Windows : mon certificat personnel est importé dans 'Autres Personnes'

On distingue deux types de certificats dans le magasin de certificat de Windows : les certificats personnels (auxquels est associé à chacun une clé privée stockée sur le poste) et les autres : 'Autres personnes', 'Autorités intermédiaires' et 'Autorités principales de confiance'.

Le fait que votre certificat personnel soit réimporté dans 'Autres personnes' semble montrer que la sauvegarde de votre certificat ne contient pas la clé privée associée au certificat. Windows ne le considère donc pas comme un certificat personnel. Il est inexploitable en tant que certificat personnel car il n'y pas la clé privée associée.

Pourquoi lors de la sauvegarde de votre certificat Windows n'a pas sauvegardé votre clé privée en même temps que votre certificat ?

Il faut veiller à cocher 'Yes, export the private key' lors de la demande de sauvegarde (cf documentation certificat CNRS )

Parfois, il se pourrait que Windows ne propose pas ce choix et empêche la sauvegarde de la clé privée. Pour empêcher ce comportement il faut avant la récupération du certificat passer le niveau de sécurité d'IE de fort à moyen, puis le remettre à fort seulement après la sauvegarde du certificat personnel.

.

Sauvegarder votre certificat

Vous devez sauvegarder votre certificat et sa clé privée associée car le service TCS ne comprend pas de service de recouvrement de clé. En cas de perte, sans cette sauvegarde, vous serez obligé de demander un nouveau certificat.

Vous pouvez aussi être amené à faire cette opération parce que vous voulez installer votre certificat sur plusieurs postes de travail.

Le format de sauvegarde pour les certificats et les clés privées s'apelle PKCS#12. On peut créer un fichier PKCS#12 portant l'extention .p12 (ou .pfx sous Windows) en exportant un certificat.

Vous pouvez effectuer cette opération à partir :

  • du magasin de certificat de Windows (accessible à partir de outils→options internet→contenu→certificats dans IE) si le certificat a été demandé à partir d'Internet Explorer
  • du trousseau de clés de Mac OS (disponible dans Applications/Utilitaires) si le certificat a été demandé à partir de Safari sous Mac OS
  • du magasin de certificats de Firefox (cette opération est d'ailleurs nécessaire si vous voulez l'utiliser ensuite sous Thunderbird) :
    • Linux : édition→options→avancé→chiffrement→Afficher les certificats
    • Windows : outils→options→avancé→chiffrement→Afficher les certificats
    • Mac OS X : Firefox→Préférences→avancé→chiffrement→Afficher les certificats
  • du magasin de certificats d'Opera ( disponible dans menu→réglages→préférences→avancé→sécurité→gérer les certificats) si la demande de certificat a été générée avec Opera

Comment s'assurer de la consistance de ma sauvegarde ?

En dehors du contexte du navigateur, vous pouvez analyser le contenu d'un fichier pkcs#12 avec la commande openssl suivante : openssl pkcs12 -in <monfichier.p12> -nokeys -out <moncertif.pem>

Vous devez alors fournir la passphrase utilisée pour chiffrer le fichier pkcs#12. Vous pouvez alors affichier le contenu du fichier : openssl x509 -in moncertif.pem -noout -text

Cette opération est sans danger car votre clé privée n'est pas affichée ni exportée en clair grâce à l'option -nokeys.

Importer une sauvegarde de certificat dans mon navigateur

Avec Firefox ou Thunderbird :

  • entrer dans le menu de gestion des certificats :
    • sous linux : le menu est accessible par Edition/Préférences/Avancées/Certificats/Gérer les certificats
    • sous windows : Outils/Options/Avancées/Certificats/Gérer les certificats
    • sous Mac OS X : Firefox/Préférences/Avancées/Certificats/Gérer les certificats
  • cliquez sur le bouton Gestion des certificats ;
  • dans l'onglet Vos certificats, cliquez sur importer ;
  • vous choisissez alors le fichier (extension p12 ou pfx) de sauvegarde ;
  • si vous avez une carte à puce ou un token, vous choisissez le jeton (sécurité personnelle → navigateur, ou un autre → carte à puce) ;
  • le navigateur vous demande alors le mot de passe de sécurité de mozilla (si vous ne l'avez jamais défini, vous le faites à ce moment) ;
  • le mot de passe de protection du fichier est demandé ;
  • vous validez et le certificat est dans le magasin.

Avec Internet Explorer :

  • Accédez au menu Outils/Options Internet/Contenu/Certificats ;
  • dans l'onglet Personnel vous cliquez sur le bouton importer ;
  • cliquez sur suivant ;
  • vous choisissez le fichier (format p12 ou pfx) ;
  • cliquez sur suivant ;
  • tapez le mot de passe de protection du fichier ;
  • vous pouvez mettre la clef privée comme exportable, mais il vaut mieux activer la protection renforcée des clefs ;
  • vous laissez la sélection automatique du magasin ;
  • cliquez sur terminer ;
  • vous pouvez alors choisir le niveau de sécurité en indiquant un mot de passe à taper lors de l'utilisation du certificat (préférable). Il faut alors cliquer sur Définir le niveau de sécurité et choisir élevée. Vous pourrez alors donner un nom à votre certificat et lui donner un mot de passe.

Avec Safari

  • Accédez au Trousseau d'accès de Mac OS ;
  • cliquez sur Fichier/Importer ;
  • choisissez le fichier (extension p12 ou pfx) ;
  • cliquez sur Ouvrir ;
  • saisissez le mot de passe de protection du fichier ;
  • cliquez sur OK et le certificat est dans le trousseau.

Firefox : Mot de passe principal

Lors de la récupération de votre certificat votre navigateur essaye de le stocker dans sa base interne de certificats (la 'Software security device'). L'accès à cette base est protégée par un 'Master password', c'est celui qui vous est demandé. S'il vous est demandé c'est que vous avez défini un jour (peut-être il y a longtemps).

Si vous ne vous en souvenez pas la seule solution est de le réinitialiser mais vous allez perdre la clé privée générée lors de votre demande de certificat. Il va donc vous falloir refaire une demande de certificat. Avant il faut que vous demandiez la révocation de votre certificat.

Pour réinitialiser votre mot de passe principal, allez dans le menu options de votre navigateur, dans la section sécurité et décochez utiliser un mot de passe principal

Plus d'infos sur le master password