SIGNIFLOW

Découvrez notre plateforme de signature : signez et faites signer vos PDFs en quelques clics !

SUPPORT

Un problème de certificat ? Besoin d'être dépanné rapidement ? Nos ingénieurs répondent à vos questions.

0 897 690 444 Service 0,80 €/min +prix appel
LES PRODUITS À DÉCOUVRIR

Les certificats SSL La signature de facture Les certificats eIDAS Les logiciels de signature

Menu
picture of tbs certificates
picture of tbs certificates
Les produits
TOUS LES CERTIFICATS
SSL Extended Validation SSL Standard Certificats RGS Certificats eIDAS SSL ECC SSL wildcard SSL Multisites / SAN SSL rapide & basique
Certificats spécifiques Certificats VMC
E-signature Authentification forte Certificats S/MIME
Certificats de test Solutions PKI Sceaux de confiance
SigniFlow : la plateforme pour signer et faire signer vos documents
Logiciel de signature
Notre gamme
TBS X509 DigiCert Thawte Sectigo GlobalSign GeoTrust Certigna ChamberSign SigniFlow Harica
Partenaires
Accès client Les comptes clients Ouvrir un compte
Support
FAQ SHA256 : Compatibilité navigateurs ECC : Compatibilité navigateurs
Numéro vert
Focus
Dématérialisation de facture
Nous proposons désormais des solutions répondant aux normes RGS** / eIDAS qualifié pour la signature et l'horodatage de vos factures. En savoir plus


Authentification forte avec IIS et certificat serveur TBS X509

Bien que ce ne soit pas son rôle premier, un certificat serveur peut également faire de l'authentification client ("client authentication" dans les usages étendues de la clé)

Pour utiliser IIS avec l'authentification par certificat serveur, notamment pour faire du mapping de certificats vers un compte utilisateur ou ordinateur, il faut préalablement importer le certificat racine et intermédiaires correspondant aux certificats serveurs qui seront utilisés.

Pour utiliser les certificats TBS X509 de type serveur, il faut importer le certificat intermédiaire "TBS X509 CA business 2". Pour cela :

  1. Sur votre serveur, lancez l’exécutable "mmc" (menu Démarrer, Exécuter, tapez "mmc" et OK).

  2. Cliquez sur Ficher, Ajout/Suppression de composants enfichables ("File->Add/Remove Snap-in...")

  3. Choisissez le composant "Certificats" puis cliquez sur Ajouter.

  4. Choisissez le "Compte de l'ordinateur" ("Computer Account") puis l'Ordinateur Local et Terminer.

  5. Cliquez sur Fermer puis OK

  6. Cliquez sur le "+" à coté de Certificats (Ordinateur Local) ("Certificates (Local Computer)"

  7. Cliquez sur le "+" à coté de "Certificats d'Autorités de Confiance" ("Trusted Root Certification Authorities")

  8. Clic droit sur le texte "Certificats"

  9. Choisissez Toutes les taches, Importer ("All Tasks->Import...")

  10. Grâce à l'assistant, importez le certificat "Comodo AAA Certificate Services" disponible ici: Comodo AAA Certificate Services.crt

  11. Cliquez sur le "+" à coté de "Certificats Intermédiaires d'Autorités" ("Intermediate Certification Authorities")

  12. Clic droit sur le texte "Certificats"

  13. Choisissez Toutes les taches, Importer ("All Tasks->Import...")

  14. Grâce à l'assistant, importez le certificat "TBS X509 CA business 2" disponible ici: TBS X509 CA business 2.crt

  15. Faites de meme pour le certificat intermediaire "USERTrust RSA Certification Authority" disponible ici : USERTrust RSA Certification Authority.crt

Une fois que ceci est fait, il faut configurer le site IIS pour qu'il requiert un certificat et filtre dessus. Voici par exemple pour autoriser tous les certificats émis par notre autorité TBS X509 CA Business 2 à se connecter au site.

  1. Lancez IIS en passant par le Panneau de configuration, Outils d'administration, IIS ("Control Panel->Administrative Tools->Internet Information Service")

  2. Clic droit sur le site web concerné par l'authentification forte, puis Propriétés.

  3. Allez dans l'onglet Sécurité de Répertoire ("Directory Security")

  4. Dans Communications sécurisées ("Secure communications"), cliquez sur le bouton Éditer.

  5. Sélectionnez soit Accepter les certificats clients, soit Exiger un certificat client ("Accept client certificates" or "Require client certificates")

  6. Choisissez Activer la liste des certificats de confiance ("Enable certificate trust list" CTL)

  7. Choisissez créez ou éditer une liste existante.

  8. Lorsque la demande d'ajout d'un certificat apparaît, choisissez Ajouter via un fichier ("Add from File") et donnez le fichier correspondant à "Comodo AAA Certificate Services" téléchargé plus haut.

Pour spécifier uniquement certains certificats émis par notre autorité, il faut utiliser la fonction de mapping d'IIS, par exemple pour sélectionner tous les certificats admis finement.



Si ce n'est pas déjà fait:

En fonction du produit commandé, l'importation de la chaine de certification diffèrera par rapport à l'autorité choisie.

Ensuite testez l'accès. Bien qu'en théorie ce qui a été fait est suffisant, si cela ne fonctionne pas (la fenêtre de sélection de certificat affiché par IE reste vide), il faut réaliser une opération supplémentaire! Installez une copie du certificat client obtenu (faites un fichier d'export pfx avec toute la chaîne) dans Internet Explorer du compte administrateur du serveur. Nous ne saurions expliquer à quoi cela sert, mais au final la sélection du certificat fonctionne après cela, quand elle ne fonctionnait pas initialement.



N'oubliez pas que pour un bon fonctionnement, le serveur IIS doit être capable de télécharger les CRLs des certificats de la chaîne de certification. Pour se faire , le serveur doit avoir un accès au protocole HTTP vers l'extérieur, au minimum vers les serveurs de CRL: 
crl.tbs-x509.com
crl.tbs-internet.com
crl.comodoca.com
crl.sectigo.com
crl.usertrust.com