Manuel Utilisateur. de l application CLEO. Outil de gestion de demandes & réponses de certificats avec le serveur d inscription.

Référence : Manuel-CLEO-V01.03.doc G R O U PEM EN T PU BLIC D IN TER ET Manuel Utilisateur de l application CLEO Outil de gestion de demandes & réponses de certificats avec le serveur d inscription 22 novembre 2006 Version 01.03 22 novembre 2006 Confidentiel GIP "CPS" Page 1 / 33

SOMMAIRE 1. Objet du document...3 2. Installation de l application CLEO...3 3. Désinstallation de l application CLEO...7 4. Prise en mains de l application CLEO...9 4.1 La barre de menu... 10 4.2 La fenêtre des dossiers et demandes... 10 5. Manipulations...12 5.1 Configuration de CLEO... 13 5.2 Création de dossiers... 14 5.3 Création d une demande... 15 5.4 Génération de Bi-clé... 16 5.5 Génération de la demande de certificat... 17 5.6 Réponse à la demande de certificat... 21 5.7 Effectuer la livraison vers le serveur... 24 5.8 Révoquer les certificats... 26 6. Foire aux questions...30 7. Suivi des versions du document...33 22 novembre 2006 GIP "CPS" Page 2 / 33

1. Objet du document Ce document constitue le manuel utilisateur de l application CLEO, application Windows de gestion par un établissement de demandes de certificats de Serveurs (Classe 4) auprès de l autorité de certification du GIP-CPS. 2. Installation de l application CLEO Il suffit de lancer le «setup.exe» fourni et de valider tous ses choix. Exemple : 22 novembre 2006 GIP "CPS" Page 3 / 33

CLEO utilise un logiciel libre OpenSSL que le programme d installation va donc copier sur votre PC (sans risque de toucher à une version d OpenSSL qui pourrait déjà être présente). La réglementation autorise cette installation, pour peu que la licence soit affichée 22 novembre 2006 GIP "CPS" Page 4 / 33

Le répertoire d installation par défaut est «C:\CleoCPS». Vous pouvez le changer mais ill est recommandé de ne pas chercher à installer plusieurs CLEO dans des répertoires différents. 22 novembre 2006 GIP "CPS" Page 5 / 33

CLEO est maintenant intégré parmi les applications du PC : «Démarrer» ; «Programmes» ; «GIP-CPS» ; «CLEOCPS» Le répertoire d installation par défaut est : «C:\CleoCPS» 22 novembre 2006 GIP "CPS" Page 6 / 33

3. Désinstallation de l application CLEO Que vous relanciez le «setup.exe» ou lanciez un «setup.exe» d une nouvelle version, vous n aurez que le choix de désinstaller CLEO. Il n y a aucun risque à valider cette suppression des fichiers car elle ne concerne que les logiciels et pas les autres fichiers (clés, certificats, etc ) résultats d une précédente installation et utilisation de CLEO. Cependant, il est recommandé d avoir terminé le traitement complet d une demande de certificat (voir le chapitre «Prise en mains» - «Manipulations» avant de désinstaller CLEO. 22 novembre 2006 GIP "CPS" Page 7 / 33

Les logiciels ont été supprimés du répertoire d installation («C:\CleoCPS» par défaut) mais ce répertoire n est pas effacé si des fichiers y ont été créés au cours d une utilisation de CLEO. 22 novembre 2006 GIP "CPS" Page 8 / 33

4. Prise en mains de l application CLEO Pour pouvoir utiliser CLEO, il faut que les bibliothèques Cryptolib-CPS soient installées et opérationnelles (en fait : un lecteur CPS, les API-CPS et PKCS#11-CPS) par votre service informatique. Il suffit de «Cliquer» sur «Démarrer» ; «Programmes» ; «GIP-CPS» ; «CLEOCPS» Et vous êtes prêts pour utiliser CLEO 22 novembre 2006 GIP "CPS" Page 9 / 33

4.1 La barre de menu «Actions» permet de «Configurer» CLEO et de le «Quitter». «Dossiers» permet de «Créer» ou «Supprimer» des Dossiers et des Demandes de certificats dans ces Dossiers. «Affichage» permet d afficher ou non la barre d état du clavier : NUM et/ou MAJ verrouillés. «?» permet d afficher «Aide» (non implémentée) et par «A propos de CLEOCPS» la version du produit. Exemple : 4.2 La fenêtre des dossiers et demandes Originellement vide, cette fenêtre contiendra tous les dossiers et demandes que vous aurez créés. Exemple : Pour chaque demande dans un dossier, la boîte à onglet permet d effectuer un ensemble de travaux. 22 novembre 2006 GIP "CPS" Page 10 / 33

Exemple : 22 novembre 2006 GIP "CPS" Page 11 / 33

5. Manipulations Ce chapitre présente l enchaînement des manipulations à effectuer pour gérer des demandes de certificats. Pour mener à bien ces opérations, vous devez disposer au préalable, pour chaque serveur à sécuriser : Des informations techniques contenues dans le dossier administratif de «Demande de certificats de serveur applicatif» adressé au GIP-CPS par le Responsable de la Structure : L identification nationale de la structure dans laquelle le serveur est déclaré. Le nom de domaine pleinement qualifié (FQDN) du serveur qui va être sécurisé. D une carte, de la famille CPS, appartenant à une personne enregistrée au GIP-CPS comme ayant le rôle d administrateur du serveur pour lequel vous effectuez les demandes de certificats. Les manipulations possibles sont : 1) Configurer CLEO avec les paramètres correspondants à l établissement. 2) Créer un 1 er dossier qui contiendra un ensemble de demandes de certificats : 3) Créer une 1 ère demande de certificat et gérer les étapes de cette demande : 4) Générer le bi-clé. 5) Générer la demande de certificat à destination du serveur d inscription. 6) Intégrer la réponse du serveur d inscription à cette demande. 7) Effectuer la livraison vers le Serveur. 8) Eventuellement, mais êtes-vous certain de vouloir révoquer vos certificats? Générer une demande de révocation des certificats à destination du serveur de révocation. 3) Créer une 2 ième demande de certificat et gérer cette demande 3) Créer une N ième demande de certificat et gérer cette demande 2) Créer un 2 ième dossier qui contiendra un ensemble de demandes de certificats 2) Créer un N ième dossier qui contiendra un ensemble de demandes de certificats Note : La carte CPS sera nécessaire au moment de la génération de la demande de certificat à destination du serveur d inscription et d une éventuelle génération de demande de révocation des certificats à destination du serveur de révocation. Il sera demandé de saisir le Code Porteur de cette CPS. 22 novembre 2006 GIP "CPS" Page 12 / 33

5.1 Configuration de CLEO CLEO est installé avec un paramétrage par défaut qu il est possible de modifier par le menu «Actions» et «Configurer» Pour initialiser ces paramètres avec les valeurs correspondantes à la structure, exemple : (Ici, la structure est référencée par un SIRET = 18003000900039) 22 novembre 2006 GIP "CPS" Page 13 / 33

5.2 Création de dossiers Dans le menu «Dossiers», par le choix de «Créer un dossier» : Le nom du dossier est libre. Vous verrez à l usage s il vous est pratique de vous choisir une politique de nommage personnelle et adaptée En complément, il est aussi possible de saisir un commentaire libre : 22 novembre 2006 GIP "CPS" Page 14 / 33

5.3 Création d une demande Dans le menu «Dossiers», par le choix de «Créer une demande de certificat». Choisir le type de Classe 4 (S/MIME ou SSLE) requis : et Le nom de la demande est libre. Vous verrez à l usage s il vous est pratique de vous choisir une politique de nommage personnelle et adaptée En complément, il est aussi possible de saisir un commentaire libre : 22 novembre 2006 GIP "CPS" Page 15 / 33

5.4 Génération de Bi-clé «Cliquer» sur l onglet «Bi-clé». Et «Cliquer» sur le bouton «Générer avec mot de passe» ; car il est : obligé ne pas modifier la longueur de la clé (1024), seule valeur acceptée aujourd hui par le serveur d inscription. réservé à un usage d initiés d utiliser la possibilité d importation de PKCS#10. recommandé de demander à «Générer avec mot de passe» pour protéger les futurs accès à la clé privée qui va être générée (mais pensez à sauvegarder ce mot de passe) : et 22 novembre 2006 GIP "CPS" Page 16 / 33

5.5 Génération de la demande de certificat «Cliquer» sur l onglet «Demande de certificat». Dans les champs modifiables et donc à saisir : Vous devez retrouver les champs (O), (L) et (OU) précédemment renseignés durant la configuration de CLEO. A priori, vous n avez ainsi pas à les modifier. Reportez dans les champs (CN) et (SAN) les valeurs des informations techniques contenues dans votre dossier administratif de «Demande de certificats de serveur applicatif». Ce n est qu après avoir «appliqué les modifications» qu il vous sera possible de «générer la demande» : Gardez l option «Signer la demande avec carte CPS (format PKCS#7)» (Rappel : l usage du format PKCS#10 est réservé aux initiés) Vous disposez de votre carte CPS ayant le rôle d administrateur du serveur (sinon, vous devez solliciter le porteur d une telle carte ) Cliquez sur le bouton «Générer la demande» 22 novembre 2006 GIP "CPS" Page 17 / 33

Cette génération nécessitant l activation par CLEO de la clé privée, celui-ci vous demande de lui fournir son mot de passe créé lors de la génération du bi-clé : Cette demande doit être signée par la CPS. Si la CPS n est pas présente dans le lecteur CLEO, le détecte : La CPS n accepte de signer que si le code porteur est actif. Si le code porteur n a pas été présenté à la CPS, il vous est demandé : 22 novembre 2006 GIP "CPS" Page 18 / 33

Le fichier résultat, qui constitue la demande générée (signée par la CPS et chiffrée à destination du serveur d inscription) doit impérativement être sauvegardé pour les étapes ultérieures. Exemple : Un répertoire «Enregistrer dans :» est proposé par défaut. Vous pouvez appliquez votre propre règle de classement en sélectionner un autre répertoire de votre choix qui deviendra le nouveau répertoire par défaut.. Le nom de fichier est libre. Par défaut, c est le nom de la demande qui est proposé. Appliquez votre propre règle de nommage. 22 novembre 2006 GIP "CPS" Page 19 / 33

Si votre poste a une messagerie accessible, CLEO y génère directement le message qu il faut envoyer au serveur d inscription. Exemple : Que CLEO n ait pu créer ce message dans votre BAL, que vous envoyiez, enregistriez pour envoi ultérieur ou supprimiez ce message, le fichier est sauvegardé : Vous devez donc - après avoir émis le message avec le fichier «P7M» en pièce jointe - attendre la réponse du serveur d inscription, qui viendra dans la BAL de celui qui émet la question, pour procéder à l étape suivante. 22 novembre 2006 GIP "CPS" Page 20 / 33

5.6 Réponse à la demande de certificat Une fois reçue la réponse du serveur d inscription : Et sauvegardé le fichier «P7C» en pièce jointe Qu il est d ailleurs recommandé de renommer 22 novembre 2006 GIP "CPS" Page 21 / 33

«Cliquez» sur l onglet «Réponse à la demande de certificat». Et «Cliquez» sur «Importer réponse (certificat *.p7c). Les contrôles qu effectue CLEO mettant en jeu la clé privée, il faut re-saisir son mot de passe : 22 novembre 2006 GIP "CPS" Page 22 / 33

Puis rechercher le certificat reçu : Le traitement prend quelques secondes Jusqu au succès! 22 novembre 2006 GIP "CPS" Page 23 / 33

5.7 Effectuer la livraison vers le serveur Le traitement (génération et inscription) est maintenant terminé pour CLEO. Dès le lendemain, le certificat sera visible dans l annuaire du GIP-CPS. Il vous reste cependant à effectuer la livraison du bi-clé et de son certificat vers l exploitant du serveur. Deux possibilités vont sont offertes, suivant le destinataire (voir avec l exploitant du serveur) : Sous forme de fichiers «.key» et «.crt» Sous forme d un fichier «PKCS#12» ; il faut alors saisir le mot de passe de la clé privée : 22 novembre 2006 GIP "CPS" Page 24 / 33

Ce fichier P12 doit être protégé par un AUTRE mot de passe que vous donnerez au récipiendaire pour qu il puisse l importer sur le serveur : et En final, voici tous les fichiers qui ont été générés : 22 novembre 2006 GIP "CPS" Page 25 / 33

5.8 Révoquer les certificats La révocation de certificats est une opération «délicate» dans la mesure où elle va supprimer ceuxci de l annuaire et les mettre en opposition : plus personne ne pourra les utiliser! Une révocation doit donc être dûment réfléchie et justifiée. Il est possible de révoquer tous les certificats d un serveur ou tous SAUF le dernier : 22 novembre 2006 GIP "CPS" Page 26 / 33

La procédure de révocation avec CLEO est comparable à la demande de certificats Elle exige la possession de la carte CPS de l administrateur du domaine. La demande, signée par la carte, est enregistrée dans un fichier : Elle nécessite l envoi de ce fichier en pièce jointe d un message vers le serveur de révocation du GIP-CPS : 22 novembre 2006 GIP "CPS" Page 27 / 33

Que CLEO n ait pu créer ce message dans votre BAL, que vous envoyiez, enregistriez pour envoi ultérieur ou supprimiez ce message, le fichier est sauvegardé : Les réponses du serveur de révocation seront, pour chacun des certificats révoqués par la demande : 22 novembre 2006 GIP "CPS" Page 28 / 33

Ainsi qu un bilan global de traitement : 22 novembre 2006 GIP "CPS" Page 29 / 33

6. Foire aux questions Q : J ai lancé l installation de CLEO, celle-ci me propose le choix suivant : R : Il y a déjà une précédente version de CLEO installée sur votre poste. Il est préférable de la désinstaller avant de relancer l installation. Q : Après avoir installé CLEO, au lancement de cet outil, j ai le message suivant : R : CLEO s appuie sur un des composants (PKCS#11) des bibliothèques Cryptolib-CPS. Vous devez donc avoir, au préalable, installé un lecteur de cartes (ce peut être un lecteur PC/SC) et ces bibliothèques Cryptolib-CPS pour pouvoir utiliser CLEO. 22 novembre 2006 GIP "CPS" Page 30 / 33

Q : Je reçois un message d erreur de l autorité du GIP-CPS. Que dois-je faire? Exemple de tel message : R : Le message d erreur indique que votre demande n a pu aboutir. Dans le cas présenté, ce message indique que le porteur de la carte CPS utilisée pour signer la demande de certificat n est pas reconnu au GIP-CPS comme administrateur du doublet serveur & domaine que vous avez saisi dans l onglet «Demande de certificat» ; il faut donc récupérer une carte et son porteur La cause du rejet étant identifiée, il vous faut malheureusement recommencer toute la procédure à partir de la création d une demande dans un dossier car CLEO ne vous autorise pas à rejouer une demande. Vous supprimerez ensuite l ancienne demande du dossier. 22 novembre 2006 GIP "CPS" Page 31 / 33

Q : Je reçois bien un message de l autorité du GIP-CPS m indiquant que mon certificat est disponible. Mais où est ce certificat? R : Le certificat est bien dans le message en pièce jointe, mais vous ne le voyez pas! Changez des options d affichage de ce message et enregistrez ces modifications peut le faire apparaître. Ici, par exemple, l importance du message a été changée vers «Haute» Ensuite, en fermant et rouvrant le message, le certificat Smime.p7c (2 Ko)est bien visible en pièce jointe : 22 novembre 2006 GIP "CPS" Page 32 / 33

7. Suivi des versions du document Version 01.00 -> 31/10/2006 - Création Version 01.01 -> 03/11/2006 - Corrections Version 01.02 -> 20/11/2006 - Ajout des écrans d installation et désinstallation 22 novembre 2006 GIP "CPS" Page 33 / 33