Les certificats

Comment demander et installer un certificat CNRS

Demander un certificat

Remarque : en cas de problème avec la demande d’un certificat, nous contacter en déposant un ticket et non pas directement la DSI ou l’IGC du CNRS.

Note : le navigateur doit accepter les cookies et l’exécution de Java Script.

  • Récupérer les certificats de l’autorité de certification avec le menu ’Certificats AC’ : Cliquer sur la croix en face de ’Toute la chaine de certification’ permet de charger ces certificats dans votre navigateur. Il faut également cocher les 3 cases de confiance à ces autorités pour chacun de ces certificats:

Note : pour demander un certificat grille, se connecter à l’url http://igc.services.cnrs.fr/GRID2-FR/certificats.html et suivre la même procédure.

A noter:

    • Pour les certificats CNRS2 Standard, préciser UMR8607 pour le LAL.
    • Sauf raison particulière, toujours choisir la longueur de clé proposée par défaut (normalement la plus longue).
    • afin d'éviter tout problème avec les logiciels non francisés, il est conseillé de ne pas mettre d'accent ni dans le nom, ni dans le prénom.
    • l'adresse mail spécifiée doit être l'adresse mail hébergée par le LAL. Afin d'éviter toute complication future, il est souhaitable que :
      • Ce soit l'adresse 'user@lal.in2p3.fr' (avec 'user' correspondant au login Unix) et non pas une autre forme comme 'Prénom.Nom@lal.in2p3.fr'.
    • Cette adresse doit absolument être celle référencée dans labintel .

La demande de certificat génère d’une part sur votre poste la génération d’une paire de clés dites privées, et l’envoi d’une demande de certificat à l’autorité de certification d’autre part.

  • Une confirmation vous est alors demandée par mail : confirmez en suivant les instructions contenues dans ce mail.

Votre demande va être ensuite traitée manuellement par l’autorité d’enregistrement, puis vous recevrez un mail vous indiquant comment récupérer votre certificat avec votre navigateur web.

Récupérer le certificat

Suivre la procédure exposée dans le mail, afin d’incorporer votre certificat dans votre navigateur. Attention vous devez impérativement utiliser le même navigateur que celui utilisé lors de la demande sous peine d'erreur dans la récupération!

Depuis la version 54 de Firefox un problème est apparu dans la récupération, pour le contourner voir ici.

Sauvegarder votre certificat et votre clé privée

Vous devez impérativement sauvegarder votre certificat et vos clés (car votre machine peut tomber en panne, et ni le CNRS ni le service informatique ne conserve de duplicata de ces informations).

  1. Utiliser pour cela la fonction exportation de certificat de votre navigateur. Si le choix vous est présenté, choisir d’exporter la clé privé. Choisir le format d’exportation ’pkcs12’.
  2. En particulier si vous utilisez Internet Explorer, il peut être nécessaire de renommer le fichier pour qu’il possède l’extension ’.p12’ (certains logiciels ne reconnaissent que cette extension).
  3. Vous serez invité à donner un mot de passe qui servira à chiffrer votre clé privée (afin de la rendre inexploitable en cas de vol). Vous obtiendrez ainsi 1 fichier que vous sauvegarderez en lieu sûr (sur un disque réseau backupé, par exemple) en faisant attention à ne laisser le droit d’accès que pour vous même (mode 400 sous Unix par exemple).

Incorporer votre certificat et clé privée dans d’autres logiciels

Si vous souhaitez utiliser votre certificat avec d’autres logiciels (d’autres navigateurs, votre logiciel de messagerie, etc.), vous devrez importer votre certificat et votre clé à l’aide de la fonction importation de certificats de ce logiciel.

Si vous souhaitez utiliser votre certificat sur un autre ordinateur (par exemple votre ordinateur personnel ou pour la grille), vous devrez y recopier le fichier contenant certificat et clé privée, puis comme précédemment les importer dans les logiciels utilisés le cas échéant.