CNRS Délégation Centre-Est
17 rue Notre-Dame des Pauvres
B.P. 10075
54519 Vandoeuvre-lès-Nancy

Téléphone : (33) 03 83 85 60 00
Télécopie : (33) 03 83 17 46 21


Certificats électroniques

Certificats électroniques



La démarche 


Un certificat, qu’est-ce que c’est ?

Un certificat est une sorte de passeport électronique. Il s’installe sur votre poste de travail, dans un espace qui vous est propre. Il permet de prouver votre identité auprès des applications classiques de l’Internet, comme la messagerie électronique ou les sites WWW :

Le certificat peut être utilisé pour la signature électronique de messages. Si vous signez un message et que vous l’envoyez à l’un de vos correspondants, le logiciel de messagerie de ce dernier sera en mesure de certifier que le message provient bien de vous et que rien ni personne ne l’a modifié depuis que vous l’avez émis.

Le certificat peut aussi être utilisé pour accéder à certains sites WWW du type Intranet ou Extranet. Ces sites utilisent un portier virtuel qui vérifie le passeport électronique de chaque utilisateur qui se connecte. La vérification est automatique et quasiment transparente pour l’utilisateur.

L’utilisation de certificats dans les technologies de l’information et de la communication permet de considérablement augmenter la confiance qu’on peut avoir dans ces technologies. Dans certaines conditions définies par la loi, un document signé de façon électronique a la même valeur de probante qu’un document signé à la main. Par ailleurs, l’utilisation de certificats pour s’authentifier auprès de site WWW rend les mots de passe inutiles.

Un certificat, pour quoi faire ?

 

La diffusion des certificats au CNRS a commencé en 2001. Actuellement, on compte plus de 5200 certificats d’utilisateurs en cours de validité, dont 350 environ pour notre délégation.

Ces certificats sont utilisés pour tout type d’applications, qu’elles aient été mises en place par les laboratoires eux-mêmes, par les Délégations régionales ou par la Direction des systèmes d’information dans le cadre d’applications nationales.

Ce qui est très intéressant dans cette démarche, c’est que c’est le même certificat qui est utilisé, indépendamment de la structure qui rend le service. On évite ainsi les situations complexes pour lesquels il faut un mot de passe pour ceci, un autre pour celà, etc.

Il est difficile de dresser un tableau exhaustif de toutes les utilisations. Néanmoins, on peut présenter quelques applications classiques :

Dans les laboratoires, les certificats CNRS sont utilisés pour sécuriser la messagerie ou pour permettre l’accès au serveur Intranet du laboratoire via des ordinateurs portables connectés sur des réseaux externes (Internet haut-débit à la maison, salle de libre service de conférences, etc.)

Dans les délégations, notamment celles de Bordeaux, Toulouse et Strasbourg, des applications permettent via les certificats CNRS d’accéder à des informations confidentielles concernant les domaines financiers ou des ressources humaines.

Au niveau national, un petit nombre seulement d’applications utilisent les certificats. Parmi les plus significative, on notera l’Intranet du CNRS ou l’accès aux dossiers d’évaluation des chercheurs.

Qui peut obtenir un certificat CNRS ?

 

Toute personne qui exerce son activité principale dans une entité du CNRS peut demander un certificat CNRS. Il n’est pas fait de distinction entre les personnels permanents ou pas. Il n’est pas fait non plus de distinction entre les personnels relevant du CNRS ou d’un autre organisme.

Ces critères sont suffisamment larges pour couvrir la très grande majorité des personnes travaillant dans un laboratoire.

Il existe des situations plus difficiles à trancher, notamment dans le cas de structures associatives, start-up, etc. avec lequel le laboratoire collabore régulièrement, mais qui n’ont pas d’attachement avec le CNRS. Des certificats CNRS-partenaires pourront alors être délivrés. En cas de doute, prenez contact avec la Délégation.

Qui contacter pour obtenir un certificat ?

 

Le CNRS a mis en place une organisation qui permet à chaque laboratoire d’être autonome vis à vis de la fourniture de certificats.

Chaque laboratoire nomme un correspondant, que dans notre jargon, nous appelons autorité d’enregistrement.

L’autorité d’enregistrement du laboratoire est donc la personne valide les demandes pour obtenir un certificat.

Le formulaire de demande de certificat se trouve à l’adresse :

http://igc.services.cnrs.fr/CNRS2-Standard/ ?lang=fr&cmd=certificates&type=usercert

Si votre laboratoire n’apparaît pas dans la liste des unités, c’est probablement parce que son directeur ou sa directrice n’a pas nommé d’autorité d’enregistrement. Dans ces conditions, consultez la page : Que faire pour nommer l’autorité d’enregistrement de mon laboratoire ?

Que faire pour nommer l’autorité d’enregistrement de mon laboratoire ?

 

L’autorité d’enregistrement d’un laboratoire est la personne qui va délivrer des certificats aux membres de ce laboratoire.

Le processus de délivrance d’un certificat ne nécessite pas de compétences particulières en informatique. Il n’utilise pas d’autre outil qu’un navigateur WWW. Malgré tout, l’autorité d’enregistrement étant également la "personne ressources" en terme de certificats, elle sera amenée à guider les membres du laboratoires à la fois dans leurs démarche d’obtention et dans leur utilisation des certificats CNRS.

L’organisation idéale est d’avoir une autorité d’enregistrement très proche de la direction du laboratoire (le directeur ou la directrice, un/e ou plusieurs de ses adjoint/es, son assistant/e, etc.) et de faire effectuer les opérations de support par l’équipe informatique du laboratoire.

Les moyens humains du laboratoire ne permettent pas toujours de mettre en place cette organisation. Bien souvent, l’autorité d’enregistrement est l’informaticien du laboratoire et à défaut, le/a gestionnaire.

Pour nommer l’autorité d’enregistrement, le directeur ou la directrice du laboratoire transmet par courrier postal une lettre qui indique les noms et prénoms de la ou des autorités d’enregistrement du laboratoire.

Voir l’exemple de courrier

Le Service des systèmes d’information assure tout au long de l’année le support et l’assistance aux autorités d’enregistrement.

Comment faire une demande de certificat ?

 

La demande s’effectue en deux étapes. La première consiste à charger les autorités de certification du CNRS, la deuxième consiste à remplir le formulaire WWW de demande.

Charger les autorités de certification du CNRS

De même qu’une carte d’identité est signée par le préfet du département, les certificats CNRS sont signés de façon électronique par une sorte de préfecture électronique qu’on appelle autorité de certitication.

Il est indispensable que vos outils de navigation et de messagerie Internet connaissent les principales autorités de certification du CNRS. Dans le cas contraire, il s’en suivra des dysfonctionnements assez incompréhensibles car vos outils ne seront pas en mesure de vérifier la validité des certificats qu’ils manipulent.

Le chargement des autorités de certification du CNRS est une opération très simple qui s’effectue en quelques clics de souris.
Il existe plusieurs autorités de certificats au CNRS et le lien ci-dessous les charge toutes.

Pour ce faire, cliquez sur le lien ci-dessous :

Charger l’autorité de certification CNRS2

Si vous ne souhaitez installer que les autorités de certification CNRS2 et CNRS2-standard, cliquez sur les deux lien ci-dessous :
AC CNRS2
AC CNRS2-standard

Selon le navigateur que vous utilisez, vous effectuerez les opérations suivants :

- avec Mozilla, FireFox, Netscape 7 : une fenêtre s’ouvre. Il vous est demandé si vous souhaitez accepter le certificat pour identifier des sites Web, des utilisateurs de courrier ou des développeurs de logiciel. Cochez les trois cases et cliquez sur OK.

- avec Internet Explorer : une fenêtre s’ouvre. Il vous est demandé si vous souhaitez ouvrir ce fichier ou l’enregistrer, etc. Cliquez sur "ouvrir". Dans la fenêtre qui s’ouvre, cliquez sur le bouton "Installer le certificat". Ensuite, dans toutes les fenêtres qui apparaissent, vous laisserez les choix proposés par Internet Explorer. Vous n’aurez donc qu’à cliquer sur une succession de bouton "Suivant", "OK" ou "Terminé".

Faire la demande de certificat

La demande de certificat s’effectue via un formulaire WWW accessible de la façon suivante. Cliquez-ici : http://igc.services.cnrs.fr/CNRS2-Standard/ ?lang=fr&cmd=certificates&type=usercert

Saisissez votre prénom, votre nom, votre adresse électronique et votre numéro de téléphone. Indiquez le code de votre laboratoire. Cliquez sur "envoyer" pour aboutir à une fenêtre vous indiquant que votre demande est enregistrée et que vous allez recevoir un message de confirmation.

Ce message arrive en général dans la minute qui suit. Ouvrez votre messagerie, repérez le message dont le sujet est "[IGC] Confirmation de demande de certificat". Ouvrez ce message et cliquez sur le lien qu’il contient.

A cette étape de la demande, l’autorité d’enregistrement de votre laboratoire est prévenue. Elle doit vous contacter afin de vérifier que vous êtes bien l’auteur de la demande de certificat. Ensuite, elle validera votre demande.

Vous recevrez alors un message dont le sujet est "[RA] Votre demande de certificat". Il contient un lien qu’il vous suffit de cliquer pour récupérer votre certificat.
Attention : la récupération du certificat doit se faire dans le navigateur ayant servi à faire la demande.

Haut de page

 

Déploiement global des autorités de certification CNRS

 

Le déploiement peut être géré en s’appuyant sur les mécanismes d’Active Directory et GPO(demander conseil à info@dr6.cnrs.fr ) ou par d’autres mécanismes pour Mozilla et Firefox (voir le site http://www.cnrs.fr/aquitaine-limousin/spip.php ?article1687 ).