Certificats de personnes

Renater propose la mise à disposition de certificats TCS standards de personne, aux établissements titulaires d’un agrément Renater. Ces certificats peuvent être utilisés pour la signature de messagerie par exemple.

Généralités

A quoi servent et ne servent pas ces certificats ?

Ces certificats de personne permettent de :

  1. signer des courriers électroniques,
  2. prouver son identité lors d’une authentification (nécessite la gestion des listes de révocation de certificats du côté fournisseur de services).

Les certificats standards de personne ne peuvent pas être utilisés pour sécuriser des transactions de cartes bancaires, des paiements en ligne ou autres transactions financières. Ils ne peuvent pas être utilisés pour chiffrer des données, sauf dispositif de recouvrement des données qui ne se baserait pas sur le recouvrement du certificat, celui-ci n'étant pas possible. Ils ne permettent pas la signature de documents administratifs dématérialisés car ils ne sont pas conformes aux exigences du RGS.

Qui peut en demander et comment ?

Toute personne faisant partie du personnel de l'université, c'est-à-dire faisant partie de la base des personnels, SIHAM et pour laquelle un compte informatique est actif.

Validité du certificat

Le certificat est valide pour une durée de 3 ans maximum.
Ce certificat peut également être révoqué par le RSSI de l'université, par GéANT ou le GIP Renater selon les modalités prévues dans la CPS (Certificate Pratice Statement), en particulier si un doute sérieux existe sur la compromission de sa clé privée...

Précaution d'usage

Le demandeur s'engage :

  • à prendre les mesures nécessaires afin de prévenir la compromission, la perte, la révélation, la modification ou autre usage non autorisé de la clé privée correspondant à une clé publique d’un certificat. Dans le cas d’un événement affectant la confidentialité de la clé privée d’un certificat, le souscripteur doit demander la révocation du certificat concerné,
  • à respecter la législation française relative à l’utilisation des certificats,
  • ATTENTION ! Le certificat permet de signer le contenu du message, mais PAS les en-têtes ; il faut donc mettre dans le contenu tous les éléments relatifs au message comme les destinataires par exemple. En fait il faut rédiger son message comme un courrier papier qui pourrait se retrouver sur le mauvais bureau.

Comment obtenir votre certificat personnel ?

Définir un mot de passe principal

Utiliser un certificat qui ne serait pas protégé vous expose à la divulgation de messages sensibles qui vous auraient été adressés avec chiffrement, ou à ce qu'un tiers signe en votre nom des messages dont vous ne seriez pas l'auteur.

Avant toute chose, vous devez (si ce n'est pas déjà fait) positionner un "mot de passe principal de sécurité" dans l'application qui utilisera votre certificat (Firefox, Thunderbird...). Il protège les mots de passe sauvegardés et les certificats personnels. Voici comment procéder dans Firefox.

Génération de votre certificat personnel

  • Allez sur le formulaire ad hoc de TCS, indiquez votre établissement et authentifiez-vous si besoin puis choisissez :
    • une date d'expiration (Term), de 1095 jours maximum,
    • Key Generation comme méthode d'enrôlement,
    • RSA-8192 comme type de clé,
    • le mot de passe qui protège le certificat que vous allez télécharger (P12 password). Il est simple et sûr d'utiliser le même mot de passe que le mot de passe principal de sécurité pour Thunderbird.
  • Cochez la case d'acceptation des termes, puis cliquez sur Agree
  • Cliquez sur Submit

Ecran de génération de votre certificat

A cette étape, votre certificat a été généré, il est dans le fichier avec l'extension ".p12" que vous avez enregistré.

Utilisation

Les certificats personnels sont utilisés le plus souvent pour de la signature de message. Pour installer votre certificat, voir cette page : mode d'installation d'un certificat dans Thunderbird.

Si vous avez des difficultés, expliquez votre problème dans le ticket de suivi de votre demande.