SIGNIFLOW

Découvrez notre plateforme de signature : signez et faites signer vos PDFs en quelques clics !

SUPPORT

Un problème de certificat ? Besoin d'être dépanné rapidement ? Nos ingénieurs répondent à vos questions.

0 897 690 444 Service 0,80 €/min +prix appel
LES PRODUITS À DÉCOUVRIR

Les certificats SSL La signature de facture Les certificats eIDAS Les logiciels de signature

Menu
picture of tbs certificates
picture of tbs certificates
Les produits
TOUS LES CERTIFICATS
SSL Extended Validation SSL Standard Certificats RGS Certificats eIDAS SSL ECC SSL wildcard SSL Multisites / SAN SSL rapide & basique
Certificats spécifiques Certificats VMC
E-signature Authentification forte Certificats S/MIME
Certificats de test Solutions PKI Sceaux de confiance
SigniFlow : la plateforme pour signer et faire signer vos documents
Logiciel de signature
Notre gamme
TBS X509 DigiCert Thawte Sectigo GlobalSign GeoTrust Certigna ChamberSign SigniFlow Harica
Partenaires
Accès client Les comptes clients Ouvrir un compte
Support
FAQ SHA256 : Compatibilité navigateurs ECC : Compatibilité navigateurs
Numéro vert
Focus
Dématérialisation de facture
Nous proposons désormais des solutions répondant aux normes RGS** / eIDAS qualifié pour la signature et l'horodatage de vos factures. En savoir plus


Authentification forte avec IIS et TBS X509 Sign&Login

Pour utiliser IIS avec l'authentification par certificat client, notamment pour faire du mapping de certificats vers un compte utilisateur, il faut préalablement importer le certificat racine correspondant aux certificats utilisateurs qui seront utilisés.

Pour utiliser les certificats TBS X509 Sign&Login, il faut importer le certificat "TBSX509 CA Persona 2". Pour se faire :

  1. Sur votre serveur, lancez exécutable "mmc" (menu Démarrer, Exécuter, tapez "mmc" et OK).

  2. Cliquez sur Ficher, Ajout/Suppression de composants enfichables puis Bouton Ajouter ("File->Add/Remove Snap-in...")

  3. Choisissez le composant "Certificats" puis cliquez sur Ajouter.

  4. Choisissez le "Compte de l'ordinateur" puis "Ordinateur Local" et "Terminer".

  5. Cliquez sur "Fermer" puis "OK"

  6. Cliquez sur le "+" à coté de "Certificats(Ordinateur Local)"

  7. Cliquez sur le "+" à coté de "Certificats d'Autorités de Confiance"

  8. Clic droit sur le texte "Certificats"

  9. Choisissez "Toutes les taches", "Importer"

  10. Grâce à l'assistant, importez le certificat "COMODO AAA Certificates Services" disponible ici:
    COMODO AAA Certificates Services.crt

  11. Cliquez sur le "+" à coté de "Certificats Intermédiaires d'Autorités"

  12. Clic droit sur le texte "Certificats"

  13. Choisissez "Toutes les taches", "Importer"

  14. Grâce à l'assistant, importez le certificat "TBS X509 CA persona 2" disponible ici: TBS X509 CA persona 2.crt

  15. Importez également le certificat intermédiaire "USERTrust RSA Certification Authority" disponible ici :
    USERTrust RSA Certification Authority.crt

Une fois que ceci est fait, il faut configurer le site IIS pour qu'il requiert un certificat et filtre dessus. Voici par exemple pour autoriser tous les certificats émis par notre autorité TBS X509 CA Persona 2 à se connecter au site.

  1. Lancez IIS en passant par le Panneau de configuration, Outils d'administration, IIS ("Control Panel->Administrative Tools->Internet Information Service")

  2. Clic droit sur le site web concerné par l'authentification forte, puis Propriétés.

  3. Allez dans l'onglet Sécurité de Répertoire ("Directory Security")

  4. Dans Communications sécurisées ("Secure communications"), cliquez sur le bouton Éditer.

  5. Sélectionnez soit Accepter les certificats clients, soit Exiger un certificat client ("Accept client certificates" or "Require client certificates")

  6. Choisissez Activer la liste des certificats de confiance ("Enable certificate trust list" CTL)

  7. Choisissez créez ou éditer une liste existante.

  8. Lorsque la demande d'ajout d'un certificat apparaît, choisissez Ajouter via un fichier ("Add from File") et donnez le fichier correspondant à "USERTrust RSA Certification Authority" téléchargé plus haut.

Pour spécifier uniquement certains certificats émis par notre autorité, il faut utiliser la fonction de mapping d'IIS, par exemple pour sélectionner tous les certificats admis finement.

Si ce n'est pas déjà fait:

Ensuite testez l'accès. Bien qu'en théorie ce qui a été fait est suffisant, si cela ne marche pas (la fenêtre de sélection de certificat affiché par IE reste vide), il faut réaliser une opération supplémentaire! Installez une copie du certificat client obtenu (faites un fichier d'export pfx avec toute la chaîne) dans Internet Explorer du compte administrateur du serveur. Nous ne saurions expliquer à quoi cela sert, mais au final la sélection du certificat fonctionne après cela, quand elle ne fonctionnait pas initialement.

N'oubliez pas que pour un bon fonctionnement, le serveur IIS doit être capable de télécharger les CRLs des certificats de la chaîne de certification. Pour se faire, le serveur doit avoir un accès au protocole HTTP vers l'extérieur, au minimum vers les serveurs de CRL:

crl.tbs-x509.com
crl.tbs-internet.com
crl.comodoca.com
crl.sectigo.com
crl.usertrust.com