Manuel Utilisateur de l`application CLEO Outil de

Transcription

GR
ER
ET
PU B
L IC
Référence : Manuel-CLEO-V01.03.doc
OU
T
’IN
PEM EN T D
Manuel Utilisateur
de l’application
CLEO
Outil de gestion de demandes & réponses
de certificats avec le serveur d’inscription
22 novembre 2006
Version 01.03
22 novembre 2006
Confidentiel GIP "CPS"
© GIP "CPS" : Ce document est la propriété du Groupement d'intérêt Public CPS.
Il ne peut être reproduit sans autorisation écrite.
Page 1 / 33
GIP "CPS"
Manuel Utilisateur de CLEO
Version 01.03
SOMMAIRE
1.
Objet du document.................................................................................................... 3
2.
Installation de l’application CLEO ........................................................................... 3
3.
Désinstallation de l’application CLEO..................................................................... 7
4.
Prise en mains de l’application CLEO ..................................................................... 9
4.1
La barre de menu......................................................................................................................................... 10
4.2
La fenêtre des dossiers et demandes .......................................................................................................... 10
5.
Manipulations .......................................................................................................... 12
5.1
Configuration de CLEO.............................................................................................................................. 13
5.2
Création de dossiers..................................................................................................................................... 14
5.3
Création d’une demande............................................................................................................................. 15
5.4
Génération de Bi-clé .................................................................................................................................... 16
5.5
Génération de la demande de certificat ..................................................................................................... 17
5.6
Réponse à la demande de certificat ............................................................................................................ 21
5.7
Effectuer la livraison vers le serveur.......................................................................................................... 24
5.8
Révoquer les certificats ............................................................................................................................... 26
6.
Foire aux questions ................................................................................................ 30
7.
Suivi des versions du document ........................................................................... 33
22 novembre 2006
© GIP "CPS"
Page 2 / 33
GIP "CPS"
Version 01.03
1. Objet du document
Ce document constitue le manuel utilisateur de l’application CLEO, application Windows de
gestion par un établissement de demandes de certificats de Serveurs (Classe 4) auprès de l’autorité
de certification du GIP-CPS.
2. Installation de l’application CLEO
Il suffit de lancer le « setup.exe » fourni et de valider tous ses choix. Exemple :
22 novembre 2006
© GIP "CPS"
Page 3 / 33
GIP "CPS"
Version 01.03
CLEO utilise un logiciel libre OpenSSL que le programme d’installation va donc copier sur votre
PC (sans risque de toucher à une version d’OpenSSL qui pourrait déjà être présente).
La réglementation autorise cette installation, pour peu que la licence soit affichée
22 novembre 2006
© GIP "CPS"
Page 4 / 33
GIP "CPS"
Version 01.03
Le répertoire d’installation par défaut est « C:\CleoCPS ». Vous pouvez le changer mais ill est
recommandé de ne pas chercher à installer plusieurs CLEO dans des répertoires différents.
22 novembre 2006
© GIP "CPS"
Page 5 / 33
GIP "CPS"
Version 01.03
CLEO est maintenant intégré parmi les applications du PC :
« Démarrer » ; « Programmes » ; « GIP-CPS » ; « CLEOCPS »
Le répertoire d’installation par défaut est :
« C:\CleoCPS »
22 novembre 2006
© GIP "CPS"
Page 6 / 33
GIP "CPS"
Version 01.03
3. Désinstallation de l’application CLEO
Que vous relanciez le « setup.exe » ou lanciez un « setup.exe » d’une nouvelle version, vous
n’aurez que le choix de désinstaller CLEO.
Il n’y a aucun risque à valider cette suppression des fichiers car elle ne concerne que les logiciels et
pas les autres fichiers (clés, certificats, etc…) résultats d’une précédente installation et utilisation de
CLEO.
Cependant, il est recommandé d’avoir terminé le traitement complet d’une demande de certificat
(voir le chapitre « Prise en mains » - « Manipulations » avant de désinstaller CLEO.
22 novembre 2006
© GIP "CPS"
Page 7 / 33
GIP "CPS"
Version 01.03
Les logiciels ont été supprimés du répertoire d’installation (« C:\CleoCPS » par défaut) mais ce
répertoire n’est pas effacé si des fichiers y ont été créés au cours d’une utilisation de CLEO.
22 novembre 2006
© GIP "CPS"
Page 8 / 33
GIP "CPS"
Version 01.03
4. Prise en mains de l’application CLEO
Pour pouvoir utiliser CLEO, il faut que les bibliothèques Cryptolib-CPS soient installées et
opérationnelles (en fait : un lecteur CPS, les API-CPS et PKCS#11-CPS) par votre service
informatique.
Il suffit de « Cliquer » sur « Démarrer » ; « Programmes » ; « GIP-CPS » ; « CLEOCPS »…
… Et vous êtes prêts pour utiliser CLEO…
22 novembre 2006
© GIP "CPS"
Page 9 / 33
GIP "CPS"
Version 01.03
4.1 La barre de menu
•
« Actions » permet de « Configurer » CLEO et de le « Quitter ».
•
« Dossiers » permet de « Créer » ou « Supprimer » des Dossiers et des Demandes de
certificats dans ces Dossiers.
•
« Affichage » permet d’afficher ou non la barre d’état du clavier : NUM et/ou MAJ
verrouillés.
•
« ? » permet d’afficher « Aide » (non implémentée) et par « A propos de CLEOCPS…» la
version du produit. Exemple :
4.2 La fenêtre des dossiers et demandes
Originellement vide, cette fenêtre contiendra tous les dossiers et demandes que vous aurez créés.
Exemple :
Pour chaque demande dans un dossier, la boîte à onglet permet d’effectuer un ensemble de travaux.
22 novembre 2006
© GIP "CPS"
Page 10 / 33
GIP "CPS"
Version 01.03
© GIP "CPS"
Page 11 / 33
Exemple :
22 novembre 2006
GIP "CPS"
Version 01.03
5. Manipulations
Ce chapitre présente l’enchaînement des manipulations à effectuer pour gérer des demandes de
certificats.
Pour mener à bien ces opérations, vous devez disposer au préalable, pour chaque serveur à
sécuriser :
Des informations techniques contenues dans le dossier administratif de « Demande de
certificats de serveur applicatif » adressé au GIP-CPS par le Responsable de la Structure :
•
L’identification nationale de la structure dans laquelle le serveur est déclaré.
•
Le nom de domaine pleinement qualifié (FQDN) du serveur qui va être sécurisé.
D’une carte, de la famille CPS, appartenant à une personne enregistrée au GIP-CPS comme
ayant le rôle d’administrateur du serveur pour lequel vous effectuez les demandes de
certificats.
Les manipulations possibles sont :
1) Configurer CLEO avec les paramètres correspondants à l’établissement.
2) Créer un 1er dossier qui contiendra un ensemble de demandes de certificats :
3) Créer une 1ère demande de certificat et gérer les étapes de cette demande :
4) Générer le bi-clé.
5) Générer la demande de certificat à destination du serveur d’inscription.
6) Intégrer la réponse du serveur d’inscription à cette demande.
7) Effectuer la livraison vers le Serveur.
8) Eventuellement, mais êtes-vous certain de vouloir révoquer vos
certificats ? Générer une demande de révocation des certificats à destination
du serveur de révocation.
3) Créer une 2ième demande de certificat et gérer cette demande…
…
3) Créer une Nième demande de certificat et gérer cette demande…
…
ième
2) Créer un 2
dossier qui contiendra un ensemble de demandes de certificats…
…
2) Créer un Nième dossier qui contiendra un ensemble de demandes de certificats…
…
Note :
La carte CPS sera nécessaire au moment de la génération de la demande de certificat à
destination du serveur d’inscription et d’une éventuelle génération de demande de révocation des
certificats à destination du serveur de révocation. Il sera demandé de saisir le Code Porteur de
cette CPS.
22 novembre 2006
© GIP "CPS"
Page 12 / 33
GIP "CPS"
Version 01.03
5.1 Configuration de CLEO
CLEO est installé avec un paramétrage par défaut qu’il est possible de modifier par le menu
« Actions » et « Configurer »…
…Pour initialiser ces paramètres avec les valeurs correspondantes à la structure, exemple :
(Ici, la structure est référencée par un SIRET = 18003000900039)
22 novembre 2006
© GIP "CPS"
Page 13 / 33
GIP "CPS"
Version 01.03
5.2 Création de dossiers
Dans le menu « Dossiers », par le choix de « Créer un dossier » :
Le nom du dossier est libre. Vous verrez à l’usage s’il vous est pratique de vous choisir une
politique de nommage personnelle et adaptée…
En complément, il est aussi possible de saisir un commentaire libre :
22 novembre 2006
© GIP "CPS"
Page 14 / 33
GIP "CPS"
Version 01.03
5.3 Création d’une demande
Dans le menu « Dossiers », par le choix de « Créer une demande de certificat ».
Choisir le type de Classe 4 (S/MIME ou SSLE) requis :
et
Le nom de la demande est libre. Vous verrez à l’usage s’il vous est pratique de vous choisir une
politique de nommage personnelle et adaptée…
En complément, il est aussi possible de saisir un commentaire libre :
22 novembre 2006
© GIP "CPS"
Page 15 / 33
GIP "CPS"
Version 01.03
5.4 Génération de Bi-clé
« Cliquer » sur l’onglet « Bi-clé ».
Et « Cliquer » sur le bouton « Générer avec mot de passe » ; car il est :
•
obligé ne pas modifier la longueur de la clé (1024), seule valeur acceptée aujourd’hui par le
serveur d’inscription.
•
réservé à un usage d’initiés d’utiliser la possibilité d’importation de PKCS#10.
•
recommandé de demander à « Générer avec mot de passe » pour protéger les futurs accès à
la clé privée qui va être générée (mais pensez à sauvegarder ce mot de passe) :
et
22 novembre 2006
© GIP "CPS"
Page 16 / 33
GIP "CPS"
Version 01.03
5.5 Génération de la demande de certificat
« Cliquer » sur l’onglet « Demande de certificat ».
Dans les champs modifiables et donc à saisir :
•
Vous devez retrouver les champs (O), (L) et (OU) précédemment renseignés durant la
configuration de CLEO. A priori, vous n’avez ainsi pas à les modifier.
•
Reportez dans les champs (CN) et (SAN) les valeurs des informations techniques contenues
dans votre dossier administratif de « Demande de certificats de serveur applicatif ».
Ce n’est qu’après avoir « appliqué les modifications » qu’il vous sera possible de « générer la
demande » :
•
Gardez l’option « Signer la demande avec carte CPS (format PKCS#7) »
(Rappel : l’usage du format PKCS#10 est réservé aux initiés)
•
Vous disposez de votre carte CPS ayant le rôle d’administrateur du serveur (sinon, vous
devez solliciter le porteur d’une telle carte…)
•
Cliquez sur le bouton « Générer la demande »
22 novembre 2006
© GIP "CPS"
Page 17 / 33
GIP "CPS"
Version 01.03
Cette génération nécessitant l’activation par CLEO de la clé privée, celui-ci vous demande de lui
fournir son mot de passe créé lors de la génération du bi-clé :
Cette demande doit être signée par la CPS.
Si la CPS n’est pas présente dans le lecteur CLEO, le détecte :
La CPS n’accepte de signer que si le code porteur est actif.
Si le code porteur n’a pas été présenté à la CPS, il vous est demandé :
22 novembre 2006
© GIP "CPS"
Page 18 / 33
GIP "CPS"
Version 01.03
Le fichier résultat, qui constitue la demande générée (signée par la CPS et chiffrée à destination du
serveur d’inscription) doit impérativement être sauvegardé pour les étapes ultérieures. Exemple :
Un répertoire « Enregistrer dans : » est proposé par défaut. Vous pouvez appliquez votre propre
règle de classement en sélectionner un autre répertoire de votre choix qui deviendra le nouveau
répertoire par défaut..
Le nom de fichier est libre. Par défaut, c’est le nom de la demande qui est proposé. Appliquez votre
propre règle de nommage.
22 novembre 2006
© GIP "CPS"
Page 19 / 33
GIP "CPS"
Version 01.03
Si votre poste a une messagerie accessible, CLEO y génère directement le message qu’il faut
envoyer au serveur d’inscription. Exemple :
Que CLEO n’ait pu créer ce message dans votre BAL, que vous envoyiez, enregistriez pour envoi
ultérieur ou supprimiez ce message, le fichier est sauvegardé :
Vous devez donc - après avoir émis le message avec le fichier « P7M » en pièce jointe - attendre la
réponse du serveur d’inscription, qui viendra dans la BAL de celui qui émet la question, pour
procéder à l’étape suivante.
22 novembre 2006
© GIP "CPS"
Page 20 / 33
GIP "CPS"
Version 01.03
5.6 Réponse à la demande de certificat
Une fois reçue la réponse du serveur d’inscription :
Et sauvegardé le fichier « P7C » en pièce jointe…
Qu’il est d’ailleurs recommandé de renommer…
22 novembre 2006
© GIP "CPS"
Page 21 / 33
GIP "CPS"
Version 01.03
« Cliquez » sur l’onglet « Réponse à la demande de certificat ».
Et « Cliquez » sur « Importer réponse (certificat *.p7c).
Les contrôles qu’effectue CLEO mettant en jeu la clé privée, il faut re-saisir son mot de passe :
22 novembre 2006
© GIP "CPS"
Page 22 / 33
GIP "CPS"
Version 01.03
Puis rechercher le certificat reçu :
Le traitement prend quelques secondes… Jusqu’au succès !
22 novembre 2006
© GIP "CPS"
Page 23 / 33
GIP "CPS"
Version 01.03
5.7 Effectuer la livraison vers le serveur
Le traitement (génération et inscription) est maintenant terminé pour CLEO. Dès le lendemain, le
certificat sera visible dans l’annuaire du GIP-CPS.
Il vous reste cependant à effectuer la livraison du bi-clé et de son certificat vers l’exploitant du
serveur.
Deux possibilités vont sont offertes, suivant le destinataire (voir avec l’exploitant du serveur) :
•
Sous forme de fichiers « .key » et « .crt »
•
Sous forme d’un fichier « PKCS#12 » ; il faut alors saisir le mot de passe de la clé privée :
22 novembre 2006
© GIP "CPS"
Page 24 / 33
GIP "CPS"
Version 01.03
Ce fichier P12 doit être protégé par un AUTRE mot de passe que vous donnerez au récipiendaire
pour qu’il puisse l’importer sur le serveur :
et
En final, voici tous les fichiers qui ont été générés :
22 novembre 2006
© GIP "CPS"
Page 25 / 33
GIP "CPS"
Version 01.03
5.8 Révoquer les certificats
La révocation de certificats est une opération « délicate » dans la mesure où elle va supprimer ceuxci de l’annuaire et les mettre en opposition : plus personne ne pourra les utiliser !
Une révocation doit donc être dûment réfléchie et justifiée.
Il est possible de révoquer tous les certificats d’un serveur ou tous SAUF le dernier :
22 novembre 2006
© GIP "CPS"
Page 26 / 33
GIP "CPS"
Version 01.03
La procédure de révocation avec CLEO est comparable à la demande de certificats…
Elle exige la possession de la carte CPS de l’administrateur du domaine.
La demande, signée par la carte, est enregistrée dans un fichier :
Elle nécessite l’envoi de ce fichier en pièce jointe d’un message vers le serveur de révocation du
GIP-CPS :
22 novembre 2006
© GIP "CPS"
Page 27 / 33
GIP "CPS"
Version 01.03
Que CLEO n’ait pu créer ce message dans votre BAL, que vous envoyiez, enregistriez pour envoi
ultérieur ou supprimiez ce message, le fichier est sauvegardé :
Les réponses du serveur de révocation seront, pour chacun des certificats révoqués par la demande :
22 novembre 2006
© GIP "CPS"
Page 28 / 33
GIP "CPS"
Version 01.03
Ainsi qu’un bilan global de traitement :
22 novembre 2006
© GIP "CPS"
Page 29 / 33
GIP "CPS"
Version 01.03
6. Foire aux questions
Q:
J’ai lancé l’installation de CLEO, celle-ci me propose le choix suivant :
R:
Il y a déjà une précédente version de CLEO installée sur votre poste. Il est préférable de la
désinstaller avant de relancer l’installation.
Q:
Après avoir installé CLEO, au lancement de cet outil, j’ai le message suivant :
R:
CLEO s’appuie sur un des composants (PKCS#11) des bibliothèques Cryptolib-CPS. Vous
devez donc avoir, au préalable, installé un lecteur de cartes (ce peut être un lecteur PC/SC)
et ces bibliothèques Cryptolib-CPS pour pouvoir utiliser CLEO.
22 novembre 2006
© GIP "CPS"
Page 30 / 33
GIP "CPS"
Version 01.03
Q:
Je reçois un message d’erreur de l’autorité du GIP-CPS. Que dois-je faire ?
Exemple de tel message :
R:
Le message d’erreur indique que votre demande n’a pu aboutir.
Dans le cas présenté, ce message indique que le porteur de la carte CPS utilisée pour signer
la demande de certificat n’est pas reconnu au GIP-CPS comme administrateur du doublet
serveur & domaine que vous avez saisi dans l’onglet « Demande de certificat » ; il faut
donc récupérer une carte et son porteur…
La cause du rejet étant identifiée, il vous faut malheureusement recommencer toute la
procédure à partir de la création d’une demande dans un dossier car CLEO ne vous
autorise pas à rejouer une demande. Vous supprimerez ensuite l’ancienne demande du
dossier.
22 novembre 2006
© GIP "CPS"
Page 31 / 33
GIP "CPS"
Version 01.03
Q:
Je reçois bien un message de l’autorité du GIP-CPS m’indiquant que mon certificat est
disponible. Mais où est ce certificat ?
R:
Le certificat est bien dans le message en pièce jointe, mais vous ne le voyez pas ! Changez
des options d’affichage de ce message et enregistrez ces modifications peut le faire
apparaître. Ici, par exemple, l’importance du message a été changée vers « Haute »…
Ensuite, en fermant et rouvrant le message, le certificat Smime.p7c (2 Ko)est bien visible
en pièce jointe :
22 novembre 2006
© GIP "CPS"
Page 32 / 33
GIP "CPS"
Version 01.03
7. Suivi des versions du document
Version 01.00 -> 31/10/2006
- Création
Version 01.01 -> 03/11/2006
- Corrections
Version 01.02 -> 20/11/2006
- Ajout des écrans d’installation et désinstallation
22 novembre 2006
© GIP "CPS"
Page 33 / 33

Manuel Utilisateur de l`application CLEO Outil de

Transcription

Documents pareils

Forum Micro-entreprise - Caisse de Prévoyance Sociale

3- Réactivation code Carte CPS ou CPF

L`activité physique au quotidien permet de rester fort et en santé

Demande de rachat des cotisations

Demande de relevé de carrière - Caisse de Prévoyance Sociale

e-Services CPS - Espace Employeur

opticiens - GIE SESAM

TELETRANSMISSION

Conseils techniques pour imprimer la nouvelle feuille de soins

Remplacemnet en tant que pédicure