Comment obtenir un certificat S/MIME avec une demande CSR
6 oct. 2020 | Jindřich Zechmeister
Vous pouvez désormais obtenir votre certificat personnel S/MIME à l'aide de CSR. Le téléchargement via Internet Explorer n'est plus utilisé. Les raisons du changement et la nouvelle procédure d'obtention des certificats S/MIME se trouvent dans cet article. La bonne nouvelle est que c'est encore plus facile qu'avant.
La fin d'Internet Explorer signifie également la fin du téléchargement via navigateur
La récupération des certificats personnels S/MIME via navigateur était relativement pratique. Il fallait juste suivre le lien de téléchargement et le certificat a été généré et stocké via IE ou Chrome directement dans le magasin de certificats Windows. Le certificat était directement disponible pour les programmes tels qu'Outlook et il suffisait de le sélectionner.
Les exceptions sont Firefox et Thunderbird qui utilisent leur certificate store et non le magasin de certificats Windows. En plus, vous ne téléchargez plus des certificats avec le Firefox.
Le plus gros problème était la fin de la fonctionnalité de Crypto-api dans les navigateurs et de la possibilité de récupérer le certificat. Le seul navigateur compatible reste Internet Explorer, que de nombreuses personnes confondent avec Edge - qui n'inclut pas non plus cette fonctionnalité. Cela avait provoqué une certaine confusion qui a eu un impact négatif sur l'applicabilité de cette procédure et l'expérience utilisateur.
Par conséquent, Internet Explorer est resté la dernière possibilité pour récupérer le certificat S/MIME. Microsoft a annoncé la fin du support d'Internet Explorer (il y avait des spéculations selon lesquelles il serait supprimé de Windows) et recommande de ne plus l'utiliser. Qu'il soit supprimé du système ou non, le navigateur est définitivement mort. Par conséquent, nous avons décidé d'émettre des certificats S/MIME en utilisant CSR (comme pour d'autres certificats TLS).
Comment créer une CSR et obtenir un certificat
La meilleure façon de générer une CSR est d'utiliser notre outil disponible lors de la commande en ligne. C'est la solution la plus rapide et la plus simple. Vous pouvez bien sûr créer une CSR vous-même, mais les données doivent correspondre aux données dans la commande. Pour la créer, utilisez OpenSSL (le package fait partie des systèmes *unix) ou l'outil graphique XCA.
En utilisant notre outil lors de la commande en ligne, vous pouvez être sûr que votre CSR est correcte et vous disposerez de la clé privée pour le certificat. Vous en aurez besoin pour créer le fichier PFX et l'utilisation du certificat ; il est donc absolument nécessaire que vous sauvegardiez la clé privée (votre navigateur vous demande si vous souhaitez enregistrer la clé privée).
Une fois la CSR est sauvegardée dans la commande, le certificat S/MIME est demandé auprès de l'AC et vous confirmez juste l'émission du certificat S/MIME. L'e-mail d'approbation (ou approver) sera envoyé à l'adresse e-mail indiquée dans la commande du certificat S/MIME. Les champs e-mail et adresse sont toujours inclus dans le certificat - même si vous ne souhaitez pas les utiliser pour signer vos e-mails. Cliquez sur le lien envoyé par DigiCert et vous obtiendrez une confirmation sur leur site web.
S/MIME approver avant l'émission du certificat. Cliquez pour agrandir.
Le certificat sera émis immédiatement après votre confirmation de l'email d'approbation. Pour générer le fichier .pfx, ouvrez votre espace client → détail de la commande et sélectionnez Exporter le certificat au format .pfx (si vous recevez également un certificat de DigiCert, ignorez le message). Entrez la clé privée précédemment enregistrée dans la zone de texte et choisissez le mot de passe qui protégera votre fichier le PFX. Le fichier PFX est un fichier spécialement formaté qui inclut un certificat SSL, une clé privée et les certificats intermédiaires. Nous vous recommandons de conserver ce fichier comme une sauvegarde en cas de perte du certificat ou en cas de réinstallation de l'ordinateur.
Mise en place du certificat de signature
Le certificat personnel S/MIME est le plus souvent utilisé pour les signatures électroniques dans les programmes Outlook et Thunderbird. Voyons comment mettre en place un certificat S/MIME et commencer à l'utiliser.
Un fichier .pfx est une nécessité qui contient tout ce dont vous avez besoin. Si vous importez votre fichier .pfx du certificat dans un ordinateur sous Windows, double-cliquez sur le fichier .pfx pour l'ouvrir. L'assistant d'importation du certificat démarre. Acceptez les options par défaut.
Assistant d'importation du certificat. Cliquez pour agrandir.
Ne vous inquiétez pas que « rien ne se passera » après avoir terminé l'assistant. Le certificat est maintenant sauvegardé dans le magasin de certificats Windows et Outlook le trouvera.
Maintenant, voyons comment définir les paramètres dans l'Outlook. Sélectionnez votre certificat de signature par défaut - cette option se trouve dans le menu Fichier -> Options -> Centre de gestion de la confidentialité -> Paramètres du centre de gestion de la confidentialité -> Sécurité du courrier. La sélection de certificat de signature est simple - le système ne vous proposera que des certificats présents dans le magasin de certificats de système - vous sélectionnerez celui de DigiCert.
Définir le certificat S/MIME dans l'Outlook.
Maintenant vous pouvez commencer à rédiger un nouveau message ; dans les Options, cliquez sur Signer. Votre message va être signé avec ce certificat.
Si vous souhaitez utiliser le certificat S/MIME dans le client Thunderbird, vous aurez besoin également du fichier .pfx. Pour plus d'informations, veuillez consulter notre page d'aide : Importer un certificat S/MIME dans un client de messagerie.
Besoin d'aide ? Contactez notre équipe de support technique
Si vous avez besoin d'une assistance, n'hésitez pas à contacter notre équipe de support technique. Notre Centre d'aide contient tous les aspects d'utilisation des certificats S/MIME et des instructions illustrées, nous vous recommandons donc de consulter également notre site Web.