accès au si de rte par certificats logiciels sous ... · accès au si de rte par certificats...

Programmes & SI (PSI)

TOUR MARCHAND 41 RUE BERTHELOT - 92411 COURBEVOIE CEDEX TEL : 01.78.66.50.00 - FAX : 01.78.66.50.64

www.rte-france.com

05-09-00-LONG

Accès au SI de RTE par certificats logiciels sous Microsoft Windows 7

Manuel Utilisateur PKI

Indice 2.0, 01/02/2014

Accès au SI par certificats logiciels

sous Microsoft Windows Seven Manuel Utilisateur PKI

Page : 2/140

Copyright RTE. Ce document est la propriété de RTE. Toute communication, reproduction, publication même partielle est interdite sauf autorisation écrite du Gestionnaire du Réseau de Transport d'Electricité (RTE)

SOMMAIRE

A. Avant-propos 6

1. Introduction 7

1.1 Objet du document 7

1.2 Contexte 7

1.3 Avertissement relatif aux pratiques de sécurité 8

1.4 Les acteurs 8

1.4.1 Le client 8

1.4.2 L’Autorité d’Enregistrement (AE) 9

1.4.3 Autorité de Certification (AC) 9

B. Procédures de gestion des certificats 10

2. Processus de gestion des certificats 11

2.1 Avant-propos 11

2.2 Demande de certificat logiciel 11

2.2.1 Étapes préalables 11

2.2.2 Schéma général 12

2.3 Renouvellement des certificats 12

2.4 Révocation des certificats 13

2.4.1 Cas de révocation 13

2.4.2 Demande de révocation 13

C. Configuration du poste 14

3. Installation et configuration du poste 15

3.1 Configuration réseau 15

3.1.1 Configuration générale 15

3.1.2 Spécificité de l’accès VPN 15

3.2 Configuration logicielle 17

D. Accès web au SI de RTE 18

4. Microsoft Internet Explorer 19

4.1 Configuration préalable 19

4.1.1 Configuration des paramètres de sécurité 19

4.1.2 Ajouts des sites de confiance 20

4.2 Installation du certificat racine de l’AC RTE 22

4.2.1 Téléchargement et installation 22



Page : 3/140


4.2.2 Visualisation et vérification du certificat racine de l’AC RTE 25

4.3 Installation de votre certificat personnel 26

4.3.1 Identification sur l’interface de retrait 26

4.3.2 Téléchargement de votre certificat 28

4.3.3 Installation de votre certificat personnel 30

4.3.4 Visualisation et vérification de votre certificat logiciel 33

4.4 Utilisation de votre certificat 35

4.4.1 Authentification et chiffrement 35

4.4.2 Exemple d’accès à une application web RTE 36

4.5 Opérations complémentaires 37

4.5.1 Export de votre certificat personnel 37

4.5.2 Suppression de votre certificat personnel 40

4.6 Connexion au VPN SSL 41

4.6.1 Avant-propos 41

4.6.2 Pré-requis 42

4.6.3 Première connexion 43

4.6.4 Utilisation du VPN SSL 47

5. Mozilla Firefox 49

5.1 Configuration préalable 49


5.2.1 Téléchargement et installation 49

5.2.2 Visualisation et vérification du certificat de l’AC RTE 53


5.3.1 Identification sur l’interface de retrait 56

5.3.2 Téléchargement de votre certificat 58

5.3.3 Installation de votre certificat personnel 60

5.3.4 Visualisation et vérification de votre certificat logiciel 62

5.4 Utilisation de votre certificat 64

5.4.1 Authentification et chiffrement 64

5.4.2 Exemple d’accès à une application web RTE 64

5.5 Opérations complémentaires 65

5.5.1 Définir le mot de passe principal de sécurité personnelle 65

5.5.2 Export de votre certificat personnel 67

5.5.3 Suppression de votre certificat personnel 69

5.6 Connexion au VPN SSL 71

5.6.1 Avant-propos 71

5.6.2 Pré-requis 71

5.6.3 Première connexion 73

5.6.4 Utilisation du VPN SSL 76



Page : 4/140


E. Echanges mails avec le SI de RTE 79

6. Utilisation de votre certificat pour des échanges m ails 80

6.1 Principe d’utilisation du certificat 80

6.2 Déchiffrement et vérification de la signature d’un message reçu 80

6.3 Chiffrement et signature d’un message envoyé 80

6.4 Etapes de configuration de votre client de messagerie 81

7. Microsoft Outlook 2007 82



7.3 Configuration du compte de messagerie 82

7.4 Installation du certificat de l’application RTE 84

7.5 Utilisation du certificat : envoi d’un mail chiffré-signé 85

8. Microsoft Outlook 2010 87






9. Mozilla Thunderbird 94


9.1.1 Téléchargement des certificats racines des AC de RTE 94

9.1.2 Installation du certificat de l’AC actuelle de RTE 95

9.1.3 Visualisation du certificat racine de l’AC de RTE 98





10. Lotus Notes 7.0.2 105



10.2.1 Création d’un fichier PKCS#12 lisible par Notes 105

10.2.2 Installation du fichier PKCS#12 dans Notes 106

10.2.3 Visualisation du certificat 112




11. Lotus Notes 8.5 116



11.2.1 Création d’un fichier PKCS#12 lisible par Notes 116



Page : 5/140


11.2.2 Installation du fichier PKCS#12 dans Notes 117

11.2.3 Visualisation du certificat 123




F. Annexes 128

12. Environnement sécurisé (PKI) 129

12.1 Concepts et objets gérés par une PKI 129

12.1.1 Qu’est-ce qu’un processus sécurisé ? 129

12.1.2 Le rôle du bi-clé 131

12.1.3 Les certificats 133

12.2 Documentation 135

13. Glossaire 136

14. Traitement d’incident et support 139

14.1 Support 139

14.2 Foire aux questions (FAQ) 139

14.3 Codes d’erreur retournés par mail 140



Page : 6/140


A. AVANT-PROPOS



Page : 7/140


1. Introduction

1.1 Objet du document

Ce document est destiné à l’utilisateur final qui souhaite accéder au SI de RTE par certificats logiciels sous Microsoft Windows Seven.

Le présent document permet au porteur de :

• comprendre le contexte et les principes d’un environnement sécurisé (authentification, confidentialité, intégrité et non-répudiation), ainsi que le fonctionnement général d’une infrastructure de gestion de clés publiques (IGC, ou PKI en anglais).

• savoir installer et utiliser ses certificats logiciels dans les environnements suivants :

o Microsoft Windows Seven.

o Navigateurs : Internet Explorer et Mozilla Firefox pour des accès sécurisés avec le protocole HTTPS.

o Clients de messagerie : Microsoft Outlook, IBM Lotus Notes, Mozilla Thunderbird pour des échanges sécurisés au format S/MIME (une norme de cryptographie et de signature numérique de mails encapsulés au format MIME).

NOTE

Tout au long de ce document, le pronom « vous » représente l’utilisateur du certificat.

1.2 Contexte

Dans le cadre de la loi du 10 février 2000 (2000-108) et du décret d’application 2001-630 du 16 juillet 2001, le gestionnaire du réseau public de transport a l’obligation de préserver la confidentialité des informations d’ordre économique, commercial, industriel, financier ou technique dont la communication serait de nature à porter atteinte aux règles de concurrence libre et loyale et de non-discrimination imposées par la loi.



Page : 8/140


1.3 Avertissement relatif aux pratiques de sécurité

Chaque porteur de certificat logiciel possède sa propre clé privée, l’ensemble (certificat et clé privée associée) est généré par RTE et mis à disposition du porteur pour téléchargement sous forme d’un fichier protégé par un mot de passe (fichier PKCS#12, d’extension « .p12 »). Puis, chaque porteur de certificat logiciel prend toutes les précautions nécessaires pour empêcher :

• la violation de sa clé privée,

• la perte de sa clé privée,

• la divulgation de sa clé privée,

• la modification de son certificat,

• l’usage abusif de son certificat.

Chaque porteur a et reconnaît avoir l’entière responsabilité de la protection de sa ou de ses clé(s) privée(s). Les clés privées et leur certificat associé sont stockés sur disque dur, d’où leur nom de « logiciels ». Ces clés privées logicielles peuvent être protégées par un mot de passe uniquement connu du porteur.

L’autorité de certification (AC) « RTE Certification Authority » décline toute responsabilité quant aux litiges liés à une mauvaise utilisation des clés privées.

1.4 Les acteurs

La gestion du cycle de vie d’un certificat s’articule autour de trois entités :

• le client (i.e. votre entreprise),

• l’Autorité d’Enregistrement (AE),

• l’Autorité de Certification (AC).

NOTE

Pour mieux comprendre, on peut faire le parallèle avec l’attribution de justificatifs d’identité officiels : le citoyen demandeur d’un justificatif d’identité correspond à l’entité client, la mairie est l’autorité d’enregistrement et la préfecture, l’autorité de certification.

1.4.1 Le client

Le client réalise des demandes de certificats pour ses porteurs. Il peut également émettre des demandes de révocation de ces certificats (voir section B : procédures de gestion de certificats).



Page : 9/140


1.4.2 L’Autorité d’Enregistrement (AE)

L’Autorité d’Enregistrement (le chargé de relation clientèle de RTE et l’équipe Opérateur) recueille la demande de certificat, appose une date de validité des certificats et vérifie l’identité de leurs porteurs.

1.4.3 Autorité de Certification (AC)

L’Autorité de Certification (RTE) est responsable et garante des certificats signés en son nom et du fonctionnement de la PKI. Elle définit la politique pour la gestion et l’utilisation des certificats.

L’autorité de certification RTE se nomme :

CN = RTE Certification Authority, O = RESEAU DE TRANSPORT D'ELECTRICITE

Programmes & SI (PSI)

TOUR MARCHAND 41 RUE BERTHELOT - 92411 COURBEVOIE CEDEX TEL : 01.78.66.50.00 - FAX : 01.78.66.50.64

www.rte-france.com

05-09-00-LONG

B. PROCEDURES DE GESTION DES CERTIFICATS



Page : 11/140


2. Processus de gestion des certificats

2.1 Avant-propos

Les principaux processus mis en œuvre pour gérer l’ensemble des certificats numériques délivrés aux porteurs sont les suivants :

• l’obtention d’un certificat (obtention d’un ou de plusieurs certificats),

• le renouvellement d’un certificat (remplacement de son certificat par un nouveau pour une nouvelle période de validité et pour une nouvelle bi-clé),

• la révocation d’un certificat (fin de validité du certificat).

2.2 Demande de certificat logiciel

2.2.1 Étapes préalables

Au préalable, les étapes suivantes doivent être effectuées.

• Le représentant de la société a fait une demande d’ accès :

Le représentant de la société doit avoir rempli et signé les formulaires « demandes d’accès aux services SI et aux Applications RTE » envoyés par son Chargé de Relation Clientèle, puis les lui avoir retournés.

Dans ces formulaires, le représentant de la société précise notamment :

o un « Email de contact » qui recevra les informations nécessaires au retrait du certificat (cf. §2.2.2),

o un « Email du certificat »,

o un « Mot de passe choisi », nécessaire au retrait du certificat par le porteur.

• Nous avons enregistré la demande :

Suite à la réception des formulaires, nous avons créé votre/vos compte(s) d’accès aux applications.



Page : 12/140


2.2.2 Schéma général

Une fois la demande de certificat enregistrée et validée par nos services (dans un délai de 5 jours ouvrés), un mail de notification est envoyé à l’adresse « Email de contact » renseignée dans le formulaire de demande d’accès (cf. §2.2.1). Il s’intitule « Accès aux services SI de RTE » et contient :

• un résumé de la procédure de retrait du certificat,

• l’ « Email du certificat » et le « Code de retrait » demandés par le site web lors du retrait de votre certificat,

• le « Mot de passe » protégeant le fichier PKCS#12 (d’extension « .p12 ») que vous téléchargez lors du retrait de votre certificat.

En cas de perte ou de non-réception de ce message, contacter la Hotline RTE.

Représentantde la société

RTE

Envoi de la demande d’accès au SI RTE

Mot de passe choisiEmail de contact

Informations de retrait

Code de retraitMot de passe du fichier PKCS#12

Email du certificat

5 j. ouvrés

Porteur(Email de contact)

Cinématique des échanges

Le porteur devra alors se connecter depuis son poste informatique sur le site Web de retrait de certificats logiciels et pourra télécharger sa clé privée et le certificat associé sur son poste sous forme de fichier PKCS#12 (d’extension « .p12 »).

2.3 Renouvellement des certificats

Les certificats ont une durée de vie limitée à 3 an s, afin de leur conférer un niveau de sécurité élevé.

Quarante jours avant l’expiration d’un certificat, un message électronique est envoyé à l’email de contact pour informer le porteur de l’expiration prochaine de son certificat logiciel.

Si pour l’occasion des modifications doivent être opérées au niveau des informations du porteur, alors le représentant de la société contacte le chargé de relation clientèle RTE pour lui communiquer les changements.

Sinon, un mail est envoyé à l’email de contact avec les informations nécessaires au retrait de son nouveau certificat.



Page : 13/140


2.4 Révocation des certificats

2.4.1 Cas de révocation

Le responsable de la société doit effectuer une demande de révocation lorsque l’une des circonstances ci-dessous se réalise :

• changement de porteur,

• perte, vol, compromission ou suspicion de compromission possible, probable ou certaine de la clé privée associée au certificat du porteur,

• décès ou cessation d’activité du porteur de certificat,

• perte des données d’activation, support défectueux ou perdu.

2.4.2 Demande de révocation

Pour révoquer un certificat, le responsable de la société doit appeler la Hotline RTE.

Lorsque le certificat est révoqué, un mail est envoyé à l’email de contact pour notifier le porteur de la révocation de son certificat.



Page : 14/140


C. CONFIGURATION DU POSTE



Page : 15/140


3. Installation et configuration du poste

Toutes les manipulations de ce chapitre ne sont à e xécuter qu’une seule fois par un informaticien Administrateur de votre poste de t ravail, lors de la réception de votre « Kit d’Accès PKI ».

De plus, notez que seuls quelques chapitres de ce manuel vous concernent : les chapitres correspondant aux logiciels que vous utilisez.

Toutes les opérations sont à faire sous la session Windows du porteur du certificat.

3.1 Configuration réseau

3.1.1 Configuration générale

L’accès par navigateur web utilise – de façon transparente pour l’utilisateur – un système d’authentification par certificat logiciel pour l’accès au portail RTE et de chiffrement des données échangées via Internet (protocole HTTPS).

Les mails échangés entre RTE et l’utilisateur sont acheminés sur Internet (protocole SMTP, format S/MIME).

3.1.2 Spécificité de l’accès VPN

Le VPN permet à partir de votre poste de travail d’établir une connexion sécurisée (basée sur l’authentification auprès d’un site dédié) au SI de RTE via Internet.

REMARQUE IMPORTANTE

Les passerelles de messagerie et d’anti-virus, les pare-feu et analyseurs de contenu doivent être configurés pour ne pas altérer ou refuser les messages chiffrés et signés au format S/MIME (application/x-pkcs7-mime, .p7s, .p7m), ni interdire le flux de données HTTPS (port 443).

L’administrateur réseau pourra être sollicité pour effectuer ces opérations.



Page : 16/140


L’accès au VPN SSL nécessite que votre poste de travail puisse résoudre l’adresse secure.iservices.rte-france.com .

Pour vérifier si c’est le cas, ouvrez votre menu Démarrer et cliquez sur « Exécuter ». Dans la fenêtre qui apparaît, saisissez la commande :

cmd /k ping secure.iservices.rte-france.com

Cliquez sur le bouton OK.

Une fenêtre apparaît contenant des informations :

• Si la première ligne commence par « Envoi d'une requête 'ping' sur secure.iservices.rte-france.com », l’adresse secure.iservices.rte-france.com est résolue. Votre poste est correctement configuré.

• Si la première ligne commence par « La requête Ping n'a pas pu trouver l'hôte secure.iservices.rte-france.com. », l’adresse secure.iservices.rte-france.com n’est pas résolue. Veuillez contacter votre support informatique afin qu’ils effectuent les modifications nécessaires.



Page : 17/140


3.2 Configuration logicielle

La configuration logicielle requise pour votre poste informatique est la suivante :

Systèmes d’exploitation :

• Microsoft Windows Seven 32 bits sans SP ou avec SP1

• Microsoft Windows Seven 64 bits sans SP ou avec SP1

Navigateurs Web au choix :

• Microsoft Internet Explorer 9 ou 10

• Mozilla Firefox 24 ESR

Clients de messagerie au choix :

• Microsoft Outlook 2007 ou 2010

• Mozilla Thunderbird 24.0 ESR

• IBM Lotus Notes 7.0.2. et 8.5

REMARQUE

En général, la consultation des messages sur une interface de type webmail ne permet pas de signer ses messages.



Page : 18/140


D. ACCES WEB AU SI DE RTE

Veuillez vous reportez directement au chapitre associé au navigateur que vous utilisez par défaut pour vos échanges Web avec RTE :

• Chapitre 4 si vous utilisez Microsoft Internet Explorer comme navigateur web

• Chapitre 5 si vous utilisez Mozilla Firefox comme navigateur web



Page : 19/140


4. Microsoft Internet Explorer

4.1 Configuration préalable

4.1.1 Configuration des paramètres de sécurité

il s'agit de configurer le poste pour supporter le standard SSL, permettant d'accéder à des sites avec une connexion chiffrée (protocole HTTPS).

Dans le navigateur, sélectionnez le menu « Outils > Options Internet… » :

Sélectionnez l’onglet « Avancés » :

Dans la section « Sécurité », assurez-vous que les cases SSL 2.0, SSL 3.0 et TLS 1.0 sont cochées, comme indiqué ci-dessus.



Page : 20/140


4.1.2 Ajouts des sites de confiance

Afin de pouvoir vous authentifier sur des sites Internet avec votre certificat logiciel, il est impératif d’ajouter ces sites à la liste des sites de confiances.

La zone Sites de confiance permet de déclarer des noms de sites que vous estimez sûrs.

Pour ce paragraphe, vous devez être connecté au poste de travail avec l e compte Windows qui utilisera le certificat logiciel .

Pour cela, ouvrez Internet Explorer et cliquez sur le menu « Outils > Options Internet ».

Dans la fenêtre qui s’ouvre, cliquez sur l’onglet « Sécurité ». Sélectionnez l’icône « Sites de confiance », puis cliquez sur le bouton « Sites ».



Page : 21/140


La fenêtre suivante s’ouvre.

Dans le champ « Ajouter ce site Web à la zone », saisissez l’URL suivante :

https://kregistration-user.certificat2.com

Puis cliquez sur le bouton « Ajouter ».

Le site apparaît alors dans la liste « Sites Web » comme sur l’écran ci-dessous.

Procédez de la même manière pour ajouter les sites suivants :

https://portail.iservices.rte-france.com

https://secure.iservices.rte-france.com

Les 3 sites doivent maintenant apparaître dans la liste « Sites Web ».

Cliquez sur « Fermer », puis sur « OK ».



Page : 22/140


4.2 Installation du certificat racine de l’AC RTE

4.2.1 Téléchargement et installation

Il faut à présent installer le certificat racine de RTE dans votre navigateur afin que RTE soit reconnu comme Autorité de Certification de confiance.

Pour ce faire, veuillez aller à l’adresse suivante :

REMARQUE IMPORTANTE

Il est impératif de respecter la casse (majuscules/minuscules) de l’adresse du site.

https://kregistration-user.certificat2.com/kreg-resources/CSS/RTE/RTE/Certification_Autority_RTE_2048.cer

La fenêtre de téléchargement s’affiche.

Cliquez sur le bouton « Enregistrer » et sélectionnez un emplacement où enregistrer le fichier « Certification_Autority_RTE_2048.cer » contenant le certificat racine.

Une fois le téléchargement terminé, la fenêtre suivante s’affiche.

Cliquez sur « Ouvrir le dossier » pour vous rendre dans le répertoire où vous avez enregistré le fichier.



Page : 23/140


Faites un clic-droit sur le fichier « Certification_Autority_RTE_2048.cer » que vous venez de télécharger, et choisissez « Installer le certificat ».

L’assistant d’installation du certificat s’affiche :

Cliquez sur le bouton « Suivant ».



Page : 24/140


Cochez la case « Placer tous les certificats dans le magasin suivant » et cliquez sur « Parcourir ».

Dans la fenêtre qui s’ouvre, sélectionnez « Autorités de certification racines de confiance » et cliquez sur « OK ».

Cliquez sur « Suivant ».

Cliquez sur « Terminer », la fenêtre suivante affiche alors les certificats racines importés.

Le message suivant s’affiche :

Cliquez sur « Oui » (la vérification du certificat de l’AC RTE sera faite au chapitre suivant).



Page : 25/140


Cliquez sur « OK ».

4.2.2 Visualisation et vérification du certificat r acine de l’AC RTE

Le certificat racine, que vous venez d’importer, est rangé dans le magasin des autorités principales de confiance d’Internet Explorer.

Pour les visualiser, cliquez sur le menu « Outils > Options Internet… », onglet « Contenu », bouton « Certificats… », onglet « Autorités principales de confiance » :

Sélectionnez le certificat « RTE Certification Authority »

Cliquez sur le bouton « Affichage », puis sur l’onglet « Détails ».

Pour vous assurer de l’authenticité de ce certificat, vérifiez soigneusement que l’empreinte numérique « SHA1 » ou « MD5 » lié au certificat « RTE Certification Authority » est identique à celles présentées ci-dessous.

Empreintes numériques du certificat « RTE Certifica tion Authority »

SHA1 39:83:D6:10:A2:C4:D5:60:45:A0:C1:D0:E3:FA:E1:42:45:8A:37:12

MD5 77:4C:12:7D:FD:1D:36:9E:8A:21:85:73:7C:2D:44:77

Si ce n’est pas le cas, supprimez le certificat et appelez notre Hotline.



Page : 26/140


4.3 Installation de votre certificat personnel

4.3.1 Identification sur l’interface de retrait

La demande de certificat logiciel doit avoir été complétée conformément à la procédure du chapitre 2.2.

Pour effectuer le retrait vous avez besoin des informations suivantes (voir §2.2.2) :

• Mot de passe choisi que vous ou le responsable de votre société avez choisi et fourni à RTE dans le formulaire de demande d’accès au SI de RTE (voir §2.2.1).

• Email du certificat , Code de retrait et Mot de passe du fichier PKCS#12 présents dans le mail « Accès aux services SI de RTE ».

Pour vous simplifier la tâche vous pouvez faire un copier-coller des différentes valeurs en prenant soin de ne pas copier d’espace en début ou en fin.

Pour créer votre certificat et la clé privée associée, connectez-vous sur le site Web de retrait de certificats :

REMARQUE IMPORTANTE


https://kregistration-user.certificat2.com/RTE/RTE/Logiciel3:I

Cliquez sur le bouton « Retrait de votre certificat personnel ».



Page : 27/140


Remplissez le champ « Email du certificat » avec la valeur indiquée dans le mail « Accès aux services SI de RTE ».

Cliquez sur « Envoyer ».

Remplissez les champs :

• « Code de retrait » comme indiqué dans le mail « Accès aux services SI de RTE ».

• « Mot de passe choisi » qui est le mot de passe que vous ou le responsable de votre société avez choisi et fourni à RTE dans le formulaire demande d’accès au SI de RTE (voir §2.2.1).

Enfin, cliquez sur « Envoyer ».



Page : 28/140


4.3.2 Téléchargement de votre certificat

La page suivante s’affiche.

Cliquez sur « Télécharger ».

Dans la fenêtre qui s’affiche, cliquez sur « Enregistrer ».



Page : 29/140


Choisissez un répertoire pour sauvegarder votre certificat, puis cliquez sur « Enregistrer ».

Une fenêtre indique la progression du téléchargement. Une fois le téléchargement terminé, cliquez sur « fermer le dossier ».

Le dossier contenant votre certificat personnel apparaît.

IMPORTANT

Une fois téléchargé, le fichier PKCS#12 (d’extension « .P12 ») contenant votre certificat et sa clé privée associée, doivent être sauvegardé sur un support amovible (e.g. une disquette), que vous mettrez au coffre afin d’en protéger l’accès.

Conservez également le mail « Accès aux services SI de RTE » qui contient son mot de passe.



Page : 30/140


4.3.3 Installation de votre certificat personnel

Allez dans le répertoire de sauvegarde du fichier téléchargé.

Effectuez un double-clic sur le fichier « certificate.p12 » contenant votre certificat. Si le double-clic ne lance pas l’assistant d’installation des certificats, faites un clic droit sur le fichier « certificate.p12 » et choisissez « Installer PFX ».


Le nom du fichier contenant votre certificat est automatiquement renseigné, cliquez sur « Suivant ».



Page : 31/140


La fenêtre ci-dessous s’affiche :

• Dans le champ « Mot de passe », entrez le « Mot de passe » présent dans le mail « Accès aux services SI de RTE ».

• La case « Activer la protection renforcée des clés privées » est optionnelle. Cochez-là si vous souhaitez définir un mot de passe qui sera demandé avant chaque utilisation de votre clé privée dans Internet Explorer.

• La case « Marquer cette clé comme exportable » est optionnelle. Cochez-là si vous souhaitez pouvoir exporter votre clé privée par la suite (voir chapitre 4.5.1 pour réaliser un export).

• Cochez la case « Inclure toutes les propriétés étendue ».


Sélectionnez la première case, puis cliquez sur « Suivant »

Enfin, cliquez sur « Terminer ».



Page : 32/140


Si vous avez coché la case « Activer la protection renforcée des clés privées » deux écrans plus tôt, alors la fenêtre suivante s’affiche :

Cliquez sur le bouton « Définir le niveau de sécurité ».

Sélectionnez la case « Haut », puis cliquez sur le bouton « Suivant ».

Saisissez un nom pour la clé privée à protéger et un mot de passe , puis cliquez sur le bouton « Terminer ». Attention : ce mot de passe vous sera demandé à chaque utilisation du certificat.

Cliquez sur le bouton « OK ».

Finalement, la fenêtre suivante s’affiche :

Cliquez sur le bouton « OK ».

Votre certificat, votre clé privée et le certificat racine de l’AC RTE ont été importés dans Internet Explorer.



Page : 33/140


4.3.4 Visualisation et vérification de votre certif icat logiciel

Quel que soit le navigateur utilisé, le contenu du certificat téléchargé est évidemment le même, seule la présentation des informations à l’écran diffère. Dans le cas du téléchargement par Internet Explorer, ouvrez le magasin de certificats, par le menu « Outils > Options Internet », onglet « Contenu », bouton « Certificats… » :

Sélectionnez votre certificat, puis cliquez sur « Affichage ».



Page : 34/140


Sa validité est de 3 ans à partir de la date de retrait.

L’onglet « Chemin de certification » permet de vérifier la validité de votre certificat. L’état « valide » de votre certificat ainsi que la visualisation complète du chemin d’accès de la certification (2 niveaux) indiquent que votre certificat a été correctement installé ainsi que le certificat racine, et, donc, que toutes les conditions d’utilisation correctes de votre certificat sont réunies.



Page : 35/140


L’onglet « Détails » vous permet de visualiser le nom complet du porteur et l’adresse mail auxquels sont rattachés le certificat.

4.4 Utilisation de votre certificat

4.4.1 Authentification et chiffrement

Étapes à suivre :

• lancez Internet Explorer,

• saisissez l’URL de l’application RTE ou du « Portail Services Clients de RTE » : https://portail.iservices.rte-france.com

• lors de l’authentification, le navigateur vous demandera de choisir le certificat devant servir à vous authentifier, puis le mot de passe de protection du magasin de certificats si celui-ci a été défini,

• si plusieurs certificats vous sont présentés, vous devrez choisir celui qui vous a été fourni pour l’application à laquelle vous allez accéder (utiliser le bouton « Afficher le certificat » pour visualiser leur contenu),

Une fois l’authentification terminée, toutes les données que vous recevez ou envoyez seront chiffrées.



Page : 36/140


4.4.2 Exemple d’accès à une application web RTE

Saisissez l’URL de l’application (commençant par « https ») dans la barre d’adresse d’Internet Explorer puis validez.

Puis, Internet Explorer vous demande de choisir un certificat vous permettant de vous authentifier auprès du site demandé.

La ligne « Cliquez ici pour afficher les propriétés… » vous permet de visualiser le contenu du certificat sélectionné. Cliquez sur « OK ».

La fenêtre ci-dessous vous demande le mot de passe qui protège la clé privée associée à votre certificat si celui-ci a été défini.

La page d’accueil est alors affichée de façon sécurisée (apparition du cadenas fermé à droite du champ de saisi de l’URL) :



Page : 37/140


4.5 Opérations complémentaires

4.5.1 Export de votre certificat personnel

Ce paragraphe explique comment sauvegarder son certificat avec sa clé privée et le certificat racine. La procédure consiste à générer un fichier au format PKCS#12 (d’extension « .pfx »), protégé par un mot de passe.

Vous ne pouvez exporter votre certificat et sa clé privée que si vous avez coché « Marquer cette clé comme exportable » lors de l'installation de votre certificat personnel (cf. §4.3.3).

Sous Internet Explorer, cliquez sur le menu « Outils > Options Internet… » et cliquez sur l’onglet « Contenu », puis sur le bouton « Certificats… » :

Sélectionnez votre certificat, puis cliquez sur « Exporter… ».



Page : 38/140


Cliquez sur le bouton « Suivant ».

Sélectionnez « Oui, exporter la clé privée », puis cliquez sur le bouton « Suivant ».

Sélectionnez la case à cocher « Inclure tous les certificats dans le chemin d’accès de certification si possible », puis cliquez sur le bouton « Suivant ».

Saisissez un mot de passe de votre choix pour protéger le fichier PKCS#12, puis cliquez sur « Suivant ».



Page : 39/140


Sélectionnez l’emplacement du fichier PKCS#12, puis cliquez sur le bouton « Suivant ».

Enfin, cliquez sur le bouton « Terminer ».

Cliquer sur « OK ».

Vous venez d’exporter vers un fichier au format standard PKCS#12, protégé par un mot de passe, votre certificat, sa clé privée et la racine de l’AC. Ces éléments ont donc été exportés, mais restent bien sûr présents dans le magasin d’Internet Explorer.



Page : 40/140


4.5.2 Suppression de votre certificat personnel

Ce paragraphe détaille la procédure pour supprimer un certificat et sa clé privée du magasin de certificat d’Internet Explorer.

IMPORTANT

Avant de supprimer votre certificat personnel, assurez-vous d’en posséder une copie. Si ce n’est pas le cas, reportez-vous au §4.5.1 pour exporter votre certificat et sa clé privée sous forme de fichier PKCS#12.

Sous Internet Explorer, allez dans : « Outils > Options Internet » et cliquez sur l’onglet « Contenu », puis sur le bouton « Certificats… » :

Sélectionnez le certificat à supprimer et cliquez sur « Supprimer ».

Cliquez sur « Oui ».



Page : 41/140


Le certificat est supprimé de la liste des certificats.

4.6 Connexion au VPN SSL

4.6.1 Avant-propos

La connexion via VPNSSL est un service permettant l’établissement d’un canal de communication sécurisé au FrontOffice RTE à travers Internet. Ce canal est établi après authentification avec votre certificat auprès d’un site dédié (cf §4.4). Une fois le canal établi, toutes vos communications avec le service RTE demandé seront chiffrées.

L’utilisation du VPNSSL nécessite l’installation d’un outil dédié, installé lors de la première connexion au site. Cette application se nomme Windows Secure Application Manager (WSAM).

Le VPNSSL permet l’accès sécurisé à vos boîtes aux lettres hébergées sur le FrontOffice RTE.



Page : 42/140


4.6.2 Pré-requis

Le site secure.iservices.rte-france.com doit être déclaré comme site de confiance (cf. §4.1.2)

IMPORTANT

Avant d’effectuer votre première connexion, vous devez impérativement vérifier que votre poste de travail puisse résoudre l’adresse secure.iservices.rte-france.com (cf §3.1).

4.6.2.1 Recommandation

JIS (Juniper Installation Service) est un service Windows mis à disposition sur le site client de RTE. Ce service permet, une fois installé, de mettre à jour les futures versions du WSAM sans demander l’intervention d’une personne ayant les privilèges administrateur de la machine.

L’installation de ce service reste néanmoins optionnelle, mais nous vous recommandons de l’installer, par un administrateur.

Pour se faire, télécharger l’exécutable sous le lien :

http://clients.rte-france.com/lang/fr/visiteurs/acc ueil/portail.jsp



Page : 43/140


Et décompresser le fichier compressé :

Une fois le fichier exécuté, la fenêtre suivante apparaît, puis démarre le service. Ce dernier sera automatiquement activé à chaque lancement du système d’exploitation.

4.6.3 Première connexion

Ce paragraphe concerne uniquement votre première connexion au VPN SSL avec Internet Explorer 9.

IMPORTANT

La première connexion doit être faite par un inform aticien Administrateur de votre poste de travail afin que l’installation de l’application WSAM puisse être effectuée.

Avant de poursuivre, il faut désactiver les contrôles ActiveX. Pour se faire, cliquez sur le bouton Outils , et faite en sorte que « Filtrage ActiveX » soit bien désactivé ».



Page : 44/140


Lancez votre navigateur et aller sur le site suivant :

https://secure.iservices.rte-france.com/

La fenêtre suivante apparaît :

Sélectionnez votre certificat, puis cliquez sur le bouton « OK ».

Si nécessaire, cette fenêtre vous demandera le mot de passe qui protège la clé privée associée à votre certificat.

La navigateur affiche alors un lien pour installer le WSAM :



Page : 45/140


Si aucune intervention manuelle est effectuée, le pop-up d’installation suivant apparaît :

Sinon, l’écran suivant s’affiche :

Le client Juniper s’installe alors. A la fin de l’installation, cliquer sur « Close » :

Le client d’installation a été installé. Cliquer maintenant sur le mot « ici » apparaissant au bas de la page pour continuer:

La fenêtre suivante s’ouvre alors, cliquez sur « Installer » :



Page : 46/140


L’installation de l’application WSAM débute alors :

Patientez durant toute la durée de l’installation.

Une fois l’installation terminée, la page ci-après s’affiche :

Si votre accès à Internet nécessite une authentification auprès d‘un proxy, une fenêtre s’affiche pour vous demander vos identifants de connexion. Saisissez les et validez.

Puis, l’icône apparaît dans votre barre des tâches.

Cliquez sur le bouton « Déconnexion » (en haut à droite de la page) pour terminer la session :



Page : 47/140


4.6.4 Utilisation du VPN SSL

4.6.4.1 Etablissement de la connexion




Sélectionnez votre certificat, puis cliquez sur le bouton « OK ».

Si nécessaire, une fenêtre vous demandera le mot de passe qui protège la clé privée associée à votre certificat.

L’application WSAM se lance automatiquement et la page ci-après s’affiche :

Si votre accès à Internet nécessite une authentification auprès d‘un proxy, une fenêtre s’affiche pour vous demander vos identifants de connexion. Saisissez les et validez.

Puis, l’icône apparaît dans votre barre des tâches.

Remarques :

• Le certificat sert uniquement à l’établissement de la connexion au VPN SSL.

• Pour fermer la session VPN SSL, cliquez sur le bouton Déconnexion (en haut à droite de la page).



Page : 48/140


4.6.4.2 Utilisation pour l’accès aux boîtes aux let tres hébergées

Le VPNSSL peut être utilisé pour accéder aux boîtes aux lettres hébergées sur le FrontOffice avec un client de messagerie standard.

L’accès aux boîtes aux lettres hébergées nécessite que la connexion au VPNSSL soit établie (voir §4.6.4.1).

La configuration du compte de messagerie dans votre client de messagerie se fait ensuite de manière standard avec les paramètres suivants :

• Type de serveur de messagerie : Serveur POP

• Adresse du serveur POP : pop.services.rte-france.com

• Adresse du serveur SMTP : smtp.services.rte-france.com

Lorsque vos accès au FrontOffice RTE vous sont four nis, vous recevez votre identifiant de connexion (login), vot re mot de passe et votre adresse mail.

REMARQUE

Etant donné que les messages sont transférés à travers un canal sécurisé, l’envoi et la réception de mails ne nécessitent pas l’utilisation d’un certificat pour le chiffrement des messages.



Page : 49/140


5. Mozilla Firefox

5.1 Configuration préalable

il s'agit de configurer le poste pour supporter le standard SSL, permettant d'accéder à des sites avec une connexion chiffrée (protocole HTTPS).

Dans le menu « Outils > Options… », choisissez la rubrique « Avancé », onglet « Chiffrement ».

Dans cette fenêtre, sélectionnez les 2 cases « Utiliser SSL 3.0 » et « Utiliser TLS 1.0 » :


5.2.1 Téléchargement et installation

Il faut à présent installer le certificat racine de l’Autorité de Certification RTE dans votre navigateur afin que RTE soit reconnu comme Autorité de Certification de confiance.

Pour ce faire, veuillez aller à l’adresse suivante :




Page : 50/140


Sélectionnez « Enregistrer le fichier » et cliquez sur « OK ». Un emplacement où enregistrer le fichier « Certification_Autority_RTE_2048.cer » vous sera éventuellement demandé.



Page : 51/140


Une fois le fichier téléchargé, allez dans le menu « Outils > Options… », choisissez la rubrique « Avancé », onglet « Chiffrement ».

Cliquez sur le bouton « Afficher les certificats ».

Sélectionnez l’onglet « Autorités » et cliquez sur « Importer… ».



Page : 52/140


Sélectionnez le fichier enregistré précédemment.

Une boîte de dialogue est affichée, dans laquelle vous devez sélectionner les 3 cases à cocher « Confirmer cette AC pour identifier […] » pour faire confiance à l’AC RTE.



Page : 53/140


5.2.2 Visualisation et vérification du certificat d e l’AC RTE

Cliquez « Voir » pour vérifier que le certificat auquel vous allez faire confiance est bien le certificat racine de RTE :

Pour vous assurer d’avoir téléchargé le véritable certificat racine de l’AC RTE, vérifiez soigneusement que l’empreinte numérique « SHA1 » ou « MD5 » affichée est identique à celle présentée ci-dessous.

Les empreintes numériques du certificat racine de l’AC RTE sont rappelées ici :


MD5 77:4C:12:7D:FD:1D:36:9E:8A:21:85:73:7C:2D:44:77

Si ce n’est pas le cas, cliquez sur « Fermer » pour revenir à la fenêtre précédente où vous cliquerez sur « Annuler », et appelez la Hotline RTE.



Page : 54/140


Si c’est bien le cas, poursuivre le processus pour terminer l’import. Onglet « Détails » :

Cliquez « Fermer » pour revenir à la fenêtre initiale (cf. ci-dessus) où vous pouvez cliquer sur « OK » : le certificat racine de l’AC RTE est alors installé dans Mozilla Firefox.

Pour visualiser ce certificat ultérieurement, dans Mozilla Firefox, il faut aller dans le menu « Outils > Options… », et choisir la rubrique « Avancé », onglet « Chiffrement ».



Page : 55/140


Cliquer sur le bouton « Afficher les certificats ».

Dans l’onglet « Autorités », vous pouvez vérifier que le certificat racine « RTE Certification Authority » est bien enregistré sur le disque dur de votre PC (« Sécurité personnelle »), et le visualiser en le sélectionnant puis en cliquant « Voir ».



Page : 56/140



5.3.1 Identification sur l’interface de retrait

La demande de certificat logiciel doit avoir été complétée conformément à la procédure du chapitre 2.2.

Pour effectuer le retrait vous avez besoin des informations suivantes (voir §2.2.2) :

• Mot de passe choisi que vous ou le responsable de votre société avez choisi et fourni à RTE dans le formulaire de demande d’accès au SI de RTE (voir §2.2.1).

• Email du certificat , Code de retrait et Mot de passe du fichier PKCS#12 présents dans le mail « Accès aux services SI de RTE ».

Pour vous simplifier la tâche vous pouvez faire un copier-coller des différentes valeurs en prenant soin de ne pas copier d’espace en début ou en fin.

Pour créer votre certificat et la clé privée associée, connectez-vous sur le site Web de retrait de certificats :

REMARQUE IMPORTANTE


https://kregistration-user.certificat2.com/RTE/RTE/Logiciel3:I

Cliquez sur le bouton « Retrait de votre certificat personnel ».



Page : 57/140


Remplissez le champ « Email du certificat » avec la valeur indiquée dans le mail « Accès aux services SI de RTE ».

Cliquez sur « Envoyer ».

Remplissez les champs :

• « Code de retrait » comme indiqué dans le mail « Accès aux services SI de RTE ».

• « Mot de passe choisi » qui est le mot de passe que vous ou le responsable de votre société avez choisi et fourni à RTE dans le formulaire demande d’accès au SI de RTE (voir §2.2.1).

Enfin, cliquez sur « Envoyer ».



Page : 58/140


5.3.2 Téléchargement de votre certificat

La page suivante s’affiche.

Cliquez sur « Télécharger ».

Dans la fenêtre qui s’affiche, cochez « Enregistrer le fichier » puis cliquez sur « OK ».



Page : 59/140


Choisissez un répertoire pour sauvegarder votre certificat, puis cliquez sur « Enregistrer ».

IMPORTANT

Une fois téléchargé, le fichier PKCS#12 (d’extension « .P12 ») contenant votre certificat et sa clé privée associée, doivent être sauvegardé sur un support amovible (e.g. une disquette), que vous mettrez au coffre afin d’en protéger l’accès.

Conservez également le mail « Accès aux services SI de RTE » qui contient son mot de passe.



Page : 60/140


5.3.3 Installation de votre certificat personnel

Dans Firefox, allez dans le menu « Outils > Options… », rubrique « Avancé », onglet « Chiffrement » :

Cliquez sur « Afficher les certificats ».

Cliquez sur « Importer ».



Page : 61/140


Allez dans le répertoire où vous avez enregistré votre certificat, sélectionnez votre certificat « certificate.p12 » et cliquez sur « Ouvrir ».

Si nécessaire, la fenêtre ci-dessous vous demandera le mot de passe d’accès au magasin de certificats de Mozilla Firefox :

Saisissez-le et cliquez sur « OK ». La fenêtre ci-dessous s’affiche.

Entrez le « Mot de passe » présent sur le mail « Accès aux services SI de RTE », puis cliquez sur « OK ».

Votre certificat et sa clé privée ont bien été importés dans le magasin de certificats Mozilla Firefox.



Page : 62/140


5.3.4 Visualisation et vérification de votre certif icat logiciel

Quel que soit le navigateur utilisé, le contenu du certificat téléchargé est évidemment le même, seule la présentation des informations à l’écran diffère.

Pour Mozilla Firefox, aller dans le menu « Outils > Options… », rubrique « Avancé », onglet « Chiffrement » :

Puis cliquez sur le bouton « Afficher les certificats ».

Onglet « Vos certificats ».



Page : 63/140


Le certificat est un certificat logiciel : en effet, l’indication « Sécurité personnelle » apparaît à droite de son nom. Vous pouvez le visualiser en le sélectionnant et en cliquant « Voir ».

Le 1er onglet « Général » affiche le message « Ce certificat a été vérifié pour les utilisations suivantes ». Le 2e onglet « Détails » affiche la hiérarchie de certification avec le certificat racine de l’AC RTE. Cela assure que tous les certificats ont été correctement installés, et que, toutes les conditions d’utilisation correctes de votre certificat sont réunies.



Page : 64/140


5.4 Utilisation de votre certificat

5.4.1 Authentification et chiffrement

Étapes à suivre :

• Lancez Mozilla Firefox,

• saisissez l’URL de l’application RTE ou du « Portail Services Clients de RTE » : https://portail.iservices.rte-france.com

• lors de l’authentification, le navigateur vous demandera de choisir le certificat devant servir à vous authentifier, puis le mot de passe de protection du magasin de certificats si celui-ci a été défini,

• si plusieurs certificats vous sont présentés, vous devrez choisir celui qui vous a été fourni pour l’application à laquelle vous allez accéder (utiliser le bouton « Afficher le certificat » pour visualiser leur contenu),

Une fois l’authentification terminée, toutes les données que vous recevez ou envoyez seront chiffrées.

5.4.2 Exemple d’accès à une application web RTE

Lorsque vous accéderez à la page d’accueil en « https », ll vous sera demandé de choisir votre certificat.

Choisissez votre certificat dans la liste déroulante intitulée « Choisir un certificat à présenter comme identification » et cliquez sur « OK ». La fenêtre ci-dessous vous demande le mot de passe d’accès au magasin de certificats de Mozilla Firefox si celui-ci a été défini.



Page : 65/140


La page d’accueil est alors affichée, de façon sécurisée (présence du cadenas fermé en bas à droite) :

5.5 Opérations complémentaires

5.5.1 Définir le mot de passe principal de sécurité personnelle

Afin de protéger la clé privée associée à votre certificat il est très fortement conseillé de définir un mot de passe de sécurité personnelle.

Pour cela, cliquez sur le menu « Outils > Options… » et sélectionnez l’onglet « Sécurité » :

Si la case « Utiliser un mot de passe principal » est déjà cochée, cela signifie que vous avait déjà un mot de passe de sécurité personnelle et vous n’avez rien à faire.



Page : 66/140


Sinon, cochez la case « Utiliser un mot de passe principal ». La fenêtre suivante s’ouvre alors :

Saisissez votre nouveau mot de passe de sécurité personnelle dans les deux champs puis cliquez sur « OK ».

Votre mot de passe de sécurité personnelle est maintenant défini.

Vous pouvez modifiez votre mot de passe de sécurité personnelle à tout moment en allant dans le menu « Outils > Options… », onglet « Sécurité » et en cliquant sur « Changer le mot de passe principal … ».



Page : 67/140


5.5.2 Export de votre certificat personnel

Ce paragraphe explique comment sauvegarder son certificat avec sa clé privée et le certificat racine. La procédure consiste à générer un fichier au format PKCS#12 (.p12), protégé par un mot de passe.

Aller dans le menu « Outils > Options… », rubrique « Avancé », onglet « Chiffrement » :

Puis cliquez sur « Afficher les certificats ».



Page : 68/140


Sélectionnez votre certificat et cliquez sur « Sauvegarder » :

Choisissez un emplacement et un nom pour le fichier en sortie au format PKCS#12 (d’extension « .p12 ») :

Cliquez sur le bouton « Enregistrer ».

Si nécessaire, la fenêtre ci-dessous vous demandera le mot de passe d’accès au magasin de certificats de Mozilla Firefox :

Puis la fenêtre suivante s’affiche.



Page : 69/140


Saisissez un mot de passe de votre choix pour protéger l’accès au fichier PKCS#12, puis cliquez sur « OK ».

Votre certificat, votre clé privée et le certificat racine AC sont exportés dans le fichier PKCS#12 d’extension « .p12 » généré.

5.5.3 Suppression de votre certificat personnel

Ce paragraphe détaille la procédure pour supprimer un certificat et sa clé privée du magasin de certificat de Mozilla Firefox.

IMPORTANT

Avant de supprimer votre certificat personnel, assurez-vous d’en posséder une copie. Si ce n’est pas le cas, reportez-vous au §5.5.2 pour exporter votre certificat et sa clé privée sous forme de fichier PKCS#12.

Aller dans le menu « Outils > Options… », rubrique « Avancé », onglet « Chiffrement » :

Puis cliquez sur « Afficher les certificats ».



Page : 70/140


Sélectionnez votre certificat et cliquez sur « Supprimer ».

Valider en cliquant sur « OK ».

Le certificat est alors supprimé de la liste des certificats :



Page : 71/140


5.6 Connexion au VPN SSL

5.6.1 Avant-propos

La connexion via VPNSSL est un service permettant l’établissement d’un canal de communication sécurisé au FrontOffice RTE à travers Internet. Ce canal est établi après authentification avec votre certificat auprès d’un site dédié (cf §5.4). Une fois le canal établi, toutes vos communications avec le service RTE demandé seront chiffrées.

L’utilisation du VPNSSL nécessite l’installation d’un outil dédié, installé lors de la première connexion au site. Cette application se nomme Windows Secure Application Manager (WSAM).

Le VPNSSL permet l’accès à vos boîtes aux lettres hébergées sur le FrontOffice RTE.

5.6.2 Pré-requis

Pour vous connecter au VPN SSL avec Firefox, Java SE Runtime Environment (JRE) 1.5.07 ou supérieur doit être installé sur votre poste. Si ce n’est pas le cas, vous pouvez télécharger la dernière version sur le site d’Oracle :

http://java.com/fr/download/index.jsp

IMPORTANT

Avant d’effectuer votre première connexion, vous devez impérativement vérifier que votre poste de travail puisse résoudre l’adresse secure.iservices.rte-france.com (cf §3.1).



Page : 72/140


5.6.2.1 Recommandation

JIS (Juniper Installation Service) est un service Windows mis à disposition sur le site client de RTE. Ce service permet, une fois installé, de mettre à jour les futures versions du WSAM sans demander l’intervention d’une personne ayant les privilèges administrateur de la machine.

L’installation de ce service reste néanmoins optionnelle, mais nous vous recommandons de l’installer, par un administrateur.

Pour se faire, télécharger l’exécutable sous le lien :

http://clients.rte-france.com/lang/fr/visiteurs/acc ueil/portail.jsp

Et décompresser le fichier compressé :

Une fois le fichier exécuté, la fenêtre suivante apparaît, puis démarre le service. Ce dernier sera automatiquement activé à chaque lancement du système d’exploitation.



Page : 73/140


5.6.3 Première connexion

Ce paragraphe concerne uniquement votre première connexion au VPN SSL avec Mozilla Firefox.

IMPORTANT

La première connexion doit être faite par un inform aticien Administrateur de votre poste de travail afin que l’installation de l’application WSAM puisse être effectuée




Choisissez votre certificat dans la liste déroulante intitulée « Choisir un certificat à présenter comme identification » et cliquez sur « OK ». Si nécessaire, la fenêtre ci-dessous vous demandera le mot de passe d’accès au magasin de certificats de Mozilla Firefox.



Page : 74/140


Si la fenêtre suivante apparaît, cliquez sur le bouton « Autoriser ».

Si l’icône rouge suivante apparaît, cliquez sur celui-ci dans la barre d’adresse. Ensuite dans le menu déroulant du message, sélectionnez « Activer tous les plugins » puis choisissez « Toujours activer les plugins pour ce site »

Si la fenêtre ci-dessous apparaît, cliquez sur « Exécuter ».



Page : 75/140


L’installation de Windows Secure Application Manager démarre :

Si votre accès à Internet nécessite une authentification auprès d‘un proxy, une fenêtre s’affiche pour vous demander identifants de connexion. Saisissez les et validez.

La page ci-dessous apparaît alors :

Puis, l’icône apparaît dans votre barre des tâches, ce qui signifie que vous êtes connecté au VPN SSL.

Cliquez sur le bouton « Déconnexion » (en haut à droite de la page) pour terminer la session :



Page : 76/140


5.6.4 Utilisation du VPN SSL

5.6.4.1 Etablissement de la connexion




Choisissez votre certificat dans la liste déroulante intitulée « Choisir un certificat à présenter comme identification » et cliquez sur « OK ». Si nécessaire, la fenêtre ci-dessous vous demandera le mot de passe d’accès au magasin de certificats de Mozilla Firefox.

Si la fenêtre suivante apparaît, cliquez sur le bouton « Autoriser ».



Page : 77/140


Si la fenêtre ci-dessous apparaît, cliquez sur « Exécuter ».

Si votre accès à Internet est protégé par un proxy, une fenêtre s’affiche pour vous demander identifants de connexions. Saisissez les et validez.

La page ci-dessous apparaît alors :

Puis, l’icône apparaît dans votre barre des tâches, ce qui signifie que vous êtes connecté au VPN SSL.

Remarques :

• Le certificat sert uniquement à l’établissement de la connexion au VPN SSL.

• Pour fermer la session VPN SSL, cliquez sur le bouton Déconnexion (en haut à droite de la page).



Page : 78/140


5.6.4.2 Utilisation pour l’accès aux boîtes aux let tres hébergées

Le VPNSSL peut être utilisé pour accéder aux boîtes aux lettres hébergées sur le FrontOffice avec un client de messagerie standard.

L’accès aux boîtes aux lettres hébergées nécessite que la connexion au VPNSSL soit établie (voir §5.6.4.1).

La configuration du compte de messagerie dans votre client de messagerie se fait ensuite de manière standard avec les paramètres suivants :

• Type de serveur de messagerie : Serveur POP

• Adresse du serveur POP : pop.services.rte-france.com

• Adresse du serveur SMTP : smtp.services.rte-france.com

Lorsque vos accès au FrontOffice RTE vous sont four nis, vous recevez votre identifiant de connexion (login), vot re mot de passe et votre adresse mail.

REMARQUE

Etant donné que les messages sont transférés à travers un canal sécurisé (tout ce qui transite dans ce canal est automatiquement chiffré), l’envoi et la réception de messages électroniques (mails) ne n écessitent pas l’utilisation d’un certificat pour le chiffrement d es messages.



Page : 79/140


E. ECHANGES MAILS AVEC LE SI DE RTE

Cette partie vous concerne uniquement si vous devez échanger des mails chiffrés-signés avec les applications RTE.

Après avoir lu le chapitre 6 de présentation générale, veuillez vous reportez directement au chapitre associé au client de messagerie que vous utilisez pour vos échanges mails avec RTE :

• Chapitre 7 si vous utilisez Microsoft Outlook 2007 comme client de messagerie.

• Chapitre 8 si vous utilisez Microsoft Outlook 2010 comme client de messagerie.

• Chapitre 9 si vous utilisez Mozilla Thunderbird comme client de messagerie.

• Chapitre 10 si vous utilisez Lotus Notes 7.0.2 comme client de messagerie.

• Chapitre 11 si vous utilisez Lotus Notes 8.5 comme client de messagerie.



Page : 80/140


6. Utilisation de votre certificat pour des échange s mails

6.1 Principe d’utilisation du certificat

À l’aide de votre certificat personnel, de sa clé privée associée, du certificat de l’AC RTE et du certificat de l’application RTE, vous pouvez :

• déchiffrer et vérifier la signature des mails que vous recevez des applications de RTE,

• chiffrer et signer les mails que vous envoyez aux applications de RTE.

6.2 Déchiffrement et vérification de la signature d ’un message reçu

Le déchiffrement et la vérification de la signature d’un message sont deux processus disjoints. Lorsque vous recevez un message chiffré-signé :

• vous déchiffrez le message avec la clé privée associée à votre certificat personnel,

• vous vérifiez la signature du message avec le certificat de l’expéditeur (celui de l’application RTE) contenu dans le message, et avec le certificat de son AC émettrice que vous possédez et à laquelle vous faites confiance.

Ces 2 processus se font de manière automatique lorsque vous ouvrez un mail chiffré-signé avec un client de messagerie correctement configuré et supportant le format de messages sécurisé S/MIME.

Remarque importante

La vérification de la signature d’un message nécessite de posséder et de faire confiance à l’AC ayant émis le certificat de l’expéditeur.

6.3 Chiffrement et signature d’un message envoyé

Le chiffrement et la signature d’un message sont deux processus disjoints. Lorsque vous envoyez un message chiffré-signé :

• vous signez le message avec la clé privée associée à votre certificat personnel,

• vous chiffrez le message avec le certificat du destinataire (celui de l’application RTE).

Le certificat du destinataire peut être obtenu de plusieurs façons. Les applications de RTE vous transmettent leur certificat en vous envoyant un message signé : c’est de cette façon que vous récupérerez leur certificat.



Page : 81/140


À cet effet, lorsque vous recevez un message signé, utilisez la fonction « Ajouter l’expéditeur aux contacts » pour sauvegarder par la même occasion son certificat, que vous pourrez utiliser pour lui envoyer des messages chiffrés.

Remarque importante

Le chiffrement d’un message nécessite de posséder un certificat valide correspondant à l’adresse de messagerie du destinataire.

6.4 Etapes de configuration de votre client de mess agerie

Pour pouvoir échanger des mails chiffrés-signés avec RTE, les étapes à suivre sont les suivantes.

• Installez le certificat de l’AC RTE , afin que votre client de messagerie fasse confiance aux certificats des applications RTE et puisse vérifier la signature des mails chiffrés-signés que vous recevez de leur part.

• Installez votre certificat personnel , afin que votre client de messagerie puisse déchiffrer les messages en provenance de RTE et signer les messages à destination de RTE.

• Configurez votre compte de messagerie destiné aux é changes avec RTE, afin que votre client de messagerie chiffre et signe toujours vos messages à destination des applications RTE en utilisant le standard S/MIME.

• Installez le certificat de l’application RTE , afin que votre client de messagerie puisse chiffrer les messages que vous envoyez aux applications RTE.

Afin d’effectuer ces étapes, veuillez vous reportez directement à l’un des chapitres ci-après : celui qui concerne le client de messagerie que vous utilisez pour vos échanges mails avec RTE.



Page : 82/140


7. Microsoft Outlook 2007


Outlook 2007 utilise le même magasin de certificats qu’Internet Explorer.

Installez le certificat de l’AC de RTE dans Internet Explorer en suivant la procédure du chapitre 4.2 si ce n’est pas déjà fait.



Installez votre certificat personnel dans Internet Explorer en suivant la procédure du chapitre 4.3.3 si ce n’est pas déjà fait.

7.3 Configuration du compte de messagerie

Démarrez Outlook 2007 et accédez au menu « Outils > Centre de gestion de la confidentialité… ».

Dans la colonne de gauche, cliquer sur « Sécurité de messagerie électronique », puis cliquez sur le bouton « Paramètres… ».



Page : 83/140


Cliquez sur les deux boutons « Choisir… » afin de sélectionner votre certificat personnel pour la signature et pour le chiffrement. Une liste des certificats sélectionnables vous est présentée (vous pouvez aussi afficher tel certificat de la liste pour en voir le contenu et vous assurer de choisir le bon).

Vérifiez que le paramétrage est similaire, finalement, à celui ci-dessus (S/MIME, cases cochées, certificats, algorithmes) ; si le champ « Nom des paramètres de sécurité » est vide, saisissez-y un libellé comme « Certification RTE ». Cliquez enfin sur « OK ». La fenêtre ci-dessous est alors affichée :

Cochez les cases « Chiffrer le contenu des messages et des pièces join tes pour les messages sortants » et « Ajouter une signature numérique au message sortant », puis cliquez sur « OK ». Tous vos envois de mails à destination des applications de RTE et utilisant le compte par défaut seront maintenant chiffrés et signés.



Page : 84/140


7.4 Installation du certificat de l’application RTE

Après avoir reçu le premier message chiffré et signé d’une application, vous devez installer le certificat de l’application émettrice. Pour cela, il vous faut ajouter l’adresse mail de l’application à votre carnet d’adresses en cliquant sur l’expéditeur du mail reçu avec le bouton droit de la souris, puis sur « Ajouter aux contacts Outlook » :

Afficher « Général » : Afficher « Certificats » :

Cliquez sur « Enregistrer et fermer » pour sauvegarder.



Page : 85/140


A chaque fois qu’un mail chiffré sera envoyé vers cette application, son certificat, ainsi installé, sera désormais sélectionné automatiquement pour réaliser le chiffrement.

7.5 Utilisation du certificat : envoi d’un mail chi ffré-signé

Pour chiffrer et signer un message avec Microsoft Outlook 2007, créez tout d’abord un nouveau message en cliquant sur « Nouveau ».

Pour signer et chiffrer votre message, vérifier que les deux icônes ci-dessus sont correctement activées, sinon cliquez dessus pour les activer.

Pour vérifier les paramètres de sécurité, cliquez sur le bouton à droite de « Options… » :



Page : 86/140


Puis cliquez sur le bouton « Paramètres de sécurité… »

Vérifiez que les cases « Chiffrer le contenu et les pièces jointes du messag e » et « Ajouter une signature numérique au message », sont bien cochées par défaut.



Page : 87/140


8. Microsoft Outlook 2010



Installez le certificat de l’AC de RTE dans Internet Explorer en suivant la procédure du chapitre 4.2 si ce n’est pas déjà fait.



Installez votre certificat personnel dans Internet Explorer en suivant la procédure du chapitre 4.3.3 si ce n’est pas déjà fait.


Démarrez Outlook 2010 et cliquez sur le menu « Fichiers > Options > Centre de gestion de la confidentialité » puis choisissez le menu « Paramètres du centre de gestion de la confidentialité … ».



Page : 88/140


Dans la colonne de gauche, cliquer sur « Sécurité de messagerie électronique », puis cliquez sur le bouton « Paramètres… ».



Page : 89/140


Cliquez sur les deux boutons « Choisir… » afin de sélectionner votre certificat personnel pour la signature et pour le chiffrement, une liste des certificats sélectionnables vous étant présentée (vous pouvez aussi afficher tel certificat de la liste pour en voir le contenu et vous assurer de choisir le bon).

Vérifiez que le paramétrage est similaire, finalement, à celui ci-dessus (S/MIME, cases cochées, certificats, algorithmes) ; si le champ « Nom des paramètres de sécurité » est vide, saisissez-y un libellé comme « Certification RTE ». Cliquez enfin sur « OK ».



Page : 90/140


La fenêtre ci-dessous est alors affichée :

Cochez les cases « Chiffrer le contenu des messages et des pièces join tes pour les messages sortants » et « Ajouter une signature numérique au message sortant », puis cliquez sur « OK ».

Tous vos envois de mails à destination des applications de RTE et utilisant le compte par défaut seront maintenant chiffrés et signés.


Après avoir reçu le premier message chiffré et signé d’une application, vous devez installer le certificat de l’application émettrice. Pour cela, il vous faut ajouter l’adresse mail de l’application à votre carnet d’adresses en cliquant sur l’expéditeur du mail reçu avec le bouton droit de la souris, puis sur « Ajouter aux contacts Outlook » :



Page : 91/140


Afficher « Général » :

Afficher « Certificats » :

Cliquer sur « Enregistrer et fermer » pour sauvegarder. A chaque fois qu’un mail chiffré sera envoyé vers cette application, son certificat, ainsi installé, sera désormais sélectionné automatiquement pour réaliser le chiffrement.


Pour chiffrer et signer un message, créez tout d’abord un nouveau message en cliquant sur « Nouveau ».

Pour signer et chiffrer votre message, vérifier que les deux icônes ci-dessus sont correctement activées, sinon cliquez dessus pour les activer.



Page : 92/140


Pour vérifier les paramètres de sécurité, cliquez sur le bouton à droite de « Autres Options… » :

Puis cliquez sur le bouton « Paramètres de sécurité… »



Page : 93/140


Vérifiez que les cases « Chiffrer le contenu et les pièces jointes du messag e » et « Ajouter une signature numérique au message », sont bien cochées par défaut, sinon cochez-les.



Page : 94/140


9. Mozilla Thunderbird


Il faut commencer par installer le certificat racine de l’AC de RTE afin que Thunderbird puisse vérifier la signature des mails envoyés par RTE.

REMARQUE IMPORTANTE

Il est impératif de respecter la casse (majuscules/minuscules) des adresses des sites ci-dessous.

9.1.1 Téléchargement des certificats racines des AC de RTE

Avec votre navigateur, allez à l’adresse ci-dessous pour télécharger le fichier « Certification_Autority_RTE_2048.cer » contenant le certificat de l’AC actuelle de RTE :


Sous Internet Explorer :

Cliquez sur le bouton « Enregistrer » et sélectionnez un emplacement où enregistrer le fichier « Certification_Autority_RTE_2048.cer ».

Sous Firefox :

Sélectionnez « Enregistrer le fichier », cliquez sur le bouton « OK » et sélectionnez un emplacement où enregistrer le fichier « Certification_Autority_RTE_2048.cer ».



Page : 95/140


9.1.2 Installation du certificat de l’AC actuelle d e RTE

Le premier certificat que vous venez de télécharger doit être installé dans le magasin de certificats de Thunderbird.

Dans le menu « Outils > Options… », choisissez la rubrique « Avancé », onglet « Certificats ».

Cliquez sur le bouton « Voir les certificats ».

Sélectionnez l’onglet « Autorités » et cliquez sur « Importer… ».



Page : 96/140


Sélectionnez le fichier « Certification_Autority_RTE_2048.cer » enregistré précédemment et cliquez sur « Ouvrir ».

Une boîte de dialogue est affichée, dans laquelle vous devez sélectionner les 3 cases à cocher « Confirmer cette AC pour identifier […] » pour faire confiance à l’AC RTE.



Page : 97/140


Cliquez sur « Voir » pour vérifier que le certificat auquel vous allez faire confiance est bien le certificat racine de RTE :

Pour vous assurer d’avoir téléchargé le véritable certificat racine de l’AC RTE, vérifiez soigneusement que l’empreinte numérique « SHA1 » ou « MD5 » affichée est identique à celle présentée ci-dessous.

Empreintes numériques du certificat « RTE Certifica tion Authority »


MD5 77:4C:12:7D:FD:1D:36:9E:8A:21:85:73:7C:2D:44:77

Si ce n’est pas le cas, cliquez sur « Fermer » pour revenir à la fenêtre précédente où vous cliquerez sur « Annuler », et appelez notre support.

Si c’est bien le cas, cliquez « Fermer » pour revenir à la fenêtre initiale (intitulée « Téléchargement du certificat ») où vous pouvez cliquer sur « OK » : le certificat est alors installé.



Page : 98/140


9.1.3 Visualisation du certificat racine de l’AC de RTE

Pour visualiser ultérieurement le certificat racine de l’AC RTE, dans Thunderbird, il faut aller dans le menu « Outils > Options… », et choisir la rubrique « Avancé », onglet « Certificats ».

Cliquer sur le bouton « Voir les certificats ».

Dans l’onglet « Autorités », vous pouvez vérifier que le certificat racine « RTE Certification Authority » est bien enregistré dans Thunderbird (« Sécurité personnelle »). Pour le visualiser, sélectionnez-le et cliquez sur « Voir ».



Page : 99/140



Pour pouvoir importer votre certificat dans Mozilla Thunderbird, vous devez vous munir du fichier « certificate.p12 » téléchargé depuis votre navigateur lors du retrait de votre certificat (cf. §4.3.2 pour Internet Explorer, §5.3.2 pour Mozilla Firefox).

Démarrez Mozilla Thunderbird, allez dans le menu « Outils > Options… », et choisir la rubrique « Avancé », onglet « Certificats ».

Cliquez sur le bouton « Voir les certificats ».

Dans l’onglet « Vos certificats », cliquez sur le bouton « Importer ». Dans la liste « Fichier de type » sélectionnez « Fichiers PKCS#12 » (extension « .p12 » ou « .pfx ») :



Page : 100/140


Allez dans le répertoire où vous avez enregistré votre certificat, sélectionnez votre certificat « certificate.p12 » et cliquer sur « Ouvrir ».

Si nécessaire, la fenêtre ci-dessous vous demandera le mot de passe d’accès au magasin de certificats de Thunderbird :


N.B. : s’il n’y a pas de mot de passe principal, Thunderbird affichera une fenêtre vous demandant d’en définir un.

Saisissez le mot de passe protégeant le fichier PKCS#12, puis cliquez sur « OK ».



Page : 101/140


Votre certificat et sa clé privée ont bien été importés dans le magasin de certificats de Thunderbird :

Vérifiez que c’est bien le bon certificat en cliquant sur le bouton « Voir ».



Page : 102/140



Afin de signer et déchiffrer avec votre certificat, celui-ci doit être associé au compte de messagerie correspondant à l’adresse mail indiquée dans le Sujet du certificat.

Pour cela, Démarrez Mozilla Thunderbird, ouvrez le menu « Outils > Paramètres des comptes… », sélectionnez l’item « Sécurité » du compte de messagerie servant aux échanges avec RTE :

Cliquez sur « Sélectionner un certificat » pour ouvrir la fenêtre suivante :



Page : 103/140


Sélectionnez votre certificat dans la liste déroulante et cliquez sur « OK ». Le message suivant apparait :

Cliquez sur « Oui » pour définir automatiquement le même certificat pour le déchiffrement des messages reçus.

NOTE

Bien que pour le chiffrement , le texte indique que votre certificat sera utilisé pour « chiffrer et déchiffrer les messages envoyés », il ne sera en réalité utilisé que pour déchiffrer les messages reçus.

Tous vos envois de mails à destination des applications de RTE et utilisant ce compte seront maintenant chiffrés et signés.


L’installation d’un certificat d’application se fait automatiquement lors de la lecture du premier mail signé et chiffré envoyé par l’application. Néanmoins, vous pouvez ajouter l’adresse mail de l’application à votre carnet d’adresses en cliquant avec le bouton droit sur l’expéditeur du mail reçu, puis sur « Ajouter au carnet d’adresses ».

Lorsque la fenêtre « Nouvelle fiche pour… » apparaît, cliquez sur « OK ».



Page : 104/140


Pour vérifier que le certificat d’application est bien installé, allez dans le menu « Outils > Options… », choisir la rubrique « Avancé », onglet « Certificats », puis cliquez sur « Voir les certificats », enfin cliquez sur l’onglet « Autres personnes ».

A chaque fois qu’un mail chiffré sera envoyé vers cette application, le certificat de l’application sera désormais sélectionné automatiquement pour réaliser le chiffrement.


Pour chiffrer et signer un message, créez tout d’abord un nouveau message en cliquant sur « Écrire ».

Cliquez sur le bouton « Sécurité », pour vérifier les options « Chiffrer ce message » et « Signer numériquement ce message ». Ces options devraient être cochées par défaut, sinon cochez les.



Page : 105/140


10. Lotus Notes 7.0.2


Le certificat racine RTE sera installé par « certification croisée » lorsque vous recevrez le premier mail chiffré-signé de l’application (cf. §11.4).


10.2.1 Création d’un fichier PKCS#12 lisible par No tes

Lotus Notes ne peut installer un certificat et sa clé privée associée qu’à partir d’un fichier PKCS#12 qui contient l’AC RTE. Ce n’est pas le cas du fichier « certificate.p12 » que vous avez téléchargé lors du retrait de votre certificat.

Pour générer un fichier accepté par Lotus Notes, il faut installer l’AC RTE et votre certificat dans un navigateur puis exporter votre certificat personnel sous forme de fichier PKCS#12. Suivant le navigateur que vous utilisez, réaliser une des procédures ci-dessous.

• Avec Microsoft Internet Explorer :

o Installer le certificat racine de l’AC RTE, cf. §4.2.

o Installer votre certificat personnel en prenant soin de cocher la case « Marquer cette clé comme exportable », cf. §4.3.3.

o Exporter votre certificat dans un fichier PKCS#12 en prenant soin de cocher la case « Inclure tous les certificats dans le chemin d’accès de certification si possible », cf. §4.5.1.

• Avec Mozilla Firefox :


o Installer votre certificat personnel, cf. §5.3.

o Exporter votre certificat dans un fichier PKCS#12, cf. §5.5.2 (l’AC RTE sera automatiquement incluse).



Page : 106/140


10.2.2 Installation du fichier PKCS#12 dans Notes

Lancez Lotus Notes et accédez à « Fichier > Sécurité > Sécurité utilisateur… » :

Saisissez votre mot de passe Notes :

L’écran suivant s’affiche :



Page : 107/140


Cliquez sur « Votre identité » puis « Vos certificats » :

Sélectionnez « Vos certificats Internet » dans la liste déroulante, pour que s’affichent les certificats Internet déjà importés.

En général, la liste sera vide.

Cliquez sur le bouton « Obtenir certificats » et choisir « Importer certificats Internet » :



Page : 108/140


Une fenêtre s’ouvre, vous demandant de sélectionner un fichier PKCS#12 (extension « .pfx » ou « .p12 ») Sélectionner le fichier que vous avez généré au §11.2.1 contenant votre certificat personnel, sa clé privée et le certificat racine de l’AC RTE :

Cliquez sur « Ouvrir » et dans la fenêtre ci-dessous, choisir le codage PKCS12 :

:

Cliquez sur « Continuer ». Le mot de passe de protection du fichier PKCS12 vous est alors demandé :

Cliquez sur « OK » et la fenêtre suivante est affichée :



Page : 109/140


Votre certificat, que l’on veut importer, ainsi que le certificat racine, sont listés. Si vous cliquez sur « Détails avancés », le contenu du certificat sélectionné (votre certificat ici) s’affiche dans la fenêtre suivante :

Cliquez sur « Fermer » pour revenir à la fenêtre précédente.



Page : 110/140


Pour voir le contenu du certificat racine, il faut le sélectionner :

et cliquez sur « Détails avancés… » :

Cliquez sur « Fermer » pour revenir à l’écran initial :



Page : 111/140


Cliquez sur « Tout accepter ».

Saisissez votre mot de passe Notes puis cliquez sur « OK ».

Cliquez sur « OK », la fenêtre suivante est affichée :

Le certificat, visible ici maintenant, a bien été importé. Cliquez sur « OK » pour terminer cet import.



Page : 112/140


10.2.3 Visualisation du certificat

Pour visualiser votre certificat, dans Lotus Notes accédez au menu « Fichier > Sécurité > Sécurité utilisateur… », puis cliquez sur la rubrique « Votre identité » puis sur « Vos certificats ». Sélectionnez « Vos certificats Internet » dans la liste déroulante.

Sélectionnez votre certificat personnel et cliquez sur le bouton « Détails avancés ».


Si vous possédez plusieurs certificats utilisables pour signer vos envois de messages, il faut positionner par défaut celui qui vous servira pour les échanges avec RTE.

Dans Lotus Notes, accédez au menu « Fichier > Sécurité > Sécurité utilisateur… », puis cliquez sur la rubrique « Votre identité » puis sur « Vos certificats » :



Page : 113/140



Sélectionnez alors votre certificat et cliquez sur le bouton « Détails avancés ».

Si vous n’avez qu’un seul certificat, la case « Utiliser ce certificat en tant que certificat signataire par défaut » sera grisée et cochée. Sinon, cochez-la, comme dans l’écran ci-dessus, puis cliquez sur « OK ».

10.4 Installation du certificat de l’application RT E

Lorsque vous sélectionnez, pour la première fois, un message chiffré et signé que vous avez reçu, une boîte de dialogue similaire à celle ci-dessous s’affiche, pour vous permettre d’accorder votre confiance à l’émetteur :

Pour cela, il vous faut cliquer sur le bouton « Certification croisée ».



Page : 114/140


Puis, lorsque vous consultez ce message signé reçu, vous devrez choisir la fonction « Ajouter expéditeur au carnet d’adresses », qui va ajouter votre correspondant ainsi que son certificat à votre carnet d’adresses :

La fenêtre suivante s’affiche alors :

Onglet « Avancé » :

Vérifiez seulement que la case « Inclure les certificats X.509 rencontrés » est bien cochée, et cliquez sur « OK ».



Page : 115/140



10.5 Utilisation du certificat : envoi d’un mail ch iffré-signé

Lorsque vous composez un message, vous pourrez le signer et le chiffrer si vous possédez votre certificat de signature (cf. la procédure d’import de votre certificat ci-dessus) et celui de votre correspondant.

Dans ce but, lorsque vous composez un nouveau mémo, vous devez cliquer sur le bouton « Options de distribution » et cocher les cases « Signer » et « Chiffrer » comme ci-dessous :


Le reste de l’envoi de votre message n’offre aucune particularité, Notes se chargeant de signer et chiffrer de façon transparente.



Page : 116/140


11. Lotus Notes 8.5


Le certificat racine RTE sera installé par « certification croisée » lorsque vous recevrez le premier mail chiffré-signé de l’application (cf. §11.4).


11.2.1 Création d’un fichier PKCS#12 lisible par No tes

Lotus Notes ne peut installer un certificat et sa clé privée associée qu’à partir d’un fichier PKCS#12 qui contient l’AC RTE. Ce n’est pas le cas du fichier « certificate.p12 » que vous avez téléchargé lors du retrait de votre certificat.

Pour générer un fichier accepté par Lotus Notes, il faut installer l’AC RTE et votre certificat dans un navigateur puis exporter votre certificat personnel sous forme de fichier PKCS#12. Suivant le navigateur que vous utilisez, réaliser une des procédures ci-dessous.

• Avec Microsoft Internet Explorer :


o Installer votre certificat personnel en prenant soin de cocher la case « Marquer cette clé comme exportable », cf. §4.3.3.

o Exporter votre certificat dans un fichier PKCS#12 en prenant soin de cocher la case « Inclure tous les certificats dans le chemin d’accès de certification si possible », cf. §4.5.1.

• Avec Mozilla Firefox :


o Installer votre certificat personnel, cf. §5.3.

o Exporter votre certificat dans un fichier PKCS#12, cf. §5.5.2 (l’AC RTE sera automatiquement incluse).



Page : 117/140


11.2.2 Installation du fichier PKCS#12 dans Notes

Lancez Lotus Notes et accédez à « Fichier > Sécurité > Sécurité utilisateur… » :

Si demandé, saisissez votre mot de passe Notes :

L’écran suivant s’affiche :



Page : 118/140


Cliquez sur « Votre identité » puis « Vos certificats » :


En général, la liste sera vide.

Cliquez sur le bouton « Obtenir certificats » et choisir « Importer certificats Internet » :

Une fenêtre s’ouvre, vous demandant de sélectionner un fichier PKCS#12 (extension « .pfx » ou « .p12 ») Sélectionner le fichier que vous avez généré au §11.2.1 contenant votre certificat personnel, sa clé privée et le certificat racine de l’AC RTE :



Page : 119/140


Cliquez sur « Ouvrir » et dans la fenêtre ci-dessous, choisir le codage PKCS12 :

:

Cliquez sur « Continuer ». Le mot de passe de protection du fichier PKCS12 vous est alors demandé :

Cliquez sur « OK » et la fenêtre suivante est affichée :



Page : 120/140


Votre certificat, que l’on veut importer, ainsi que le certificat racine, sont listés. Si vous cliquez sur « Détails avancés », le contenu du certificat sélectionné (votre certificat ici) s’affiche dans la fenêtre suivante :

Cliquez sur « Fermer » pour revenir à la fenêtre précédente.



Page : 121/140


Pour voir le contenu du certificat racine, il faut le sélectionner :

et cliquez sur « Détails avancés… » :

Cliquez sur « Fermer » pour revenir à l’écran initial :



Page : 122/140


Cliquez sur « Tout accepter ».

Saisissez votre mot de passe Notes puis cliquez sur « OK ».



Page : 123/140


Cliquez sur « OK », la fenêtre suivante est affichée :

Le certificat, visible ici maintenant, a bien été importé. Cliquez sur « OK » pour terminer cet import.

11.2.3 Visualisation du certificat

Pour visualiser votre certificat, dans Lotus Notes accédez au menu « Fichier > Sécurité > Sécurité utilisateur… », puis cliquez sur la rubrique « Votre identité » puis sur « Vos certificats ». Sélectionnez « Vos certificats Internet » dans la liste déroulante.

Sélectionnez votre certificat personnel et cliquez sur le bouton « Détails avancés ».



Page : 124/140



Si vous possédez plusieurs certificats utilisables pour signer vos envois de messages, il faut positionner par défaut celui qui vous servira pour les échanges avec RTE.

Dans Lotus Notes, accédez au menu « Fichier > Sécurité > Sécurité utilisateur… », puis cliquez sur la rubrique « Votre identité » puis sur « Vos certificats » :


Sélectionnez alors votre certificat et cliquez sur le bouton « Détails avancés ».

Si vous n’avez qu’un seul certificat, la case « Utiliser ce certificat en tant que certificat signataire par défaut » sera grisée et cochée. Sinon, cochez-la, comme dans l’écran ci-dessus, puis cliquez sur « OK ».



Page : 125/140


11.4 Installation du certificat de l’application RT E

Lorsque vous sélectionnez, pour la première fois, un message chiffré et signé que vous avez reçu, une boîte de dialogue similaire à celle ci-dessous s’affiche, pour vous permettre d’accorder votre confiance à l’émetteur :

Pour cela, il vous faut cliquer sur le bouton « Certification croisée ».

Puis, lorsque vous consultez ce message signé reçu, vous devrez choisir la fonction « Ajouter expéditeur au carnet d’adresses » sous le menu en effectuant un clic droit sur le mail, qui va ajouter votre correspondant ainsi que son certificat à votre carnet d’adresses :



Page : 126/140


La fenêtre suivante s’affiche alors :

Onglet « Avancé » :

Vérifiez seulement que la case « Inclure les certificats X.509 rencontrés » est bien cochée, et cliquez sur « OK ».




Page : 127/140


11.5 Utilisation du certificat : envoi d’un mail ch iffré-signé

Lorsque vous composez un message, vous pourrez le signer et le chiffrer si vous possédez votre certificat de signature (cf. la procédure d’import de votre certificat ci-dessus) et celui de votre correspondant.

Dans ce but, lorsque vous composez un nouveau message, vous devez cliquer sur le bouton « Options de distribution » et cocher les cases « Signer » et « Chiffrer » comme ci-dessous :


Le reste de l’envoi de votre message n’offre aucune particularité, Notes se chargeant de signer et chiffrer de façon transparente.



Page : 128/140


F. ANNEXES



Page : 129/140


12. Environnement sécurisé (PKI)

Cette annexe décrit l’environnement sécurisé dans lequel est mis en œuvre la PKI. Elle présente en particulier :

• les concepts de l’environnement sécurisé et les objets informatiques correspondants gérés par la PKI,

• le rôle des différentes entités prenant part aux processus de fonctionnement d’une PKI.

12.1 Concepts et objets gérés par une PKI

Cette annexe présente les principaux concepts permettant de comprendre le rôle des objets gérés par une PKI :

• présentation des principes structurant un processus sécurisé,

• le rôle du bi-clé,

• les certificats.

12.1.1 Qu’est-ce qu’un processus sécurisé ?

12.1.1.1 Définition d’une PKI

Avec une PKI (Public Key Infrastructure, ou IGC pour Infrastructure de Gestion de Clés), chaque porteur dispose d’une paire de clés – une clé privée, connue de son seul possesseur, et une clé publique – liées par une relation mathématique complexe, qui rend quasiment impossible la détermination de la clé privée à partir de la seule connaissance de la clé publique. Cela signifie que la probabilité de déterminer la clé privée à partir de la clé publique en un temps raisonnable est très faible .

Des données chiffrées avec une clé (typiquement, la clé publique) ne peuvent être déchiffrées qu’avec l’autre (typiquement, la clé privée). C’est sur la base de ce principe qu’est notamment assurée la confidentialité des messages échangés. Ce procédé est couramment appelé « cryptographie asymétrique » par opposition à la « cryptographie symétrique » qui utilise une clé commune au chiffrement et au déchiffrement.



Page : 130/140


12.1.1.2 Les quatre piliers de la sécurité des écha nges d’informations

Cette carte d’identité électronique a pour vocation d’établir un environnement de confiance dont les quatre piliers sont les suivants :

• l’authentification identifie les parties de manière sûre et certaine,

• la confidentialité empêche les non destinataires de lire les données,

• l’intégrité assure que des données n’ont pas été altérées,

• la non-répudiation rend impossible à une partie de réfuter les informations qu’elle a transmises.

12.1.1.3 La solution cryptographique

En raison de la technologie utilisée (i.e. protocoles, architectures, etc.), l’information circulant sur Internet n’est pas confidentielle. Les technologies ne permettent pas non plus de répondre aux trois autres exigences de sécurité exposées ci-dessus.

Afin de préserver la confidentialité des échanges effectués sur Internet, les données doivent être rendues incompréhensibles à tous sauf aux destinataires. Le chiffrement est la solution adéquate.

Le chiffrement des données accompagne naturellement l’authentification des utilisateurs du système. En effet, si certaines données sont confidentielles, il est nécessaire que les émetteurs et les destinataires de ces informations puissent s’authentifier entre eux de manière sûre et univoque, afin de procéder à des échanges sécurisés.

L’authentification repose sur la possession d’un certificat. Cet élément est délivré par une Autorité de Certification à laquelle les parties prenantes d’une transaction font toutes confiance (dans notre cas, l’Autorité de Certification est RTE). Ainsi, les porteurs peuvent avoir confiance dans les informations qui leur sont fournies et RTE sait que seuls les porteurs habilités accèdent à l’information.

NOTE

Selon un processus analogue, dans la vie courante, il est nécessaire de fournir une pièce d’identité délivrée par une autorité habilitée pour pouvoir accéder à certaines prérogatives réservées aux citoyens du pays (e.g. achats coûteux, droit de vote, etc.).



Page : 131/140


12.1.2 Le rôle du bi-clé

Chaque porteur dispose d’une clé publique et d’une clé privée associée :

• La clé privée est une clé que le porteur doit garder confidentielle. Il est le seul à la posséder et à pouvoir l’utiliser . Il ne la connaît pas forcément lui-même (par exemple, elle peut se trouver dans une carte à puce, d’où elle ne peut sortir, mais l’accès à la carte est protégé par un code PIN connu seulement de son possesseur).

• La clé publique , comme son nom l’indique, est publique et peut être communiquée à tous. On utilise uniquement les clés publiques des porteurs pour chiffrer les messages à destination de ceux-ci. Si un message chiffré était intercepté, ce serait sans conséquence sur la confidentialité car il ne pourrait être déchiffré (dans un temps raisonnable) par une personne ne possédant pas la clé privée associée.

La clé privée permet à son propriétaire de signer un message qu’il envoie et de déchiffrer un message qu’on lui envoie chiffré. A l’opposé, la clé publique d’une personne est utilisée pour chiffrer un message qui lui est envoyé et pour vérifier la signature du message reçu.

12.1.2.1 Chiffrement et déchiffrement d’un message

Chaque message est chiffré par la clé publique du destinataire, qui le déchiffrera avec sa clé privée.

Quand RTE envoie un message à son client A :

1. RTE dispose de la clé publique du client A (via la partie publique de son certificat).

2. RTE chiffre automatiquement le message en utilisant la clé publique du client A et le lui envoie, via la messagerie électronique de RTE.

3. Le client A récupère le message et le déchiffre automatiquement avec sa clé privée.

RTE chiffre le message avec la clé publique du Client

Client aXNzZS5jb 20wgZ8wDQ YJKoZIhvc NAQEBBQAD gY0AMIGJA

Le Client déchiffre le message avec sa clé privée

Courbes de Charge Données : 1.5, 2, 1.5, 3.5, 4.5, 3


Certificat du Client contenant sa clé publique

Chiffrement et déchiffrement avec une bi-clé



Page : 132/140


12.1.2.2 Utilisation des clés lors de la signature du message

Chaque message est signé par la clé privée de l’émetteur. L’origine (i.e. la signature) d’un message peut être contrôlée grâce à la clé publique de l’émetteur, librement accessible via son certificat.

Pour prouver au client A que le message qu’il reçoit provient effectivement de RTE, RTE signe automatiquement son message, avec sa clé privée, avant l’envoi au client A.

RTE signe le message avec sa clé privée

Client

Le Client vérifie la signature avec la clé publique de RTE



Certificat de RTE contenant sa clé publique

3ktwSkIf2

Courbes de Charge Données : 1.5, 2, 1.5,

Signature et vérification de signature avec une bi- clé

Quand le client A reçoit le message de RTE, il vérifie automatiquement la signature du message reçu, avec la clé publique de RTE.



Page : 133/140


12.1.3 Les certificats

12.1.3.1 Objectifs du certificat numérique

Puisque les clés publiques sont utilisées pour vérifier les signatures électroniques et chiffrer les messages, il est capital pour tout porteur d’être certain de l’identité du propriétaire d’une clé publique : c’est le rôle du certificat .

12.1.3.2 Caractéristiques d’un certificat

Le certificat est une pièce d’identité électronique :

• qui garantit l’identité de son détenteur auprès d’un site distant,

• qui comporte des données facilitant l’identification,

• qui résiste aux contrefaçons et qui est émise par une tierce partie de confiance : l’Autorité de Certification.

Une Autorité de Certification est une entité qui crée et gère des certificats. Elle définit les règles d’enregistrement dans la PKI des différents porteurs.

12.1.3.3 Structure d’un certificat

Un certificat numérique contient :

• la clé publique du possesseur,

• le nom du possesseur et tout autre information d’identification (l’adresse e-mail de la personne s’il s’agit d’un certificat pour signer des e-mail),

• la période de validité du certificat,

• le nom de l’autorité de certification qui a généré ce certificat,

• un numéro de série unique,

• la signature de l’autorité de certification.



Page : 134/140


12.1.3.4 Exemples de certificats

Un certificat numérique sous Internet Explorer

Un certificat numérique sous Mozilla Firefox



Page : 135/140


12.2 Documentation

Documents de référence :

• Contrat d’abonnement au SI sécurisé de RTE.

Sites web :

• http://www.legifrance.gouv.fr/

• Loi du 13 mars 2000 portant adaptation du droit de la preuve aux technologies de l’information et relative à la signature électronique :

http://www.assemblee-nat.fr/

• Directive 1999/93/CE du 13 décembre 1999 sur un cadre communautaire pour les signatures électroniques :

http://europa.eu.int/

• Projet de décret sur la signature électronique :

http://www.internet.gouv.fr/

• Keynectis :

http://www.keynectis.com/



Page : 136/140


13. Glossaire

Lorsque le porteur prendra contact avec son nouvel environnement sécurisé, il sera confronté à une terminologie spécifique, dont les termes sont décrits dans cette section.

• Authentification

Vérification de la validité de l’identité déclarée d’un utilisateur, d’un dispositif ou d’une autre entité dans un système d’information ou de communication.

• Autorité de Certification

Une Autorité de Certification (AC) est une entité qui délivre des certificats numériques, équivalents électroniques de pièces d’identité, à une population. En distribuant des certificats numériques, l’Autorité de Certification ou Autorité de Confiance, sert de caution morale en s’engageant sur l’identité d’une personne au travers du certificat qu’elle lui délivre. Selon le crédit de l’Autorité de Certification, ce certificat aura un champ d’applications plus ou moins vaste : limité aux échanges internes d’une société (comme un badge d’entreprise) ou utilisé dans les relations avec d’autres organisations et administrations (comme une carte d’identité nationale ou un passeport).

• Autorité de certification racine

L’autorité de certification ayant le plus haut niveau de confiance dans l’entreprise est qualifiée de racine. Cette autorité est capable de certifier d’autres autorités de certification, qui sont alors qualifiées d’intermédiaires. Il s’agit du point central d’une infrastructure de sécurité basée sur des certificats.

• Certificat

Un certificat numérique joue le rôle de pièce d’identité électronique (passeport électronique). Il garantit l’identité de son propriétaire dans les transactions électroniques et contient l’ensemble des informations qui permettent cette identification (nom, prénom, éventuellement entreprise, adresse, etc.). Un certificat numérique est composé d’une clé publique et d’informations personnelles sur le porteur, le tout signé par une Autorité de Certification.

• Confidentialité

Propriété de données ou d’informations qui ne sont ni rendues disponibles, ni divulguées à des personnes non autorisées.

• Cryptographie

Discipline incluant les principes, moyens et méthodes de transformation des données dans le but de cacher leur contenu sémantique, d’établir leur authenticité, d’empêcher que leur modification passe inaperçue, de prévenir leur répudiation et d’empêcher leur utilisation non autorisée.



Page : 137/140


• Clé privée

Quantité numérique secrète attachée à une personne, lui permettant de déchiffrer des messages reçus chiffrés avec la clé publique correspondante ou d’apposer une signature au bas de messages envoyés.

• Clé publique

Quantité numérique, attachée à une personne, qui la distribue aux autres afin qu’ils puissent lui envoyer des données chiffrées ou vérifier sa signature.

• Chiffrement / Déchiffrement

Transformation de données au moyen de la cryptographie pour rendre celles-ci inintelligibles afin d’en assurer la confidentialité / Transformation inverse.

• HTTPS

HTTPS est une version sécurisée (S pour secured) du protocole HTTP utilisé dans tous les navigateurs web pour échanger des informations sur internet.

• Intégrité

Assurance que des données ou des informations n’ont pas été modifiées ou altérées de manière non autorisée.

• Magasin de certificats

Conteneur logiciel ou matériel sécurisé permettant de stocker les clés privées d’un utilisateur et les certificats associés, des certificats de sites web, des certificats d’autres utilisateurs et des certificats d’autorités de certification. Ce conteneur est généralement protégé par un mot de passe ou un code PIN qu’il faudra éventuellement entrer à chaque utilisation d’une clé privée en fonction du niveau de sécurité voulu.

• Non-répudiation

Propriété obtenue avec des méthodes cryptographiques pour empêcher une personne de nier avoir exécuté une action particulière sur les données (par exemple non-répudiation d’origine; attestation d’obligation, intention ou engagement ; établissement de la propriété).

• PKCS#12

Format de fichier utilisé pour stocker une clé privée et son certificat associé en les protégeant par un mot de passe. L’extension du fichier est généralement « .p12 » ou « .pfx ».

• Réseau privé virtuel (VPN)

Un réseau privé virtuel, aussi appelé VPN (Virtual Private Network), permet de réaliser une interconnexion de réseaux locaux, distants via une technique de tunnel. Le tunnel est un canal de communication sécurisé à travers Internet et dans lequel les données circulent de manière chiffrée.



Page : 138/140


• Révocation

La révocation est l’opération qui entraîne la suppression de la caution apportée par l’Autorité de Certification sur un certificat, effectuée à la demande de l’abonné ou de toute autre personne autorisée. La demande peut être la conséquence de différents types d’évènements tels que la compromission ou la destruction de la clé privée, le changement d’informations contenues dans le certificat, le non-respect de règles d’utilisation du certificat.

• S/MIME (Secure / Multipurpose Internet Mail Extensi ons)

S/MIME est une norme cryptographique et de signature numérique d’emails. Elle assure l'intégrité, l'authentification, la non-répudiation et la confidentialité des données.

• Signature électronique

La signature électronique d’un document consiste à signer avec sa clé privée un résumé numérique de ce document (obtenu par application d’une fonction de hachage), qui ne peut alors être modifié sans que cela soit visible. Comme la signature manuscrite, elle engage la responsabilité du signataire.

• Site de confiance

Détermine les paramètres de sécurité appliqués par un navigateur lors de l’accès à un site. Si un site est déclaré comme étant un « site de confiance », le navigateur appliquera par exemple un niveau de sécurité plus faible qu’un site appartenant à la zone « Internet » potentiellement porteur de menaces.



Page : 139/140


14. Traitement d’incident et support

En cas d’incident, le responsable de la société contacte la hotline (cf. §14.1) qui diagnostiquera le problème et le transmettra au correspondant technique concerné. La hotline transmettra la solution au responsable de la société et l’assistera si nécessaire dans les démarches indiquées pour accéder de nouveau au SI de RTE.

14.1 Support

Pour toute demande de renseignement, le client peut contacter la Hotline RTE au :

+800 80 50 50 50

ou depuis la France au :

01 55 69 79 52

14.2 Foire aux questions (FAQ)

Une Foire aux questions est disponible sur le site Web de retrait des certificats à l’adresse :

https://kregistration-user.certificat2.com/kreg-resources/CSS/RTE/RTE/faq_utilisateur_fr.html



Page : 140/140


14.3 Codes d’erreur retournés par mail

Lors d’un échange de messages électroniques entre l’utilisateur et une application, lorsque le certificat a été généré et installé selon les procédures décrites dans la suite de ce document, il est possible qu’une erreur de fonctionnalité apparaisse. Dans ce cas, l’élément (e.g. un serveur, une passerelle) en cause retourne un code d’erreur par e-mail.

Le sujet des messages d’erreur retournés par la passerelle cryptographique de RTE est de la forme :

<ERR:nnn!!<Intitulé-FR> !!<Title-EN> > <Sujet-du-message-original>

nnn Description Cause possible

001 Le mail envoyé par le client n’a été ni signé ni chiffré

Vous n’avez pas coché les cases signé et chiffré dans votre logiciel de messagerie au moment de l’envoi du mail

002 Le mail envoyé par le client a été uniquement chiffré

Vous n’avez pas coché la case signé dans votre logiciel de messagerie

003 Le mail envoyé par le client a été uniquement signé

Vous n’avez pas coché la case chiffré dans votre logiciel de messagerie

004 Le mail envoyé par le client a été uniquement signé et la signature utilisée est incorrecte

Vous n’avez pas coché la case chiffré dans votre logiciel de messagerie et le certificat utilisé pour signer est invalide ou inconnu

005 Le mail envoyé par le client a été signé et chiffré mais la signature utilisée est incorrecte

Le certificat de signature que vous avez utilisé est invalide ou inconnu

006 Le mail envoyé par le client ne peut pas être déchiffré par RTE

Le certificat que vous avez utilisé pour chiffrer le mail est invalide

007 Le mail envoyé par RTE ne parvient pas au client pour un problème de sécurité

Problème interne RTE

<Intitulé-FR> Intitulé de l’erreur en français.

<Title-EN> Intitulé de l’erreur en anglais.

<Sujet-du-message-original> Sujet du message original qui a provoqué l’erreur en question.

FIN DU DOCUMENT