site map contact us back to main page
picture of tbs certificates
Focus
Alerte OpenSSL/Debian :
TBS Internet refabrique gratuitement les certificats impactés par ce bug et invite ses clients à vérifier si ils sont concernés. Plus de détails...

De nouveaux assistants sont à votre disposition!
TBS Internet a développé deux nouveaux outils pour vous guider dans votre choix de «solutions PKI» ou «certificats utilisateurs».



(Category) FAQ TBS-certificats : (Category) Utiliser un certificat : (Category) Accès web avec authentification forte :
Authentification forte avec IIS et TBS X509 Personnel
Pour utiliser IIS 5 ou 6 avec l'authentification par certificat client, notamment pour faire du mapping de certificats vers un compte utilisateur, il faut préalablement importer le certificat racine correspondant aux certificats utilisateurs qui seront utilisés.

Pour utiliser les certificats TBS X509 Personnel, il faut importer le certificat "Add Trust Class1 CA Root" sans signature croisée. Pour se faire:


  1. Sur votre serveur, lancez l'éxécutable "mmc" (menu Démarrer, Exécuter, tapez "mmc" et OK).
  2. Cliquez sur Ficher, Ajout/Suppression de composants enfichables puis Bouton Ajouter ("File->Add/Remove Snap-in...")
  3. Choisissez le composant "Certificats" puis cliquez sur Ajouter.
  4. Choisissez le "Compte de l'ordinateur" ("Computer Account") puis l'Ordinateur Local et Terminer.
  5. Cliquez sur Fermer puis OK
  6. Cliquez sur le "+" à coté de Certificats (Ordinateur Local) "Certificates (Local Computer)"
  7. Cliquez sur le "+" à coté de "Certificats d'Autorités de Confiance" ("Trusted Root Certification Authorities")
  8. Clic droit sur le texte "Certificats"
  9. Choisissez Toutes les taches, Importer ("All Tasks->Import...")
  10. Grâce à l'assistant, importez le certificat "AddTrust Class1 CA Root" disponible ici: http://www.tbs-x509.com/AddTrustClass1CARoot.crt
  11. Cliquez sur le "+" à coté de "Certificats Intermédiaires d'Autorités" ("Intermediate Certification Authorities")
  12. Clic droit sur le texte "Certificats"
  13. Choisissez Toutes les taches, Importer ("All Tasks->Import...")
  14. Grâce à l'assistant, importez le certificat "TBS X509 CA persona" disponible ici: http://www.tbs-x509.com/TBSX509CApersona.crt

Une fois que ceci est fait, il faut configurer le site IIS pour qu'il requiert un certificat et filtre dessus. Voici par exemple pour autoriser tous les certificats émis par notre autorité TBS X509 CA Persona à se connecter au site.

  1. Lancez IIS en passant par le Paneau de configuration, Outils d'administration, IIS ("Control Panel->Administrative Tools->Internet Information Service")
  2. Clic droit sur le site web concerné par l'authentification forte, puis Propriétés.
  3. Allez dans l'onglet Sécurité de Répertoire ("Directory Security")
  4. Dans Communications sécurisées ("Secure communications"), cliquez sur le bouton Editer.
  5. Sélectionnez soit Accepter les certificats clients, soit Exiger un certificat client ("Accept client certificates" or "Require client certificates")
  6. Choisissez Activer la liste des certificats de confiance ("Enable certificate trust list" CTL)
  7. Choisissez créez ou éditer une liste existante.
  8. Lorsque la demande d'ajout d'un certificat apparait, choisissez Ajouter via un fichier ("Add from File") et donnez le fichier correspondant à "AddTrust Class1 CA Root" téléchargé plus haut.
Pour spécifier uniquement certains certificats émis par notre autorité, il faut utiliser la fonction de mapping d'IIS, par exemple pour sélectionner tous les certificats admis finement.


Si ce n'est pas déjà fait: Ensuite testez l'accès. Bien qu'en théorie ce qui a été fait est suffisant, ca ne marche pas (la fenêtre de selection de certificat affiché par IE reste vide), et il faut réaliser une opération supplémentaire! installez une copie du certificat client obtenu (faites un fichier d'export pfx avec toute la chaine) dans l'Internet Explorer du compte administrateur du serveur. Nous ne saurions expliquer à quoi cela sert, mais au final la sélection du certificat fonctionne après cela, quand elle ne fonctionnait pas initialement.


N'oubliez pas que pour un bon fonctionnement, le serveur IIS doit être capable de télécharger les CRLs des certificats de la chaine de certification. Pour se faire, le serveur doit avoir un accès au protocole HTTP vers l'extérieur, au minimum vers les serveurs de CRL: 
crl.tbs-x509.com
crl.tbs-internet.com
crl.comodoca.com
crl.comodo.net
crl.usertrust.com

[Contribuer à cette Entrée]
2006-Jun-15 8:18am


Précédent: (Answer) Authentification forte avec IIS et TBS X509 Client Auth
Suivant: (Answer) Comment debuger la demande de certificat client avec openssl?
Ce document est: http://www.tbs-certificats.com//cgi-bin/fom.cgi?file=226


C'est une Faq-O-Matic 2.721.
francais anglais contact