Internet utilise des certificats pour authentifier les serveurs et les utilisateurs.

L'autorité de certification de l'entreprise (CA certificate)
Les certificats serveurs
Les certificats utilisateurs
Conseils de mise en oeuvre du certificat utilisateur

L'autorité de certification de l'entreprise (CA certificate).

Les certificats Internet sont signés par une autorité de certification (Certificate Authority ou CA). Tout comme pour un passeport, pour qu'un certificat soit accepté, il faut que l'autorité qui l'a signé soit reconnue. Votre navigateur doit connaitre l'autorité CA de l'entreprise (autorité interne ou externe) qui signe la plupart des certificats présentés par les serveurs internes (dont ceux utilisés par e-Sentry). Nos serveurs sont protégés par un certificat standard du commerce (Entrust), vous n'avez donc rien de particulier à faire.

Les certificats serveurs.

En connexion sécurisée par SSL, les serveurs sont authentifiés par les navigateurs qui les accèdent. Chaque serveur doit présenter un certificat qui prouve son identité. Pour contrôler ce certificat, le navigateur dispose de deux méthodes :

1. soit s'assurer que le certificat du serveur a été signé par une autorité (CA) qu'il reconnait: on est dans le cas présenté plus haut.
2. soit demander à l'utilisateur de décider ou non d'accepter ce certificat et de faire confiance à ce serveur.

Les certificats utilisateurs.

Les utilisateurs peuvent également utiliser un certificat pour s'authentifier vis à vis d'un serveur, par le mécanisme SSL. Ce mode d'authentification est supporté par e-Sentry. La procédure d'obtention du certificat est détaillée dans le chapitre Login.

Conseils de mise en oeuvre du certificat utilisateur.

La base de certificats.
Cette base de certificats conserve les certificats et clés secrètes de l'utilisateur. En conséquence cette base doit être protégée.
Attention: vous êtes responsable de la protection de votre clé privée et de votre certificat, et donc de la protection de cette base.
Avec Netscape, protègez la base par un mot de passe d'au moins 5 caractères et difficile à deviner.
Avec Microsoft, protègez votre station par un mot de passe de même caractéristique.

Netscape Communicator.
La base de certificats est protégée par un mot de passe local. Si vous avez égaré ce mot de passe, vous pouvez réinitialiser cette base en supprimant le fichier key3.db qui vous concerne. Cette initialisation de la base supprime tous vos certificats et clés privées. Avec Communicator 4.7, le fichier se trouve sous c:/Users/Netscape/default/. Si vous avez défini des profils utilisateurs, il se trouve sous c:/Users/Netscape/
Dans le cas de partage d'une station par plusieurs utilisateurs, il est conseillé de créer un profil d'accès particulier pour chaque utilisateur. Un mot de passe spécifique modifiable par l'utilisateur permet de protèger la base de certificat propre chaque utilisateur. Un profil Netscape se crée par le gestionnaire de profil : suivre "Démarrer", "Programmes", "Netscape communicator", "Utilitaires", "Gestionnaire de profils utilisateurs".

MS-Explorer.
L'accès à la base n'est pas protégé. Cela veut dire que sur Windows 95 et 98, il est recommandé de mettre en place une sécurité station : mot de passe station, 'screen saver' avec mot de passe, ..., afin d'éviter un usage illicite des clés secrètes et des certificats.
Dans le cas du partage de cette base entre plusieurs utilisateurs, on ne pas créer d'environnements distincts. On doit importer son certificat dans la base générale. Il faudra veiller à le supprimer aprés usage.


Sauvegarde de votre clé privée et votre certificat.
Il est fortement conseillé de sauvegarder (exporter) sur disquette votre certificat permanent et de conserver cette disquette avec vous. Cela vous permettra d'installer ce certificat avant toute connexion à partir d'une station différente (domicile, autre bureau, ...), ou en cas de remise à niveau de votre station habituelle.
Cette opération s'effectue par les fonctions d'export/import de certificat des navigateurs. On peut ainsi sauvegarder clée privée et certificat associé pour les installer sur une autre station ou sur la base de certificats d'un autre navigateur.

Internet Explorer.
Cliquez "Outils", "Options Internet", "Contenu", "Certificats". Pour exporter, sélectionnez un certificat puis "Exporter". Pour importer, cliquez "Importer".


Les certificats temporaires.
Ils doivent être autorisés par votre administrateur. Ils ne doivent être sollicités que lorsque le certificat permanent n'est pas disponible. On obtient les certificats temporaires en s'authentifiant par ID et mot de passe et en cochant l'option 'J'ai besoin d'un certificat temporaire'.
La durée de validité d'un certificat temporaire est de 24 heures.
Seul le dernier certificat temporaire délivré est valide.
Attention donc si votre base en contient plusieurs: celui qui est présenté automatiquement n'est par forcément le dernier. En cas de refus d'authentification avec "Certificat invalide", nettoyez la base des certificats en ne conservant que le certificat temporaire dont le numéro de série est le plus élevé.

Internet Explorer.
Cliquez "Outils", "Options Internet", "Contenu", "Certificats", sélectionnez un certificat puis "Affichage", "Détail". Aprés examen des numéros de série, sélectionnez successivement les certificats et "Supprimer".


Automatisation de la présentation du certificat.

Internet Explorer.
Dans les versions jusqu'à 5.5, il n'y a pas d'option permettant la fourniture automatique du certificat. Il suffit cependant de cliquer OK sur la fenêtre "Authentification du client" qui présente le certificat. Cette sélection reste active pour toute la session du navigateur.