit.php

Une étude Netcraft de Décembre 2008 montre que 95% des certificats utilisant encore MD5 sont des certificat 1-facteur (ceci concerne majoritairement les certificats FreeSSL, RapidSSL et Thawte 123). CQFD!

Voir aussi notre fiche PDF Niveaux d'Authentification

Type d'authentification

• Une "base qualifiée indépendante" signifie que ce n'est pas la même base que celle utilisée pour la validation du nom d'organisation (base qualifiée gouvernementale).
• Une "base qualifiée" sans autre précisions signifie qu'elle peut être soit gouvernementale, soit indépendante.
• GeoTrust clame que ces certificats QuickSSL sont 2 facteurs. De notre point de vue ils sont un seul facteur (tout est basé sur le domaine)

• Microsoft Exchange 2007 & 2010: Comodo UCC
• Microsoft ISA et Exchange 2007 & 2010 (2 machines): GlobalSign UCC
• Outlook Web Access (OWA) sous Exchange 2003: Thawte Standard
• ActiveSync sous Exchange 2003: Comodo AAA (Mobile)
• RPC over HTTPS sous Exchange 2003: Thawte Standard
• Microsoft ISA 2006: Thawte Standard ou Thawte Wildcard
• Microsoft ISA 2004: Thawte Standard
• Produits Citrix: Thawte Standard
• Produits Cisco: Thawte Standard
• CFT (synchrony transfer): Thawte Standard

Pour se faire, nous recommandons les certificats ChamberSign Fiducio sous forme logicielle.

Souvent il faut plusieurs certificats: il suffit d'en commander plusieurs, pour la même personne physique avec des adresses email différentes.

Voir aussi:

• https://pro.douane.gouv.fr/
• Documentation Mareva

http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31995L0046:FR:HTML

Extrait:
(46) considérant que la protection des droits et libertés des personnes concernées à l'égard du traitement de données à caractère personnel exige que des mesures techniques et d'organisation appropriées soient prises tant au moment de la conception qu'à celui de la mise en oeuvre du traitement, en vue d'assurer en particulier la sécurité et d'empêcher ainsi tout traitement non autorisé; qu'il incombe aux États membres de veiller au respect de ces mesures par les responsables du traitement; que ces mesures doivent assurer un niveau de sécurité approprié tenant compte de l'état de l'art et du coût de leur mise en oeuvre au regard des risques présentés par les traitements et de la nature des données à protéger;

Nous sommes en relation avec la plupart des autorités de certification et nous avons choisi de vous proposer que certaines d'entre elles. En fonction de:

• leur sérieux
• leur gamme de produits
• leur capacité à répondre à vos besoins

Pourquoi choisir X509 TBS ?

• Un très bon rapport reconnaissance/prix
  
  
• Un service en français
  
  
• Une reconnaissance dans les navigateurs très proche de celle des leaders (97% contre 99.2%)
  
  
• La réputation: créé en 1996, TBS INTERNET a fait ses preuves
  
  
• Un service qui s'appuie sur une infrastructure de certification aux normes WebTrust
  
  
• Les délais : 3 jours à réception de votre dossier complet
  
  
• Un service optionnel de livraison clef-en-main
  
  
• Le support technique: premier niveau en français avec deuxième niveau ouvert 24h/24 en anglais

Pourquoi choisir Thawte ?

• Un très bon rapport reconnaissance/prix
  
  
• Des certificats délivrés uniquement après authentification forte
  
  
• La plus large reconnaissance dans les navigateurs
  
  
• La réputation : Créé en 1996, Thawte est une filiale à 100% de VeriSign.
  
  
• La part de marché : 40 à 50% du marché mondial, plus de 50% du marché français (certificats serveurs)
  
  
• Les délais : 2 à 3 jours à réception de votre dossier complet
  
  
• Les principaux types de certificats X509 serveur et développeur !
  
  
• Le support technique Thawte : disponible 24h/24 5j/7 (en anglais par téléphone, email ou chat en ligne).
  
  

Pourquoi choisir VeriSign ?

• La plus grande notoriété auprès du grand public.
  
  
• Des certificats délivrés uniquement après authentification forte.
  
  
• La réputation: créé en 1995, VeriSign est le leader mondial des certificats SSL.
  
  
• Le suivi client par TBS INTERNET : Nous conservons l'historique de vos certificats, nul besoin de renvoyer la documentation à chaque nouvelle demande !
  
  
• Le support technique : premier niveau en français avec deuxième niveau en anglais.
  
  

Tous les certificats X509 TBS sont délivrés après audit. On va vérifier que :

• le demandeur est bien l'ayant droit sur le nom de domaine ou l'adresse IP inclu dans le certificat
• le demandeur est bien qui il prétent être, à savoir une organisation ou une personne physique existante

Depuis 1996 TBS INTERNET délivre des certificats fiables. La gamme X509 TBS conserve cet esprit.

Pour la fourniture d'un seul certificat, remplissez le formulaire de demande de certificat normalement (et complètement sauf pour le CSR qui est optionel) et dans la section facturation, dans le cadre devis, choisissez vos conditions de paiement. Nous vous envoyons alors une proposition qui vous permettra de remplir votre bon de commande. Voir Processus de devis unitaire

Pour la fourniture de plusieurs certificats, contactez notre service commercial pour obtenir un devis personnalisé. Nous vous retournons alors une proposition qui vous permettra de remplir votre bon de commande. Voir Processus de devis volume

Faites valider votre bon de commande en interne. Dès la lettre de commande ou le "bon pour accord" reçu, nous procédons au traitement de votre commande et envoyons la facture à votre service comptable.

Notez que nous appliquons des frais pour les paiements différés (après livraison), et les tarifs affichés sont nos tarifs avec paiement comptant à la commande. Votre service achat sera en mesure de choisir entre payer comptant et économiser des frais, ou payer en différé et rester dans votre procédure standard.

• Quel délai de paiement choisir pour une administration ou établissement public?
• Quel sont les délais de paiement pour une entité privée ?

1. Si ce n'est pas déjà fait, ouvrez un compte partenaire qui nous servira à vous identifier (formule achat par lot)
   
   
2. Allez dans le menu Alimentation de compte pour indiquer :
   - la quantité de chaque certificat voulu
   - les conditions de paiements (ex: comptant, 30, 45 ou 60 jours net ou fin de mois, par virement/etc.)
   - un contact pour cet achat
   
   Le système vous génère alors un devis
   
   
3. Vous validez cette proposition
   
   
4. Vos services techniques saisissent alors autant de commandes que de certificats demandés via leur interface de gestion.

La partie IV section 2 du formulaire vous concerne si vous utilisez un certificat SSL serveur.

• Les échanges de données effectués entre votre site et les utilisateurs seront-ils sécurisés ? => OUI
  
  
• Si oui, avez-vous recours à un prestataire externe pour la sécurisation ? => répondez NON si vous gérez votre machine serveur internet directement
  ou OUI si vous avez un prestataire d'hebergement ou de service qui s'occupe du serveur, et indiquez ses coordonnées.
  En règle générale, indiquez ici le responsable technique mentionné dans le dossier Thawte si il est extérieur à votre société.
  
  
• Procédé propriétaire => NON
  
  
• Procédé de chiffrement assurant des fonctions d'authentification => NON
  
  
• Procédé assurant des fonctions d'intégrité => NON
  
  
• Procédé de chiffrement assurant des fonctions de confidentialité => SSL 40- ou 128-bit (suivant votre cas)
  
  
• L'utilisation d'une carte à puce => NON
  
  
• L'existance de votre site fera-t-elle l'objet d'une certification par un organisme extérieur ? => OUI, TBS INTERNET, Suite 214, BP 237, 14012 CAEN CEDEX 1, France
  
  
• Certificat => Serveur
  
  
• Les clés de chiffrement seront-elles déposées auprès d'un tiers de confiance ? => NON
  
  
• Les clés de chiffrement font-elles l'objet d'un autre système de recouvrement de clé ? => NON
  
  

Nous acceptons vos documents (Documents probant pour l'audit ) par email à la condition qu'ils soient au format PDF ou TIFF (et plus précisement TIFF en noir et blanc, compression fax CCITT T.4 ou T.6 (Group 3 (1d) ou Group 4 (2d)).

Pour réaliser de tels fichiers TIF, vous pouvez par exemple utiliser l'application "Imaging" fournie en standard avec Microsoft Windows 98 ou sup (Menu demarrer/accessoires/imaging). Si elle n'est pas installée :

1. Sur l'ordinateur client, cliquez sur Démarrer, pointez sur Paramètres, cliquez sur Panneau de configuration, puis double-cliquez sur Ajout/Suppression de programmes.
   
   
2. Cliquez sur l'onglet Installation de Windows.
   
   
3. Cliquez sur Accessoires, puis sur Détails.
   
   
4. Activez la case à cocher Imaging.
   
   
5. Cliquez sur OK et terminez l'installation.

Une fois installé, scannez vos documents. Mettez de préférence toutes les pages dans un seul fichier (menu page/append). Sur la première page, mettez la référence de votre dossier (tracking code) avec le menu Annotation (voir petit manuel ici). Sauvegardez en format TIFF et vérifiez ensuite (menu Page/Convert) que vous êtes en Black & White (onglet Color) avec une compression CCITT Group 3 Fax (onglet Compression). Il ne vous reste plus qu'à nous envoyer le fichier attaché par email à certs@TBS-internet.com, avec votre référence de dossier dans le champ sujet.

Si vous avez Windows 95, voir ici. Pour connaître les caractéristiques d'un fichier TIF, voir ici.

Pour Générer facilement et gratuitement des documents PDF, Téléchargez PDFCreator!

• Si votre organisation est hors Union Européenne, sauf exceptions (en particulier la TVA est facturée pour Monaco), vous serez facturé hors taxes
• Si votre organisation est basée en Union Européenne et que vous disposez d'un numéro de TVA intra-communautaire du fait de votre statut d'assujetti à la TVA, vous serez facturé hors taxes
• Si votre organisation est basée en Union Européenne et que bénéficiez d'une exonération au titre car votre organisation est
  • une mission diplomatique étrangère
  • une représentation consulaire étrangère
  • un organisme international
  • une force armée d'un Etat partie ou Traité de l'Atlantique Nord (forces OTAN)
  vous pouvez bénéficier de l'exonération de TVA en suivant la procédure décrite ci-dessous.

• une mission diplomatique étrangère
• une représentation consulaire étrangère
• un organisme international
• une force armée d'un Etat partie ou Traité de l'Atlantique Nord (forces OTAN)

• demander un devis personnalisé (appelez-nous)
• A la commande, il faudra joindre le document d'exonération de TVA visé par le ou les entités compétentes. Pour la France, il s'agit de http://www.diplomatie.gouv.fr/fr/IMG/pdf/Formulaire115.pdf
• Si ce document n'est pas disponible à la commande, nous acceptons un document obtenu pour un achat effectué l'année écoulée, auprès de n'importe quel fournisseur français. Ce document nous permet de confirmer que le fisc vous a déjà attribué ce privilège, et de raisonnablement supposer qu'il vous l'attribuera de nouveau. Il vous faudra, sous 6 mois, nous adresser le document officiel correspondant à notre facture pour régulariser.

Note Fiscale

Pour faire corriger cette fiche, nous vous invitons à contacter Altarès directement:

Si vous souhaitez obtenir un contact téléphonique immédiat, n'hésitez pas à nous appeler :

Informations & Service Clients
N° Indigo : 0825 805 802 (0,15€ TTC/min)
du lundi au jeudi de 8h30 à 17h30 vendredi de 8h30 à 17h

Pour envoyer un mail : contact@altares.fr

Source: http://www.altares.fr/frame/contact.php

Si vous avez besoin de vous inscrire dans cet annuaire, contactez leur Centre Relation client au 0810 810 767 (N° Azur, prix d'un appel local). Evidemment, des justificatifs pourront vous être demandés par PagesJaunes dans le cadre de cette inscription.

Mais rien ne vous empêche de faire une demande de numéro de SIREN à l'INSEE au motif de demander des subventions. Il faut faire votre demande à la direction régionale de l'INSEE copie des statuts + parution au JO.

Voir http://www.insee.fr/fr/publications-et-services/services/reponse.asp?id=78

Que garantit le certificat serveur aux visiteurs ?

Pour se faire, nous sommes amenés à faire de véritables vérifications, un audit de l'existance de votre société. Nous nous basons pour ce faire sur des documents (physiques ou électroniques) fiables.

Afin que vous compreniez ce que nous faisons, nous documentons ici les principaux documents utilisés. Il vous faudra parfois nous fournir ces documents, si nous ne les possédons pas déjà. Dans ce cas nous vous contactons pour les réclamer.

Voici les documents que nous pouvons être amenés à vous demander comme preuve de droit d'utilisation de votre nom (preuve de l'organisation) pour l'obtention d'un certificat serveur. Pour les cas les plus courants, nous n'avons pas besoin de documents.

Veuillez noter que cette liste n'est pas exhaustive. Si vous ne vous retrouvez pas dans l'une de ces catégories, n’hésitez pas à nous contacter.

Pour la France (FR):

Y compris les DOM-TOM

Pour la Belgique (BE):

Pour la Suisse (CH):

Pour Monaco (MC):

Pour le Canada (CA):

Pour Chypre (CY):

Pour l'Allemagne (DE):

Pour l'Espagne (ES):

Pour l'Irlande (IE):

Pour l'Italie (IT):

Pour le Luxembourg (LU):

Pour les Pays Bas (NL):

Pour le Royaume-Uni (UK/GB):

Pour l'Autriche (AT):

Autres pays (cas général) :

Note : en France pour obtenir une copie certifiée conforme, il est important de préciser que cette copie est nécessaire pour une formalité avec l'étranger (Afrique du Sud).
Suivant les mairies ou les commissariats on peut vous la refuser. Insistez.

Si aucun whois en ligne n'existe, il vous faudra vous procurer un titre de propriété papier émis par un CC-TLD (autre liste).

Si le titre de propriété indique que le domaine appartient à une autre organisation que le demandeur du certificat (futur titulaire), nous vous demandons de faire faire une lettre de pouvoir de domaine (aussi appelé DRL pour Domain Release Letter en Anglais). Cette lettre signée par le propriétaire du domaine autorise le demandeur à utiliser son nom de domaine.

Parfois, c'est juste le titre de propriété du domaine qui n'est pas à jour (changement de nom). Dans ce cas vous pouvez opter pour la correction du whois.

A faxer au: +33-1-7372-4584

Objet: Droit d'utilisation d'un nom de domaine (pouvoir)

Références: _____________

Madame, Monsieur,

Par la présente, je confirme et certifie ce qui suit :

L'organisation demandant le certificat est: ___________ ("Demandeur de certificat")

Le domaine utilisé dans le certificat est: ____________ ("Domaine")

Le détenteur du Domaine est: ________________ ("Détenteur du nom de domaine")

Je suis le Détenteur du nom de domaine (et/ou employé par le Détenteur) et je suis autorisé(e) à signer cette lettre de pouvoir de domaine et à gérer tous les aspects de l'enregistrement du Domaine.

Récemment, COMODO a reçu du Demandeur de certificat une demande de création d'un (ou de plusieurs) Certificat(s) électronique(s) au nom du Demandeur de certificat. Le Demandeur de certificat souhaite installer le Certificat électronique sur son ou ses serveur(s) Web du Domaine afin de pouvoir sécuriser les communications avec ses utilisateurs.

Le Détenteur du nom de domaine reconnaît qu'il a accordé, dans la demande de Certificat électronique susmentionnée, au Demandeur de certificat le droit d'utiliser le Domaine en tant que nom usuel et, par ailleurs, d'utiliser le Domaine dans le cadre de ses activités.

Le Détenteur accepte que COMODO continue de renouveler le certificat du Demandeur à la date d'expiration ou avant du certificat sans autre confirmation du Détenteur. Le Détenteur accepte de demander à COMODO de révoquer le certificat du Détenteur si le Demandeur n'était plus autorisé à utiliser le Domaine ou si la propriété du domaine était transférée à une tierce partie autre que le Demandeur.

Le Détenteur accepte d'indemniser COMODO et ses employés et partenaires pour les coûts, pertes et dommages quels qu'ils soient (y compris les frais d'avocats dans la limite légale) pour tout abus ou infraction lié à ce qui est mentionné dans cette lettre ou à l'accord de propriété du nom de domaine conclus entre le Détenteur et l'entreprise régissant les noms de domaine.

Sincères salutations,

Nom complet du signataire: __________________________

Fonction chez le Détenteur: __________________________

Date: __________________________

Signature: __________________________

[ a faire signer par le détenteur (si c'est une personne physique) ou à un employé du détenteur (si c'est une organisation) ]

        ("Demandeur ou Postulant")

        ("Domaine")

        ("Détenteur du nom de domaine")

• EV SSL Certificate Request Form
• EV Certificate Subscriber Agreement

Les documents doivent être obligatoirement faxés au +1 801-303-9359 avec copie au +33-1-7372-4584. La page d'en-tête de votre fax doit reprendre le numéro de référence Comodo (nous vous le communiquons).

Si vous utilisez nos services sans compte client (c'est peut être l'occasion d'en ouvrir un !), vous pouvez commander:

• Nouveau certificat
  • Produits Comodo
  • Produits Thawte
  • Produits Verisign
  • Produits TBS X509
• Renouvellement, Refabrication ou Révocation
  • Via la page statut

Processus de commande unitaire

• Si vous n'êtes pas encore client ou n'avez pas de compte client, et que vous souhaitez un devis pour un seul certificat, remplissez une demande de devis:
  • Produits Comodo
  • Produits Thawte
  • Produits Verisign
  • Produits TBS X509
  • Produits ChamberSign
  • Produits Geotrust
• Si vous avez un compte client de type "achat par lot" ou "euros", utilisez votre Espace Client pour obtenir votre devis en ligne (rubrique Alimenter le compte).
• Si vous n'êtes pas client et désirez un devis pour un achat simultané de plusieurs certificats, contactez notre service commercial par téléphone ou email (voir FAQ TBS-certificats ).

FAQ TBS-certificats

Merci de nous contacter pour nous indiquer où trouver votre appel d'offre et nous donnez les principaux détails par téléphone ou email (voir FAQ TBS-certificats ).

Le plus souvent quand vous rédigerez un appel à proposition, vous ne désignerez pas la marque ni le type de certificat désiré. Mais il est important de bien spécifier votre besoin en mentionnant explicitement les points suivants:

• Nombre de facteurs d'authentification:
  • 1 facteur (niveau de sécurité insuffisant, non conforme PRIS, Pourquoi les certificats domain-validated sont dangereux? )
  • 3 facteurs (Organisation validée = niveau de sécurité courant)
  • 6 facteurs (niveau EV, Tout sur EV (Extended Validation) )
  
  
• Niveau de chiffrement garanti:
  • 40-bit garanti, jusqu'à 256-bit
  • 128-bit garanti, jusqu'à 256-bit, norme SGC (il est vital de préciser "norme SGC" sur votre appel)
  
  
• forme du CN:
  • mono-CN (1 seul CN par certificat)
  • mono-CN de forme wildcard (*.domaine.fr, Quelles sont les limitations des certificats Wildcard ou OmniDomaine ? )
  • multi-CN ou SAN (plusieurs CN par certificat)
  
  
• compatibilité avec navigateurs:
  • Navigateurs courants: IE 5.5+, Firefox, Safari 2+
  • Navigateurs anciens: IE 4, IE 5, Netscape 4.7
  • Navigateurs peu courants: Opera, J2RE (préciser la version mini)
  • Navigateurs mobiles: Windows Mobile 5 ou 6
  • Autres objets mobiles (téléphones, PDA, Pocket PC)
  (plusieurs choix possibles)
  

En outre, nous vous recommandons d'indiquer la durée de vie souhaitée des certificats (entre 1 et 3 ans suivants les modèles) et les conditions de paiement que vous pratiquez.

Autres documents externes

• Doc installation Thawte
• Doc installation Comodo

• SonicWALL SSL VPN 2.1 Administrator's Guide
• Certificat pour LDAPS avec Active Directory

1- Récupérez le ou les certificats sur votre serveur

cd /etc/httpd/conf
ou
cd /etc/apache/conf

• A: votre certificat serveur
• B: éventuellement, la chaine de certification (n'est pas nécessaire pour certains produits)

2- Configurez Apache

Si vous utilisez Apache 1.3 avec mod_ssl ou Apache 2 ou assimilé (Mac OS X)

Trouvez le fichier de configuration existant pour votre apache. Souvent c'est

/etc/httpd/conf/httpd.conf

mais il n'est pas rare que la configuration du SSL soit dans un autre fichier, par exemple

/etc/httpd/conf/ssl/default-vhost.conf
/etc/httpd/conf/ssl.conf

Si vous n'avez qu'un seul certificat sur cette machine, localisez la section débutant par :

<VirtualHost _default_:443>

et modifiez les instructions suivantes pour pointer vers vos fichiers :

# votre certificat serveur (A)
SSLCertificateFile    /etc/httpd/conf/cert-0000000000-1234.cer
# votre clef privée (générée initialement)
SSLCertificateKeyFile /etc/httpd/conf/www.virtualhost.com.key
# configuration du SSL
# 40-bit mini
#SSLCipherSuite HIGH:MEDIUM:LOW:EXPORT:!ADH:!DSS:!SSLv2:!EXPORT56:@STRENGTH:+3DES:+DES
# 128-bit mini
SSLCipherSuite HIGH:MEDIUM:!ADH:!DSS:!SSLv2:@STRENGTH:+3DES
SSLProtocol all -SSLv2

Et si vous avez un fichier de chaine de certification (B), ajoutez:

• Avec mod_ssl 2.3.6 ou Apache2:
  

  SSLCertificateChainFile /etc/httpd/conf/chain-0000000000-1234.txt 

  Voir SSLCertificateChainFile
• Avec les apache plus anciens:
  

  SSLCACertificateFile /etc/httpd/conf/chain-0000000000-1234.txt

  Voir SSLCACertificateFile

Si vous utilisez Apache-ssl (ben-SSL)

Trouvez le fichier de configuration existant pour votre apache. Souvent c'est

/etc/httpd/conf/httpd.conf

Modifiez les instructions suivantes pour pointer vers vos fichiers :

# votre certificat serveur (A)
SSLCertificateFile    /etc/httpd/conf/cert-0000000000-1234.cer
# votre clef privée (générée initialement)
SSLCertificateKeyFile /etc/httpd/conf/www.virtualhost.com.key

# configuration des Ciphers acceptables
# 40-bit mini
#SSLRequiredCiphers DHE-RSA-AES128-SHA:AES128-SHA:RC4-SHA:RC4-MD5:RC2-CBC-MD5:RC4-MD5:RC4-64-MD5:EXP-RC2-CBC-MD5:EXP-RC4-MD5:EXP-RC2-CBC-MD5:EXP-RC4-MD5:EDH-RSA-DES-CBC3-SHA:DES-CBC3-SHA:DES-CBC3-MD5:EDH-RSA-DES-CBC-SHA:DES-CBC-SHA:DES-CBC-MD5:EXP-EDH-RSA-DES-CBC-SHA:EXP-DES-CBC-SHA
# 128-bit mini
SSLRequiredCiphers DHE-RSA-AES256-SHA:AES256-SHA:DHE-RSA-AES128-SHA:AES128-SHA:IDEA-CBC-SHA:RC4-SHA:RC4-MD5:EDH-RSA-DES-CBC3-SHA:DES-CBC3-SHA
# configuration des Ciphers interdits
SSLBanCipher NULL-MD5 NULL-SHA

# si vous utiliser une version égale ou supérieure à apache_1.3.29+ssl_1.53
# ajoutez la ligne SSLNoV2 (recommandé pour la sécurité)
SSLNoV2

Et si vous avez un fichier de chaine de certification (B), ajoutez:

SSLCACertificateFile /etc/httpd/conf/chain-0000000000-1234.txt 

3- Relancez Apache et testez

service httpd restart
ou
/etc/init.d/apache restart

Réglage fin du niveau de chiffrement

Configurer Apache pour ne fonctionner qu'en 128-bit

Configurer Apache pour un certificat serveur garanti 128-bit

Documentation externe

• Apache 2: http://httpd.apache.org/docs/2.0/ssl/
• Apache 1.3 avec mod_ssl: http://www.modssl.org/
• Apache-ssl (benssl): http://www.apache-ssl.org/
• Apache sous Mac OS X: http://developer.apple.com/internet/serverside/modssl.html

1- Récupérez le ou les certificats sur votre serveur

cd /usr/local/apache/conf/ssl.crt

• A: votre certificat serveur
• B: éventuellement, la chaine de certification (n'est pas nécessaires pour certains produits)

2- Configurez Apache

/usr/local/apache/conf/httpd.conf

<VirtualHost _default_:443>

et modifiez les instructions suivantes pour pointer vers vos fichiers :

# votre certificat serveur (A)
SSLCertificateFile    /usr/local/apache/conf/ssl.crt/cert-0000000000-1234.cer
# votre clef privée (générée initialement)
SSLCertificateKeyFile /usr/local/apache/conf/ssl.key/www.xxx.com.key
# configuration du SSL
# 40-bit mini
#SSLCipherSuite HIGH:MEDIUM:LOW:EXPORT:!ADH:!DSS:!SSLv2:!EXPORT56:@STRENGTH:+3DES:+DES
# 128-bit mini
SSLCipherSuite HIGH:MEDIUM:!ADH:!DSS:!SSLv2:@STRENGTH:+3DES
SSLProtocol all -SSLv2

SSLCertificateChainFile /usr/local/apache/conf/ssl.crt/chain-0000000000-1234.txt 

SSLCertificateChainFile

3- Modifiez le démarrage d'Apache

/etc/sysconfig/apache

OPTIONS="-DSSL"

4- Relancez Apache et testez

/etc/rc.d/init.d/httpd restart

Testez alors l'accès à votre site sécurisé avec IE 6 et Firefox.

Documentation externe

• Guide OVH: http://guides.ovh.com/InstallsiteSSL/contenu.html

Exemple récapitulatif

<VirtualHost 192.2.0.20:443>
DocumentRoot "/home/virtual/www"
ServerName www.virtualhost.com
SSLEngine on
SSLCipherSuite HIGH:MEDIUM:!ADH:!DSS:!SSLv2:@STRENGTH:+3DES
SSLProtocol ALL -SSLv2
SSLCertificateFile "/usr/local/apache/conf/ssl.crt/www.virtualhost.com.crt"
SSLCertificateKeyFile "/usr/local/apache/conf/ssl.key/www.virtualhost.com.key"
SSLCertificateChainFile "/usr/local/apache/conf/ssl.crt/thawteintermediate.crt"
</VirtualHost>

Apple publie une doc pour l'installation en ligne de commande mais elle ne correspond pas à ce que fait l'interface graphique. Les fichiers sont dans /private//etc/httpd/ssl... au lieu de /etc/httpd/ssl...

La clef privée est dans /etc/httpd/ssl.key

Le répertoire /etc/httpd/ssl.crt est invisible par le finder, il faut y aller par la ligne de commande.

Il faut copier notre fichier cert-xxxxxxx.cer dans le répertoire /etc/httpd/ssl.crt et ensuite utiliser l'interface web (dans Server Admin, cliquez sur Web puis Configure Web Service puis Sites, puis choisissez le site en question. Ensuite cliquez sur "Enable SSL" puis configuration personnalisée puis éditez les chemins des fichiers) pour éditer le nom de fichier dans la configuration.

Si installation d'une chaine de certification, il faut faire de même.

Important: il faut relancer apache pour que le changement soit pris en compte.

• Installation certificat Thawte Standard
• Installation certificat Thawte SuperCert

1- Récupérez le ou les certificats sur votre serveur

cd /etc/apache-ssl

• A: votre certificat serveur
• B: éventuellement, la chaine de certification (n'est pas nécessaires pour certains produits)

2- Configurez Apache

/etc/apache-ssl/httpd.conf

et modifiez les instructions suivantes pour pointer vers vos fichiers :

# activez la ligne
SSLNoV2

# votre certificat serveur (A)
SSLCertificateFile    /etc/apache-ssl/cert-0000000000-1234.cer
# votre clef privée (générée initialement)
SSLCertificateKeyFile /etc/apache-ssl/www.xxx.com.key

SSLCACertificateFile /etc/apache-ssl/chain-0000000000-1234.txt 

3- Relancez Apache et testez

/etc/init.d/apache-ssl restart

Testez alors l'accès à votre site sécurisé avec IE 6 et Firefox.

SSLCipherSuite HIGH:MEDIUM:!ADH:!DSS:!SSLv2:@STRENGTH:+3DES

SSLRequire %{SSL_CIPHER_USEKEYSIZE} >= 128

1- Récupérez le ou les certificats sur votre serveur

cd /etc/httpd/ssl.crt

• A: votre certificat serveur
• B: éventuellement, la chaine de certification (n'est pas nécessaires pour certains produits)

2- Configurez Apache

/etc/httpd/ssl.conf

<VirtualHost _default_:443>

et modifiez les instructions suivantes pour pointer vers vos fichiers :

# configuration du SSL
# 40-bit mini
#SSLCipherSuite HIGH:MEDIUM:LOW:EXPORT:!ADH:!DSS:!SSLv2:!EXPORT56:@STRENGTH:+3DES:+DES
# 128-bit mini
SSLCipherSuite HIGH:MEDIUM:!ADH:!DSS:!SSLv2:@STRENGTH:+3DES
SSLProtocol all -SSLv2
# votre certificat serveur (A)
SSLCertificateFile    /etc/httpd/ssl.crt/cert-0000000000-1234.cer
# votre clef privée (générée initialement)
SSLCertificateKeyFile /etc/httpd/ssl.key/www.xxx.com.key

Et si vous avez un fichier de chaine de certification (B), ajoutez:

SSLCertificateChainFile /etc/httpd/ssl.crt/chain-0000000000-1234.txt 

SSLCertificateChainFile

3- Relancez Apache et testez

/etc/init.d/apache restart

Testez alors l'accès à votre site sécurisé avec IE 6 et Firefox.

Documentation externe

• Guide OVH: http://guides.ovh.com/InstallsiteSSL/contenu.html

Exemple récapitulatif

<VirtualHost 192.2.0.20:443>
DocumentRoot "/home/virtual/www"
ServerName www.virtualhost.com
SSLEngine on
SSLCipherSuite HIGH:MEDIUM:!ADH:!DSS:!SSLv2:@STRENGTH:+3DES
SSLProtocol ALL -SSLv2
SSLCertificateFile "/usr/local/apache/conf/ssl.crt/www.virtualhost.com.crt"
SSLCertificateKeyFile "/usr/local/apache/conf/ssl.key/www.virtualhost.com.key"
SSLCACertificateFile "/usr/local/apache/conf/ssl.crt/thawteintermediate.crt"
</VirtualHost>

Il est important de décider dès le départ le type d'IP utilisé. Sachez que pour installer un certificat sur une IP partagée, il faut obligatoirement être l'administrateur Plesk.

Si vous allez avoir plus d'un certificat sur la machine (serveur mutualisé?), il faudra obligatoirement avec des IPs privatives (SSL nécessite une IP par certificat).

Manuel officiel Plesk 7.5 (windows): http://www.swsoft.com/en/products/plesk75win/docs/

1- Récupérez le ou les certificats sur votre serveur

• A: votre certificat serveur
• B: éventuellement, la chaine de certification (n'est pas nécessaires pour certains produits)

2- Importer dans Plesk

Cliquez sur le domaine en question.

Cliquez sur le menu Certificat (Certificates).

Dans la section Certificat, cliquez sur le bouton Rechercher (Browse) et allez rechercher dans l'arborescence le fichier (A).

Si vous avez reçu une chaîne de certification à installer (voir votre mail de livraison), sélectionnez l'emplacement de votre fichier (B) contenant la chaîne dans Certificat de l'autorité (CA Certificate)

Maintenant appuyez sur Send File.

Si le certificat correspond bien au CSR d'origine, le certificat s'installe et apparait dans la liste des certificats du bas de la page.

Si cette opération ne fonctionne pas (et cela arrive souvent), utilisez le copier/coller et avec votre certificat la clef privée que vous avez généré initialement.

3- Activez le SSL

Cliquez sur le domaine en question.

Choisissez Configuration (Setup)

En haut de la page, choisissez le certificat que vous venez d'installer dans la liste Certificat SSL (SSL Certificate). Si vous n'avez pas de liste, c'est que vous n'êtes pas sur une IP dédiée...

Cliquez ensuite sur Serveur (Server) dans le menu de gauche, puis sur Gestion des Services (Service Management).

Stoppez puis Démarrez Apache.

Il ne vous reste plus qu'à tester!

1- Récupérez le ou les certificats sur votre serveur

• A: votre certificat serveur
• B: éventuellement, la chaine de certification (n'est pas nécessaires pour certains produits)

2- Configurez Plesk

Normalement vous aurez un certificat en attente dans la liste en bas, ne contenant qu'une clef privée. Sélectionnez ce certificat pour lui ajouter des éléments:

• le certificat (fichier A) dans Certificate
• éventuellement la chaîne de certification (fichier B) dans CA Certificate

Cliquez sur l'adresse IP en question et dans la section du bas, sélectionnez le certificat à utiliser dans la liste défilante. C'est ainsi que vous pouvez remplacer le certificat par défaut.

3- Relancez Plesk et testez

Si ce n'est pas ok, relancez le serveur Plesk via l'interface.

1. Récupérez dans le Domaine en question la clef privée et le certificat (et éventuellement les certificats CA) installés (copiez les sur un bloc-notes)
2. Connectez vous en Administrateur et cliquez sur l'icone Certificats sur la page Administration du serveur (Server administration).
3. Utilisez le bouton Ajouter certificat (Add Certificates) puis utilisez le formulaire pour ajouter les différents parties en votre possession
4. Une fois le certificat ajouté (il apparait dans la liste), revenez à la page Administration du serveur (Server administration) et cliquez sur Adresses IP (IP Addresses).
5. Cliquez sur l'adresse IP en question et dans la section du bas, sélectionnez le certificat à utiliser dans la liste défilante. C'est ainsi que vous pouvez remplacer le certificat par défaut.

• Commencez à l'étape 22: ouvrez notre email de livraison car le certificat final s'y trouve (en bas); vous pouvez aussi le télécharger (lien fourni)
• Si votre certificat est chainé, suivez les instructions dans le bloc en retrait, sinon passez à l'étape 34
  • Etape 29+30: effacez la racine mise en place à l'étape 15
  • Etape 31: Importez le certificat intermédiaire, c'est à dire le deuxième de votre fichier de chaine. Ce fichier de chaine (B-La chaine de certification) vous est fourni dans l'email de livraison
  • Etape 32: Créer un TrustPoint pour la racine
  • Etape 33: Importez le certificat racine dans ce nouveau TrustPoint. Ce certificat racine est le premier dans le fichier chaine.
• Etape 34: installez le certificat final (fichier certificat serveur) obtenu à l'étape 22
• Etape 35 et 36: activer les SSL
• Enfin étape 37, vérifier votre connexion SSL avec un navigateur externe ou notre outil de vérification, Tester un certificat serveur en ligne

N'oubliez pas d'installer le certificat racine (si le certificat est non-chainé) ou toute la chaine de certification (si le certificat est chainé) avant d'essayer d'installer le certificat serveur final.

1. Cliquez sur l'onglet Access Gateway Cluster et ouvrez la fenetre du boitier.
2. Dans l'onglet Administration, cliquez sur Upload a .crt signed certificate puis parcourir
3. Choisissez le fichier .cer téléchargé sur votre page statut.

1. Cliquez sur l'onglet Access Gateway Cluster et ouvrez la fenetre du boitier.
2. Dans l'onglet Administration, cliquez sur Manage trusted root certificates puis cliquez sur Manage
3. Dans l'onglet Manage, cliquez sur Upload Trusted Root Certificate
4. Sélectionnez le fichier .txt téléchargé sur votre page statut (Chaîne de certification)

Par exemple, vous pouvez obtenir le certificat sur un IIS puis l'exporter en PFX, puis le transformer en PEM. Voir: http://www.jaytomlin.com/blog/2006/07/certificate_conversion_tools.html

Vous pouvez également faire de même en suivant les instructions pour Apache (génération avec openssl) puis concaténer la clef privée, le certificat et la chaine dans 1 seul fichier, et l'importer sur la CAG.

1. Si vous avez une chaine de certification à installer, il faut d'abord utiliser la MMC pour mettre le certificat intermédiaire dans le dossier "Intermediate Certification Authorities" du Compte de l'Ordinateur. Voir aussi Installer les certificats intermédiaires ou racine manuellement Maintenant vous pouvez installer le certificat:
2. Lancer l'outil "Quick Start"
3. Cliquez sur "External Access"
4. Cliquez sur "Manage External Access". L'assistant s'affiche. Cliquez Suivant.
5. Sélectionnez "Enable external access" et "complete pending certificate request". Cliquez Suivant.
6. Entrez le chemin et le nom du fichier contenant votre certificat (.cer téléchargé sur votre page statut). Cliquez Suivant.
7. Relisez et cliquez Terminer pour activer l'accès SSL.

1. Importer le certificat via IIS 5 ou 6: étapes 1 et 2 de Installer un certificat Microsoft IIS5 ou IIS6
2. Exporter le certificat de la machine IIS: Sauvegarder votre certificat IIS5 ou IIS6 ou IIS7 et sa clef privée
3. Importer le certificat sur la machine Citrix: http://support.microsoft.com/kb/232137/
4. Configurer le serveur Citrix:
   • Version 1.1: Page 55 de la documentation officielle
   • Version 4.5: Page 60 de la documentation officielle
   • Version ?: aller dans Administration Tools > Secure Gateway Configuration Wizard et déroulez l'assistant en sélectionnant le nouveau certificat

Pour se faire lancez la mmc comme documenté dans l'étape 1 ici: Installer les certificats intermédiaires ou racine manuellement

Placez vous dans le dossier Autorités de Certification Intermédiaires ou Intermediate Certification Authorities. Recherchez dans la liste "AddTrust External CA Root". Si vous la trouvez, supprimez-la (si,si!)

Désormais toujours dans le même dossier (avec clic droit / toutes les tâches / importer) ajoutez le certificat http://www.tbs-x509.com/AddTrustUTNLegacyCA.crt

Il ne vous reste plus qu'à redémarrer le Citrix Secure Gateway. Les clients Citrix doivent désormais se connecter sans souci.

1. Importer le fichier contenant la clef privée + le certificat serveur (via un fichier nommé .PEM). On considère ici que vous avez généré la clef privée et le CSR sur un autre équipement (IIS ou apache)
2. Si votre certificat est livré avec une chaine de certification, il faut importer séparement cette chaine (renommez la en .PEM) au même endroit, mais avec un nom différent
3. Ensuite, utilisez le bouton Link pour lier le certificat et la chaine

Il faut installer les certificats dans l'ordre inverse de présentation dans l'email de livraison ou du détail de la chaîne dans la page statut.
Exemple si vous avez ceci dans l'email de livraison:

"
- le certificat intermédiaire
        http://www.tbs-x509.com/TBSX509CAbusiness.crt

- le second certificat intermédiaire
        http://www.tbs-x509.com/AddTrustUTNServerCA.crt

- le certificat racine
        http://www.tbs-x509.com/UTN-USERFirst-Hardware.crt
"

Une fois tous les certificats racine et/ou intermédiaires installés, allez dans Personal Certificates puis Receive et ajoutez votre certificat serveur.

1. Il faut installer les certificats racine et intermédiaire(s) dans l'ordre, d'abord la racine puis le premier intermédiaire, etc. en tant que "Install Trusted Root Certificate into Key Ring.". Pour le label, mettez le nom du fichier que vous importez (en base 64).

2. Pour installer le certificat serveur, utilisez "Install Certificate into Key Ring.". Il faut avoir fait l'étape 1.

Pour l'activation du SSL sur le serveur web, surtout n'oubliez pas de mettre les fichiers .STH et .KYR dans le répertoire DATA.

1- Récupérez le certificat sur votre serveur

Si vous n'avez pas ce lien, copier/coller le certificat qui se trouve en bas de votre email de livraison dans un fichier texte sur le serveur.

2- Importez le certificat

• Positionnez-vous sur le Gestionnaire de Clés.

• Installez votre nouveau certificat serveur SSL IIS en cliquant sur la clé dans le dossier www (habituellement une clé cassée traversée par une ligne) et sélectionnez Install Key Certificate.

• Sélectionnez le fichier contenant le certificat, récupéré via le lien contenu dans notre email de livraison
• Entrez le mot de passe affecté lors de la création de cette entrée.

• Ajouter alors, comme demandé, l'adresse IP et le numéro de port. Any assigned est acceptable si vous n'avez aucun autre certificat SSL installé sur votre serveur web.

• Note : la présence de plusieurs certificats installés sur le même serveur web nécessitera une adresse IP différente pour chaque certificat (voir Est-il possible de mettre plusieurs serveurs SSL sur la même machine ?).
• Allez sur le menu Computers et sélectionnez Commit Changes (Effectuer les modifications maintenant) ou fermez le Gestionnaire de clés et répondez Yes pour enregistrer les changements.

• Le nouveau certificat serveur SSL IIS est maintenant installé.

3- Installer les certificats intermédiaires

1. Téléchargez uniquement les certificats intermédiaires sur votre bureau.
2. Pour chaque fichier:
   • double-cliquez dessus pour démarrer l'assistant
   • Choisissez Place all certificates in the following store et cliquez sur browse.
   • Sélectionnez Show physical stores.
   • Puis sélectionnez Intermediate Certification Authorities
   • Choisissez Local Computer et cliquez sur OK.
   • De retour dans l'assistant, cliquez sur Next puis Finish.

4- Rebootez le serveur

5- Testez

Dans le gestionnaire de clés cliquez sur le menu Clé puis Export et Backup File. Conservez le fichier sauvegardé sur disque dur ET en dehors du serveur.

1- Récupérez le certificat sur votre serveur

Attention: si vous utilisez le certificat au format X509 (.cer) vous devrez ensuite installer les certificats intermédiaires et racine à la main. Il est plus rapide de suivre cette NOUVELLE procédure d'installation.

2- Importez le certificat

• Dans le menu démarrer, sélectionnez "Administrative Tool" ou "Outils d'administration".
• Démarrer "Internet Services Manager" ou "Gestionnaire de services internet (IIS)"
• Ouvrez la fenêtre des propriétés du site web à partir duquel vous avez fabriqué la demande de certificat (souvent le Default Web Site). Vous pouvez le faire en cliquant sur le bouton droit ou en sélectionnant Propriétés dans le menu.
• Ouvrez l'onglet "Directory Security" ou "Sécurité de Répertoire".
• Cliquez sur "Server Certificate" ou "Certificat serveur". L'assistant apparaît.
• Choisissez l'option "Process the Pending Request and Install the Certificate" ou "Traiter la demande en attente et installer le certificat". Puis cliquez sur Suivant.
• Mettez le filtre à *.* et choisissez le fichier où se trouve votre certificat téléchargé ci-dessus. Cliquez sur Suivant.
• Choisissez le port SSL que le site devrait utiliser (443 par défaut) et cliquez sur Suivant.
• Lisez le résumé affiché à l'écran pour vérifier que vous indiquez le bon certificat et cliquez sur Suivant.
• Vous obtenez alors une confirmation à l'écran. Après avoir lu l'information, cliquez sur Terminer. C'est fini!

3- Testez

Testez maintenant l'accès à votre site sécurisé avec IE 6 et Firefox.

Cas du renouvellement

Renouveler un certificat avec Microsoft IIS 5 ou 6

Il suffit ensuite d'activer le nouveau certificat sur le site principal. Pour se faire:

• Ouvrez la fenêtre des propriétés du site principal. Vous pouvez le faire en cliquant sur le bouton droit ou en sélectionnant Properties dans le menu.
• Ouvrez l'onglet "Directory Security" ou "Options de Sécurité et de Répertoire".
• Cliquez sur "Server Certificate" ou "Certificat serveur". L'assistant apparaît.
• Choisissez l'option "Remplacer le certificat". Puis cliquez sur Next.
• Dans la liste défilante, choisissez alors votre nouveau certificat (regardez la date d'expiration). Cliquez sur Next.
• Lisez le résumé affiché à l�écran pour vérifier que vous indiquez le bon certificat et cliquez sur Next.
• C'est fini! Votre site principal utilise désormais le nouveau certificat.

Imposer du 128-bit

Pointeurs externes

• Dans le menu démarrer, sélectionnez "Administrative Tool" ou "Outils d'administration".
• Démarrer Internet Services Manager
• Ouvrez la fenêtre des propriétés du site concerné. Vous pouvez le faire en cliquant sur le bouton droit ou en sélectionnant Properties dans le menu.
• Ouvrez l'onglet "Directory Security" ou "Options de Sécurité et de Répertoire".
• Cliquez sur "View Certificate" ou "Afficher Certificat". Une fenêtre apparait
• Cliquez sur l'onglet "Détails"
• Cliquez sur "copier dans un fichier". Un assistant se lance.
• Suivez l'assistant pour fabriquer un fichier au format pfx avec
  • choisir d'exporter la clef privée
  • puis sur la page suivante
  • activer la protection renforcée (ne pas l'activer si l'importation ne se fera pas sur IIS)
  • inclure la chaine de certification
  • NE PAS effacer la clef privée
• Donnez un mot de passe de chiffrement de ce fichier
• C'est fini! Stockez le fichier .pfx en lieu sur avec son mot de passe.

1- Lancez la MMC

• Cliquez sur Démarrer ou Start puis sélectionnez Executer ou Run et tapez mmc
• Cliquez sur le menu Fichier ou File et sélectionnez Ajouter/Supprimer un composant logiciel enfichable... ou Add/Remove Snap in
• Choisissez Ajouter ou Add, sélectionnez Certificats ou Certificates dans la liste des Composants logiciels enfichables disponibles ou Standalone Snap-in puis cliquez sur Ajouter ou Add
• Choisissez Le compte de l'ordinateur ou Computer Account et cliquez sur Suivant ou Next
• Choisissez L'ordinateur local ou Local Computer et cliquez sur Terminer ou Finish
• Fermez la fenêtre et cliquez sur OK dans la fenêtre supérieure

2- Placez les certificats à importer sur votre bureau

Là vous allez visualiser toute la chaine, et de haut en bas, vous voyez le certificat qui a signé votre certificat, puis le certificat qui l'a signé et ainsi de suite. Si le dernier a le même champ subject et issuer, on l'appelle certificat racine. Il peut y avoir plusieurs certificats entre celui de votre serveur et le dernier; on les appelle les certificats intermédiaires.
Vous devez importer les certificats un par un.

Pour se faire, copier/coller chaque certificat à importer dans un fichier texte sur le bureau, et suivez la procédure ci-dessous d'importation.

Vous pouvez aussi trouver les certificats que l'on utilise ici:

• Certificats intermédiaires
• Certificats racines (présents dans les navigateurs)

3- Importez un certificat d'autorité

• Télécharger le fichier sur votre bureau (voir ci-dessus)
• Déterminer si c'est un certificat intermédiaire (pas le dernier de la liste mentionnée à l'étape 2) ou un certificat racine (le dernier de la liste)
• si c'est un certificat intermédiaire: placez vous sur Autorités intermédiaires ou Intermediate Certification Authorities
• si c'est un certificat racine: placez vous sur Autorités de certification racines de confiance ou Trust root certification authorities
• Faites un clic droit, choisissez Toutes les tâches puis Importer
• Un assistant se lance. Sélectionnez le fichier du certificat à importer.
• Valider ensuite les choix par défaut
• Vérifiez que votre certificat est apparu dans la liste

4- Relancez le serveur

Une fois que vous aurez importé à la main toute la chaine de certification dans les bons répertoires, relancez votre serveur web.

Sous IIS6, arrêter et démarrer le site web peut suffir (stop puis start), mais plus généralement, il faut redémarrer la machine. Si cela ne fonctionne pas, rebootez la machine avant de nous appeler.

Pour se faire, une fois le certificat installé, il faut aller dans les propriétés du site web (au niveau d'IIS). Dans l'onglet "Directory Security" ou "Sécurité de Répertoire" cliquez sur "Edit" ou "Modifier".

A cet endroit il faut cocher "Require secure channel (SSL)" puis "Require 128-bit Encryption". Puis validez.

Désormais ce site web ne sera accessible que par un canal SSL en 128-bit.

Lorsque l'on supprime une demande en attente cela supprime l'association de la clef privée avec IIS, on ne peut donc plus installer le certificat correctement. L'association est bien supprimée mais la clef privée reste enregistrée dans le magasin de certificat de IIS. Microsoft a créé un outil permettant d'installer un certificat malgré la suppression de la demande : Certutil.exe.

• Dans un premier temps il faut trouver l'outil. Il se trouve normalement dans %windir%\system32.
• Tapez dans la console certutil -addstore my certificat.p7b

Le paramètre certificat.p7b est le certificat que vous voulez installer. N'oubliez pas l'argument my !
Si l'opération s'est bien déroulée vous devriez obtenir un message similaire à celui-ci : CertUtil: -addstore La commande s'est terminée correctement

• Allez dans le gestionnaire de fichier, placez vous dans le répertoire ou se trouve le fichier .p7b et Faites clic droit > propriétés sur le fichier .p7b
• Faites un clic droit sur le certificat et choisissez Propriétés
• Cherchez le champs Numéro de série et copiez-le (CTRL+C)
• Revenez à l'invite de commande et entrez certutil -repairstore my "numéro de série"

Numéro de série correspond au numéro de série préalablement enregistré. N'oubliez pas l'argument my et les guillemets !
Si tout s'est bien déroulé vous devriez obtenir un message similaire à celui-ci : Succès du test de cryptage CertUtil: -repairstore La commande s'est terminée correctement.

Normalement la liaison entre la clef privée et le certificat s'est bien déroulée il faut maintenant installer le certificat sur le site.

• Dans IIS faites clic droit > propriétés sur le site à sécuriser, rendez-vous dans l'onglet sécurité de répertoire, bouton certificat serveur, choix remplacer et choisissez le nouveau certificat que vous venez d'importer

Afin de vérifier la bonne mise en place du certificat vous pouvez vous rendre sur votre compte client et cliquer sur le bouton Vérifier votre certificat.
Si la vérification retourne une erreur, l'installation s'est mal déroulée. Vous devrez donc lancer une procédure de refabrication du certificat.

1- Récupérez le certificat sur votre serveur

Attention: si vous utilisez le certificat au format X509 (.cer) vous devrez ensuite installer les certificats intermédiaires et racine à la main. Il est plus rapide de suivre cette NOUVELLE procédure d'installation.

2- Importez le certificat

• Ouvrez le nouvel outil d'administration Internet Information Services. Sélectionnez le Serveur Web concerné dans l'arbre sur la gauche. Double-cliquez sur l'icone Certificats Serveur (Server Certificates) sur la gauche.
• Dans le panneau Action, cliquer sur Finaliser une demande de certificat ("Complete Certificate Request...").
• Dans la boite de dialogue qui apparait, appuyez sur Parcourir, mettez le filtre à *.* et choisissez le fichier où se trouve votre certificat téléchargé ci-dessus. Cliquez sur Ouvrir.
• Donnez un nom unique à votre certificat (sans utilisez d'accents ni de caractères : ! @ # $ % ^ * ( ) ~ ? > < & / \:), puis OK.

3- Liez le certificat

• Toujours dans l'outil d'administration Internet Information Services, sélectionnez le Site Web concerné dans l'arbre sur la gauche.
• Dans le panneau Action, cliquer sur Liens ("Bindings")
• Cliquez sur Nouveau ("New")
• Sélectionnez le protocole "https"
• Choisissez le certificat importé dans l'étape précédente

4- Testez

Pointeurs externes

• La doc officielle Microsoft pour installer un certificat sous IIS7
• La doc officielle Microsoft pour associer un certificat à un site sous IIS7
• Une documentation semi-officielle sur SSL sous IIS7

Prélable

Suivez les instructions de cette page
Installer un certificat Microsoft IIS5 ou IIS6
pour récupérer le certificat et l'importer puis revenez sur cette page ensuite.

A présent, votre certificat doit être visible dans IIS: utilisez le bouton Afficher le certificat pour vérifier.

Si vous n'avez pas suivi notre méthode d'installation automatique, assurez-vous d'avoir installé le certificat intermédiaire éventuellement nécessaire.

Si votre ISA n'est pas sur la même machine, fabriquez un fichier .pfx de transport de la clef privée et du/des certificat(s) en suivant ces instructions:
Sauvegarder votre certificat IIS5 ou IIS6 ou IIS7 et sa clef privée
puis revenez sur cette page ensuite.

Installation sur le serveur ISA

1- Lancez la MMC

• Cliquez sur Démarrer ou Start puis sélectionnez Executer ou Run et tapez mmc
• Cliquez sur le menu Fichier ou File et sélectionnez Ajouter/Supprimer un composant logiciel enfichable... ou Add/Remove Snap in
• Choisissez Ajouter ou Add, sélectionnez Certificats ou Certificates dans la liste des Composants logiciels enfichables disponibles ou Standalone Snap-in puis cliquez sur Ajouter ou Add
• Choisissez Le compte de l'ordinateur ou Computer Account et cliquez sur Suivant ou Next
• Choisissez L'ordinateur local ou Local Computer et cliquez sur Terminer ou Finish
• Fermez la fenêtre et cliquez sur OK dans la fenêtre supérieure

2- Importez le fichier .pfx

• Placez-vous sur Personnels puis Certificats
• Faites un clic droit, choisissez Toutes les tâches puis Importer
• Un assistant se lance. Sélectionnez le fichier du certificat à importer.
• Valider ensuite les choix par défaut
• Vérifiez que votre certificat est apparu dans la liste et que les certificats intermédiaires et racine sont dans leur dossier respectif. Si ce n'est pas le cas, rangez les dans les bons dossiers, en n'hésitant pas à remplacer un certificat existant.

3.1- Configurez ISA Server 2000

• Ouvrez ISA Manager
• Clic-droit sur le serveur qui va gérer la connexion entrante, puis Propriétés
• Cliquez sur l'onglet Incoming Web Requests
• Choisissez l'adresse IP ou toutes les IP qui correspondent à ce service
• Cliquez sur Editer
• Cliquez pour activer l'utilisation d'un certificat serveur
• Cliquez sur Sélectionner
• Choisissez le certificat que vous venez d'importer
• Cliquez sur OK
• Sélectionnez Activer SSL
• Dans le dossier Publication, cliquez sur Web Publishing Rules
• Double-cliquez sur la règle de publication qui va router le trafic SSL.
• Dans l'onglet Bridging, pour Redirect SSL requests as activez select HTTP requests (terminate the secure channel at the proxy)
• Cliquez sur OK
Redémarrez le serveur ISA.

3.2- Configurez ISA Server 2004

• Ouvrez Gestion ISA Server
• Cliquez sur Stratégie de pare-feu
• Dans le volet d'informations Stratégie de pare-feu, dans l'onglet Tâches, sélectionnez la publication que vous souhaitez (par exemple Publier un serveur de courrier). L'Assistant Nouvelle règle de publication de serveur se lance.
• Sur la page Bienvenue de l'Assistant, indiquez le nom de la règle et cliquez sur Suivant.
• Sur la page Sélectionnez éventuellement le type d'accès (OWA)
• Sur la page Mode de pontage, sélectionnez les parties du chemin de communication qui seront sécurisées. Normalement il s'agit de la communication entre le client (sur internet) et le serveur ISA.
• Sur l'onglet A (To), le nom doit être strictement identique au CN du certificat. Sinon vous aurez une erreur 500 lors de la tentative de connexion.
• Sur la page Spécifiez le serveur de courrier Web, entrez le nom ou l'adresse IP du serveur interne.
• Sur la page Informations sur les noms publics, indiquez quelles demandes seront reçues par le serveur ISA et transmises au serveur. Sous le nom de domaine, si vous sélectionnez Tout nom de domaine, toute demande qui est résolue pour l'adresse IP du port d'écoute Web externe du serveur ISA sera transmise au serveur. Si vous sélectionnez Ce nom de domaine et fournissez un nom de domaine spécifique, par exemple mail.entreprise.fr, en supposant que ce domaine soit résolu pour l'adresse IP du port d'écoute Web externe du serveur ISA, seules les demandes pour https://mail.entreprise.fr seront transmises au serveur.
• Sur la page Sélectionnez le port d'écoute, spécifiez le port d'écoute Web qui écoutera les demandes de pages Web à rediriger vers le serveur Web, puis cliquez sur Suivant. Si vous n'avez pas défini de port d'écoute Web, cliquez sur Nouveau et suivez les instructions ci-dessous pour en créer un.
  • Sur la page Bienvenue de l'Assistant Nouveau port d'écoute Web, tapez le nom du nouveau port d'écoute, par exemple, Port d'écoute sur le réseau externe pour la publication, puis cliquez sur Suivant.
  • Sur la page Adresses IP, sélectionnez le réseau qui écoutera les demandes Web. Étant donné que Microsoft ISA Server devra recevoir les demandes provenant du réseau externe (Internet), le port d'écoute devra correspondre aux adresses IP de la carte du réseau externe de Microsoft ISA Server. Par conséquent, sélectionnez Externe, puis cliquez sur Suivant.
  • Puisque vous n'envisagez d'écouter que les demandes SSL (comme il est conseillé), sur la page Spécification de port, désactivez l'option Activer HTTP et activez l'option Activer SSL. Sélectionnez SSL (Secure Socket Layer), vérifiez que le numéro du port SSL est 443 (paramètre par défaut) et indiquez le nom du certificat dans le champ Certificat.Cliquez sur Suivant.
  • Sur la page Fin de l'Assistant Nouveau port d'écoute Web, vérifiez les paramètres et cliquez sur Terminer.
• Sur la page Sélectionnez le port d'écoute, cliquez sur Suivant.
• Sur la page Ensembles d'utilisateurs, l'option par défaut Tous les utilisateurs est disponible. Cette option permet aux utilisateurs authentifiés du réseau externe d'accéder au serveur. Pour limiter l'accès au serveur à certains utilisateurs, servez-vous pour cela du bouton Supprimer pour supprimer tous les utilisateurs et du bouton Ajouter pour ouvrir la boîte de dialogue Ajouter des utilisateurs, dans laquelle vous pouvez ajouter l'ensemble d'utilisateurs auquel la règle s'applique. La boîte de dialogue Ajouter des utilisateurs donne également accès à l'Assistant Nouvel ensemble d'utilisateurs par le biais de l'élément de menu Nouveau. Une fois que vous avez sélectionné l'ensemble d'utilisateurs, cliquez sur Suivant.
• Sur la page de fin de l'Assistant Nouvelle règle de publication de serveur de courrier, faites défiler la configuration de la règle pour vérifier que celle-ci est correcte, puis cliquez sur Terminer.
• Dans le volet d'informations de Microsoft ISA Server, cliquez sur Appliquer pour appliquer les modifications que vous avez effectuées. L'application des modifications prend quelques instants.

Suivant l'article KB 827330, dans la zone "principal name for proxy server:", il ne faut pas mettre "msstd:remote.mydomain.com" mais "msstd:*.mydomain.com".

http://blogs.technet.com/isablog/archive/2007/08/29/certificates-with-multiple-san-entries-may-break-isa-server-web-publishing.aspx

1- Préparation

Il faut importer le fichier .p7b pour installer le certificat et toute la chaîne, et pas uniquement le certificat final. Ce fichier vous est proposé en tant que "fichier global d'installation" dans l'email de livraison et est disponible sur votre page statut, rubrique "voir le certificat", Format PKCS7.

2- Importation

Import-ExchangeCertificate -Path c:\p7-0123456789-12345.p7b | Enable-ExchangeCertificate -Services "SMTP, IMAP, POP, IIS"

• http://technet.microsoft.com/en-us/library/bb124424.aspx
• http://technet.microsoft.com/en-us/library/aa997231.aspx
• Installer les certificats intermédiaires ou racine manuellement

1- Préparation

• Si vous avez utilisé l'assistant pour créer la demande de certificat, utilisez l'assistant pour importer (dans le Exchange Management Console, à la racine de Server Organization, choix Import Exchange Certificate.)
• Si vous avez utilisé le shell Exchange, il faut lancer la cmdlet Import-ExchangeCertificate (et surtout pas utiliser la MMC !)

2- Importation via le shell

Import-ExchangeCertificate -Path c:\p7-0123456789-12345.p7b | Enable-ExchangeCertificate -Services "SMTP, IMAP, POP, IIS"

• http://technet.microsoft.com/en-us/library/dd351183(EXCHG.140).aspx
• http://technet.microsoft.com/en-us/library/bb310769(EXCHG.140).aspx

Import-ExchangeCertificate -FileData ([Byte[]]$(Get-Content -Path c:\p7-1273502877-116443.p7b -Encoding byte -ReadCount 0))

Enable-ExchangeCertificate


applet de commande Enable-ExchangeCertificate à la position 1 du pipeline de la commande
Fournissez des valeurs pour les paramètres suivants :
Services: SMTP,IIS,IMAP,POP
Thumbprint: CE20B70F780CDFD72878F5496931F1A8AF1798A2

 

Confirmer
Remplacer le certificat SMTP par défaut existant ?
 

Certificat actuel : '43B7977C504C7A84422CB815065E1DE34D52CBD3' (expiration 12/04/2015 12:42:43)

Le remplacer par le certificat : 'CE20B70F780CDFD72878F5496931F1A8AF1798A2' (expiration 21/05/2011 01:59:59)

[O] Oui  [T] Oui pour tout  [N] Non  [U] Non pour tout  [?] Aide (la valeur par défaut est « O ») : t

Fabriquer un PFX à partir d'Exchange 2010

http://exchangeserverpro.com/export-an-exchange-server-2010-certificate-to-exchange-2003

Installer un certificat Apache

• Postfix TLS
• Qmail TLS
• Sendmail TLS

Installer un certificat Apache

• TLSCertificateFile: emplacement du fichier contenant le certificat
• TLSCertificateKeyFile: emplacement du fichier contenant la clef privée
• TLSCACertificateFile ou SSLCertificateChainFile: emplacement du fichier contenant la chaine de certification
• TLSCipherSuite: liste des cipher autorisés

1. Votre certificat serveur (fichier A)
2. Votre chaine de certification (fichier B, uniquement si votre certificat en a besoin)
3. Votre clef RSA

N'utilisez pas l'instruction TLS_TRUSTCERTS, sauf si vous utilisez des certificats clients avec TLS_VERIFYPEER.

tls_cert_file: /empl/acement/vers/cert-0000000000-1234.cer
tls_key_file: /empl/acement/vers/www.virtualhost.com.key
tls_ca_file: /empl/acement/vers/chain-0000000000-1234.txt

Le second fichier (.key) est votre clef privée, celle que vous avez généré au départ.

Le troisième fichier est optionnel. Utilisez le si nous vous avons indiqué un fichier B dans notre email de livraison: c'est la chaîne de certification.

imaps         cmd="/usr/local/bin/imapd -s" listen="imaps" prefork=5 maxchild=200 

Installer un certificat Apache

• cert: emplacement du fichier contenant le certificat + la clef privée
• cafile: emplacement du fichier contenant la chaine de certification

1- Récupérez le certificat sur votre serveur

2- Importez le certificat

1. Placez vous sur la machine sur laquelle vous avez fait la demande, et dans le même répertoire.
2. Importez le certificat:

   keytool -import -trustcacerts -alias [nom-alias] -file [p7-0000000000-0000.p7b] -keystore [nomdustockage]
   

   Il est important que vous spécifiez bien le même nom d'alias que lors de votre demande de certificat, et en utilisant le même nom de stockage.
   

3- Activer le SSL

Avec Tomcat 4

   <Connector
     className="org.apache.coyote.tomcat4.CoyoteConnector"
     port="8443" minProcessors="5"
     maxProcessors="75"
     enableLookups="false"
     acceptCount="10"
     connectionTimeout="60000" debug="0"
      scheme="https" secure="true">
   <Factory
     className="org.apache.coyote.tomcat4.CoyoteServerSocketFactory"
            clientAuth="false" protocol="TLS"
            keystoreFile="CHEMIN-COMPLET+NOMDUSTOCKAGE"
            keystorePass="MOT-DE-PASSE-DU-KEYSTORE" />
   </Connector>

Avec Tomcat 5

<Connector className="org.apache.coyote.tomcat5.CoyoteConnector"
          port="8443" minProcessors="5" maxProcessors="75"
          enableLookups="true" disableUploadTimeout="true"
          acceptCount="100" debug="0" scheme="https" secure="true";
          clientAuth="false" sslProtocol="TLS"
          keystoreFile="CHEMIN-COMPLET+NOMDUSTOCKAGE"
          keystorePass="MOT-DE-PASSE-DU-KEYSTORE" />

Avec Tomcat 6

<Connector protocol="org.apache.coyote.http11.Http11Protocol"
          port="8443" minProcessors="5" maxProcessors="75"
          enableLookups="true" disableUploadTimeout="true" 
          acceptCount="100"  maxThreads="200"
          scheme="https" secure="true" SSLEnabled="true"
          keystoreFile="CHEMIN-COMPLET+NOMDUSTOCKAGE"
          keystorePass="MOT-DE-PASSE-DU-KEYSTORE" />

4- Testez

Erreurs fréquentes

java.lang.Exception: L'entrée n'est pas un certificat X.509

Documentation externe

• L'outil Keytool: http://java.sun.com/j2se/1.5.0/docs/tooldocs/solaris/keytool.html
• Doc Tomcat 4: http://tomcat.apache.org/tomcat-4.0-doc/ssl-howto.html
• Doc Tomcat 5.5: http://tomcat.apache.org/tomcat-5.5-doc/ssl-howto.html
• Doc Tomcat 6: http://tomcat.apache.org/tomcat-6.0-doc/ssl-howto.html

Et une note pour les certificats chaînés ici:
http://www.4d.com/knowledgebase?CaseID=34856

Pour installer votre certificat sur Axway Synchrony il vous faudra récupérer l'ensemble des certificats constituant la chaine de certifications complète (voir liens dans l'email de livraison ou la page statut de votre certificat). C'est à dire le certificat racine, les certificats d'autorité intermédiaire et votre propre certificat. Il semble en effet nécessaire d'installer ces certificats un par un en commençant par la racine et en descendant l'arbre de certification.

Par ailleurs le produit semble ne pas afficher convenablement certains champs des certificats et affiche parfois de caractères "?" quand il ne sait pas traiter ces champs.

Ainsi lorsque vous faites le copier/coller du certificat, il faut donner dans l'ordre d'abord le certificat du serveur (format X509 sur notre site) puis la chaine de certification (également disponible sur notre page statut).

Exemple:

-----BEGIN CERTIFICATE-----
MIIFZzCCBE+gAwIBAgIRAIAGPrphtEaf8EIFySc7rjcwDQYJKoZIhvcNAQEFBQAw
...
VOTRE CERTIFICAT SERVEUR (X509)
...
IEm/CBAopHFzIqDHyX+7eWA5oY9jpcbxEVPpjegHEshNQekUXxyY3tqgoQ==
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
MIIFKjCCBJOgAwIBAgIEAgACmjANBgkqhkiG9w0BAQUFADB1MQswCQYDVQQGEwJV
...
LE (ou les) CERTIFICAT INTERMEDIAIRE
...
tc0yIuQhkhvvzjSuMEQa7pt/8JQRhoqHGQEoOs+z
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
MIICWjCCAcMCAgGlMA0GCSqGSIb3DQEBBAUAMHUxCzAJBgNVBAYTAlVTMRgwFgYD
...
LE CERTIFICAT RACINE
...
GwnpXtlR22ciYaQqPEh346B8pt5zohQDhT37qw4wxYMWM4ETCJ57NE7fQMh017l9
3PR2VX2bY1QY6fDq81yx2YtCHrnAlU66+tXifPVoYb+O7AWXX1uw16OFNMQkpw0P
lZPvy5TYnh+dXIVtx6quTx8itc2VrbqnzPmrC3p/
-----END CERTIFICATE-----

1- Préparation

2- Importation

1. Lancez le Webstar Admin Client et cliquez sur "SSL Configuration".
2. Cliquez sur le bouton "New"
3. Rentrez le nom de la clef privée et le mot de passe (définie lors de la création de la clef).
4. Choisissez le fichier clef privée dans la liste.
5. Choisissez le fichier certificat (celui que vous avez déposé lors de la préparation au dessus).
6. Sous "Cipher" choisissez le mode "simple".
7. Cliquez sur "SAVE"

3- Activation

1. Lancez le Webstar Admin Client et cliquez sur "Web Connections" sous "Web Server".
2. Cliquez sur "New" et choisissez "All" sous "IP Addresses" ou spécifiez une adresse manuellement.
3. Pour le port, mettez 443.
4. Pour la configuration SSL, choisissez votre certificat dans la liste.
5. Cliquez sur "SAVE"

• Lorsque vous importez le certificat avec le zip, ne mettez que le certificat serveur dans server.crt. Autrement dit, renommez le fichier cert-xxx.cer que nous vous avons livré en server.crt. (Contrairement à ce que dit la doc, il ne prend en compte que le premier bloc.)
• Importez le certificat intermédiaire sans passer par un ZIP. Pour ce faire, utilisez directement le fichier chain-xxx.txt que nous vous avons livré.
• Une fois que le ou les intermédiaires et le certificat serveur est en place, cochez la case Enable puis Apply (ou Accept dans les versions récentes). Le boitier va alors redémarrer pour prendre en compte le certificat.

Installer un certificat Tomcat

Si par contre vous utilisez des fichiers indépendants, il faut passer un fichier contenant le certificat serveur, puis le fichier chaine de certification, concaténé dans un seul fichier, et dans cet ordre.

Voir la documentation officielle: http://download.oracle.com/docs/cd/E13222_01/wls/docs81/index.html

SSLCACertificateFile

Cette directive doit pointer vers un fichier. Ce fichier doit contenir la totalité de la chaîne de certification sauf le certificat serveur : le certificat intermédiaire, puis le certificat racine.

Cela donne par exemple:

-----BEGIN CERTIFICATE-----
xxxxxxxxxx le certificat intermédiaire (qui a signé le certificat) xxxxxxxxx
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
xxxxxxxxxx le certificat racine (qui a signé le certificat au dessus) xxxxxxxxx
-----END CERTIFICATE-----