MIDDLEWARE CLASSIC CLIENT



Documents pareils
Certificats Electronique d AE sur Clé USB

McAfee Data Loss Prevention Endpoint 9.4.0

Middleware eid v2.6 pour Windows

Service de lettre électronique sécurisée de bpost. Spécificités techniques

Logiciel de conférence Bridgit Version 4.6

LA CARTE D IDENTITE ELECTRONIQUE (eid)

La Carte d Identité Electronique

Date : juin 2009 AIDE SUR LES CERTIFICATS. Comment sauvegarder et installer son certificat

Parallels Transporter Lisez-moi

Guide d installation et d utilisation

Exigences système Edition & Imprimeries de labeur

VOTRE SOLUTION OPTIMALE D AUTHENTIFICATION

Authentification à deux facteurs Cryptage portable gratuit des lecteurs USB Cryptage du disque dur

Manuel d installation du pilote pour e-barreau Pour Windows XP Vista 7 avec Internet Explorer 32/64bits

INSTALLER LA DERNIERE VERSION DE SECURITOO PC

McAfee Data Loss Prevention Endpoint

La renaissance de la PKI L état de l art en 2006

1. Installation standard sur un serveur dédié

Manuel d installation du pilote pour e-barreau Pour Windows XP Vista 7 avec FIREFOX 32/64bits

Recommandations techniques

Blueprint OneWorld v8.2a Configuration Recommandée

Exigences système Edition & Imprimeries de labeur

Certificats Electroniques sur Clé USB

CERTIFICATS ELECTRONIQUES SUR CLE USB CERTIGREFFE

Activités professionnelle N 2

PREREQUIS TECHNIQUES. Yourcegid Etafi Start

CERTIFICATS ELECTRONIQUES SUR CLE USB

Certificats Electroniques sur Clé USB

TheGreenBow IPsec VPN Client. Guide de Déploiement Options PKI. Site web: Contact:

Comment installer un certificat de signature et de chiffrement pour Mozilla Thunderbird

WORKSHOP OBIEE 11g (version ) PRE-REQUIS:

Silk Central Notes de Release

Sharpdesk V3.3. Guide d installation Push pour les administrateurs système Version

Configuration système requise. pour les grandes et moyennes entreprises

Nous souhaitons fournir un service sécurisé sans pour autant chiffrer sans garantir la fiabilité du chiffrement.

Configuration système requise pour les grandes et moyennes entreprises

Mode d emploi pour lire des livres numériques

Zeus V3.XX :: PRE-REQUIS TECHNIQUES

ACCESS à l ordinateur.

JetClouding Installation

Configuration système requise

Worry-FreeTM. Business Security Éditions Standard et Advanced. Administrator s Guide. Configuration minimale requise

Exportation d'une VM sur un périphérique de stockage de masse USB

Version 2.2. Version 3.02

- CertimétiersArtisanat

Pré-requis installation

Guide d'installation du token

Samsung Magician v.4.3 Guide d'introduction et d'installation

Documentation utilisateur, manuel utilisateur MagicSafe Linux. Vous pouvez télécharger la dernière version de ce document à l adresse suivante :

FAQ Mobiclic/ Toboclic

AssetCenter Notes de version

HASH LOGIC. Web Key Server. Solution de déploiement des certificats à grande échelle. A quoi sert le Web Key Server? A propos de HASHLOGIC

MANUEL D INSTALLATION DES PRE REQUIS TECHNIQUES SALLE DES MARCHES V.7

Cyberclasse L'interface web pas à pas

COMMISSION TIC. Vade-mecum de l utilisation de la signature électronique liée à la carte d identité électronique

MailStore Server 7 Caractéristiques techniques

Procédure d installation pour WinEUR PROCÉDURE D INSTALLATION POUR WINEUR. Copyright GIT SA 2015 Page 1/16

Kaspersky Security Center 9.0 Manuel d'implantation

Parallels Desktop 5 Switch to Mac - Lisez-moi

LEADER DES SOLUTIONS D AUTHENTIFICATION FORTE

Accès instantané aux mots et aux locutions Le dictionnaire électronique offre une traduction rapide d'un mot ou d'une locution

CAHIER DES CHARGES D IMPLANTATION

SQL Server Installation Center et SQL Server Management Studio

MailStore Server. La référence en matière d archivage d s

Fiche technique. NCP Secure Enterprise Management, SEM. Technologie d'accès à distance au réseau nouvelle génération

Guide d'installation. Release Management pour Visual Studio 2013

Pré-requis techniques

Poste virtuel. Installation du client CITRIX RECEIVER

ClariLog - Asset View Suite

Manuel logiciel client Java

A Libre Ouvert. Médiathèque Jacques Ellul. le

Movie Cube. Manuel utilisateur pour la fonction sans fil WiFi

PPE BTS SIO Jourson - Attard Ascenzi Mancini GEP Marseille - 06/11/2014

Faille dans Internet Explorer 7

Responsabilités du client

Symantec Endpoint Protection Fiche technique

ELO Office / Pro Les avantages : Archivage et gestion documentaire

La carte d'identité électronique (carte eid): manuel d'installation pour Windows 2000 et Windows XP

Gestion des certificats en Internet Explorer

Purkinje Dossier Configuration requise. Version 5.11

Certificats Electroniques sur Clé USB

Guide de mise en œuvre. de la. Cryptolib CPS. environnement TSE/Citrix. V du 24/09/2014

Guide de migration. Version 1.1 du 27/06/2013

cc.region.beaujeu@wanadoo.fr Site Internet Actuellement nous trouvons ce schéma réseau :

Sage 100 CRM Les compatibilités Version Mise à jour : 2015 version 8

PACK ADSL WIFI. Configurer ma connexion ADSL avec Modem/Routeur Sagem 1400W

COMMUNICATIONS ASSISTANT v4 TOUJOURS AU-DELÀ DE VOS ATTENTES

Demande d'assistance : ecentral.graphics.kodak.com

Responsabilités du client

Acquisition de matériels informatiques

Responsabilités du client

Pré-requis techniques. Yourcegid Secteur Public On Demand Channel

Aide d'active System Console

(1) XDCAM Browser

MANUEL D INSTALLATION

Service de Virtualisation de la DSI UJF

Transcription:

MIDDLEWARE CLASSIC CLIENT Le middleware de Gemalto proposé avec les cartes Classic TPC IM CC v3 est appelé «Classic Client». Ce middleware supporte l'ensemble des cartes de la gamme «Classic TPC». Caractéristiques générales Logiciel Cryptographie à clé publique RSA Authentification SSL Signature et chiffrement S/MIME Support CryptoAPI pour les applications Microsoft Support PKCS #11 pour les applications tierces Génération de bi-clé sur la carte Smart card logon natif sous Windows 2000, XP, Vista et 2003 Signature/chiffrement des documents Office Signature/chiffrement des documents Adobe Acrobat Support clients VPN Autentification WiFi par carte à puce/ certificats Support Citrix et Terminal Services Support IdenTrust Création de packages d'installation utilisateurs: utilitaire de création par l'administrateur de package de setup destinés au déploiement par les utilisateurs finaux. Gestion de certificats:: propagation automatique, visualisation, import, export (sauf clé privée) et suppression. Gestion de code PIN: Politique de PIN, changement de PIN à la première utilisation en option, interface de changement et déblocage de code PIN Lecteurs de carte 1. Support pour tout lecteur compatible PC/SC 2. Support pour le lecteur sécurisé à clavier et écran Gemalto PC Pinpad

Architecture de Classic Client Classic Client est fondé sur des APIs standard: PKCS#11 et CAPI. Celles-ci sont installées sur le poste client, afin que les applications faisant usage de modules cryptographiques puissent avoir accès aux certificats et biclés présents sur les cartes. Grâce à cette architecture, les applications n'ont ainsi pas besoin de connaître le type de carte à puce ou clé USB employé et la manière de communiquer avec elles: c'est le rôle de Classic Client. Utilitaire Classic Client Toolbox Tous les outils fournis par Classic Client sont regroupés dans un utilitaire appelé Classic Client Toolbox, qui founit un certain nombre de fonctionnalités à l'utilisateur. Cet outil est disponible dans de nombreux langages dont le français voir liste complète plus loin dans ce document. 1 Administration de la carte 1.1. Changement du PIN et déblocage (si autorisé) 2 Contenu de la carte Voir les informations sur la carte Voir les Certificates stockés sur la carte (et choisir le cas échéant le certificat par défaut pour le logon par carte à puce) 3 Diagnostics (destiné aux interactions avec le support technique) Informations détaillées sur le produit et son installation Ci dessous, l'interface de changement de code PIN:

Import et export de certificats Figure - Gestion du code PIN Le Classic Client Toolbox permet d'importer et exporter des certificats. La disponibilité de ces fonctions peut être configurée (permise ou non) par l'administrateur lors de la création du setup utlisateur. Dans le dossier Certificats, l'utilisateur peut: Importer un certificat dans la carte à puce, depuis le magasin de certificats Windows ou bien depuis un fichier dans un des formats suivants: Fichier PKCS#12 (*.p12, *.pfx) Fichier binaire (*.der, *.cer, *.crt) PKCS#7 (*.p7b) Certificat encodé Base 64 (*.b64)

Exporter un certificat depuis la carte à puce vers le magasin Windows ou bien un fichier Note: il n'est naturellement pas possible d'exporter vers un fichier PKCS#12, ce format étant destiné à contenir et certificat et biclé entier: la carte à puce n'autorise jamais l'export de la clé privée une fois que celle-ci a été soit générée à bord soit chargée ultérieurement. 1.1.1.1 Déblocage de PIN à distance Figure - Gestion des certificats Si le PIN de la carte est bloqué (par défaut après trois tentatives), l'administrateur peut définir plusieurs options: L'utilisateur peut débloquer la carte directement à l'aide du PUK L'utilisateur peut débloquer la carte en mode challenge response dans lequel il doit appeler le support technique qui lui communiquera un code de déblocage à usage unique

L'utilisateur n'est pas autorisé à débloquer sa carte (soit parce que seul l'administrateur a accès à cette option, soit parce que le code de déblocage n'est pas initialisé) L'option numéro deux ci dessus permet de mettre en place une procédure de déblocage plus sécurisée que l'utilisation d'un simple code PUK - L'utilisateur n'est pas obligé de faire appel à un administrateur pour débloquer sa carte, le support technique habituel peut suffire. - L'administrateur ne communique jamais le véritable code PUK - L'utilisateur ne peut pas réutiliser le code de déblocage, celui-ci étant à usage unique - Il n'est pas possible de débloquer une carte autre que celle de l'utilisateur à l'aide de code de déblocage Dans ce mode, l'utilisateur téléphone au support technique, s'identifie, et après communication de son numéro de série de carte et du code aléatoire affiché dans la Classic Client Toolbox, le helpdesk lui fournit un code de déblocage. Avec ce code déblocage, qui n'est valide qu'une seule fois, l'utilisateur peut débloquer sa carte et choisir un nouveau PIN. 1. L'utilisateur choisit l'option Administration de la carte dans le Classic Client Toolbox et choisit l'option Déblocage de PIN. L'utilisateur appelle alors le support technique et, après identification, communique le numéro de série et aléa qui sont affichés:

Figure - Déblocage de PIN à distance 2. Le support technique communique alors un code temporaire de déblocage (en réalité le code PUK chiffré) que l'utilisateur peut alors taper. La carte est alors débloquée et l'utilisateur choisit un nouveau code PIN. Figure - Déblocage et choix du nouveau PIN

Notes importantes sur l'utilisation du déblocage de PIN à distance: L'utilisation de cet outil nécessite que l'opérateur du support technique ait accès à l'application de déblocage correspondante, afin de pouvoir: 1 Entrer le numéro de série de la carte de l'utilisateur ainsi que l'aléa 2 Calculer le code de déblocage à communiquer au téléphone. Cette application peut être facilement intégrée dans les workflows des supports techniques, ou même à l'intérieur d'applications de 'Card Management Systems'. L'opérateur du support technique doit posséder une carte dédiée qui stocke les codes de déblocage de manière sécurisée et calcule les codes de déblocage. Fonctions administrateur de Classic Client Toolbox Le logiciel Classic Client livré sur CDROM ou bien via un site web sécurisé est par défaut un package administrateur, qui permet à l'intégrateur de définir lui-même l'ensemble des paramètres qui seront accessibles aux utilisateurs finaux de Classic Client. Ce package contient ainsi une option Administrateur spécifique permettant à un administrateur de définir ces options, et de générer le Setup d'installation correspondant. De cette manière, l'intégrateur ou l'administrateur peut définit précisément les réglages de sécurité ainsi que de politique de code PIN, ainsi que les options de configuration, et créer un exécutable déployé chez les utilisateurs. Durant la création d'un installateur destiné aux utilisateurs finaux, trois grandes étapes sont proposées: 1. Réglages de configuration 2. Politique de code PIN 3. Spécifications du paquet d'installation Naturellement, le paquet d'installation utilisateur ainsi généré ne contiendra aucune des options administrateur. Réglages de configuration:

Lors de cette étape, l'administrateur définit à travers une interface graphique les options de configuration du setup utilisateur: Si l'utilisateur peut débloquer une carte bloquée Si l'utilisateur a accès à la procédure de déblocage à distance décrite précédemment Si l'utilisateur a le droit ou non d'effacer le contenu de sa carte Si l'utilisateur est autorisé à changer son code PIN ou non. Si l'import et l'export de certificats est autorisé Figure - Ecran de configuration Politique de code PIN: Dans cette fenête, l'administrateur peut définir la politique de code PIN. 1. Longueur du code PIN 2. Caractères autorisés 3. Vérification de l'historique du code PIN, et de présence de répétitions (e.g. 11221122)

4. Appartenance du PIN à une liste de PIN 'faibles' connue, et définition de cette liste. Figure - Politique de code PIN Par la suite, lorsqu'un utilisateur souhaitera changer son code PIN, la politique définie par l'administrateur affichée par Classic Client, et l'utilisateur devra suivre cette politique afin de changer son code PIN. Génération du paquet d'installation: L'administrateur, après définition des configurations ci-dessus, pourra ensuite générer un ou plusieurs paquets d'installation correspondant aux divers profils d'utilisateurs en usage pour son application. Cest paquets comprendront:

Les réglages de configuration La politique de PIN La langue 1. Les divers modules supplémentaires à inclure ou non Figure - Génération de l'installeur Une fois définies, ces options permettront de créer un installeur personnalisé qui pourra ensuite être distribué aux utilisateurs finaux. Déploiement de l'installeur Après avoir créé un installeur à destination des utilisateurs finaux, se pose la question des options de déploiement.

L'installeur se présente sous forme d'un répertoire contenant un fichier setup.msi ainsi que les divers fichiers nécessaires à l'installation. Plusieurs méthodes peuvent être utilisées: 1. Gravage et distribution d'un CDROM 2. Fourniture du Package via une distribution en ligne 3. Déploiement du logiciel via un système automatisé. Ce mode est particulièrement adapté en entreprise où le déploiement des logiciels s'effectue généralement en mode silencieux, 'poussé' par l'administrateur.

Description technique des composants de Classic Client Cette section décrit les diverses caractéristiques techniques de Classic Client, ainsi que la liste des applications testées par Gemalto à chaque sortie de nouvelle version. Cependant, Classic Client peut fonctionner en général avec toute application faisant usage de soit PKCS#11 soit Microsoft-CAPI, et cette liste n'est donc pas exhaustive. Cependant, aucune suite standard de certification n'existant pour ces deux standards, Gemalto effectue un certain nombre de tests pour les applications les plus populaires, et un test d'intégration est recommandé pour les applications non présentes dans la liste. Version du produit : v6.0 Applets et cartes supportées: Classic TPC IS Classic TPC IM CC Classic MDE TPC IM Carte IAS ECC Cartes obsolètes supportées: GemSafe GPK16000 (requires GPK add-on on top of Classic Client) Lecteurs de carte à puce supportés: Contact: o PC Card o PC Express o USB Shell Token V2 o PC Twin

o o o USB e-seal Token V2 PC USB-SL PC USB-TR Secure PIN Pad Readers: o PC Pinpad o GCR 5500 o Dell keyboards SK-3105, SK-3205 and RT7D60 Contactless: o Prox DU/SU Systèmes d'exploitation supportés: Windows 2000 Professional SP4 32 bits Windows XP Pro SP2 & SP3 32 & 64 bits Windows Vista SP1 & SP2 32 & 64 bits Windows 7 32 & 64 bits Windows Server 2003 R2 SP2 32 & 64 bits Windows Server 2008 (up to SP2) 32 & 64 bits Windows Server 2008 R2 64 bits Linux RedHat RHEL v5 32 bits Debian Etch 32 bits Mac OS 10.5 & 10.6 Prérequis matériels: Processeur 1GHz minimum 1Go de RAM minimum pour Windows 32 bits 1Go de RAM minimum pour Windows 64 bits Interfaces cryptographiques supportées:

PKCS#11 v2.01 Microsoft CAPI v2 Langues supportées en standard: Anglais Chinois (Simplifié) Chinois (Traditionel) Czech Hollandais Français Allemand Hongrois Italien Japonais Latvian Polonais Portuguais Espagnol Suédois Turc Nom du produit Versions Commentaire Navigateurs Internet Explorer, v7, v8 Strong authentication with SSL

Nom du produit Versions Commentaire Mozilla Firefox V3.0, V3.5 Strong authentication with SSL, PIN change, PKCS#12 file key injection Email Microsoft Outlook 2003 SP1 & 2007, express Email signature and encryption Mozilla Thunderbird v2.0 Email signature and encryption Certification Authorities Microsoft Windows CA Server 2003/2008 Certificate enrolment and renewal Entrust Authority v7.1 Certificate enrolment and renewal Card Management Systems Opentrust SCM V4.1 Certificate enrolment and renewal Microsoft ILM 2007 FP1 Certificate enrolment and renewal Intercede MyID 8.0 SR1 Certificate enrolment and renewal Thin client and remote access Microsoft Terminal Services Server 2003 & 2008 Smartcard logon Citrix Xenapp Server v4.5 & 5.0 Smartcard logon Office tools Microsoft office 2003 SP1, 2007 Documents signature and encryption, VB macros signing Adobe Acrobat Reader V8, v9 Document encryption and signature Adobe Acrobat V9 Document encryption and signature Open Office V3.0 Document signature Disk Encryption McAfee Endpoint Encryption Build 5600 Preboot Authentication & Disk Encryption WinMagic SecureDoc 4.8 Preboot Authentication & Disk Encryption

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back