Utilisation des certificats personnel sous internet explorer
1 réponse
Vincent
Bonjour,
Est-il possible d'utiliser un certificat personnel pour s'authentifier sur
un site web mais sans devoir importer ce certificat dans la base de
certificat du poste? Dans mon cas, les utilisateurs possedent leur
certificat (fichier *.p12) sur une clé mémoire usb. Je voudrais donc qu'ils
utilisent leur certificat pour se connecter mais qu'il soit utilisé
directement de depuis la clé usb de sorte que le certificat ne reste pas sur
le poste (postes en libre-service)
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
ho alexandre
Vincent wrote:
Est-il possible d'utiliser un certificat personnel pour s'authentifier sur un site web mais sans devoir importer ce certificat dans la base de certificat du poste?
la réponse est non (en fait oui mais c'est dangereux). Quelques précisions : 1/ quand tu arrives sur une page qui requiert une authentification par certificat, ce qui se passe est que le serveur web demande au navigateur de lui fournir un certificat. 2/ le navigateur va donc regarder dans son magasin de certificats la liste des certificats utilisateur disponibles, et demander à l'utilisateur de choisir celui qu'il veut utiliser 3/ Ensuite pour utiliser le certificat en mode 'authentification' il faut accéder à la clef privée du certificat, qui est (souvent) protégée par un mot de passe (ou un code PIN).
pour le 2/ : dans MSIE, le magasin de certificats est commun à toutes les applications Windows (MSIE, MSOE, Office...) Pour les autres navigateurs, chaque navigateur dispose de son propre magasin de certificats.
Si tu veux utiliser le certificat sans qu'il apparaîsse dans un magasin de certificat, tu ne peux profiter des fonctions de gestion des certificats de ton navigateur. En clair ça veut dire que tu ne peux pas accéder à l'authentification que le serveur web exige.
Mais il y a une solution ! En gros, le serveur web a besoin d'être sûr que tu disposes de la clef privée du certificat. Il suffit que l'utilisateur envoie le certificat au serveur, ainsi que le mot de passe de la clef privée. (c'est super risqué, quand même ^_^).
-- XandreX /I'm that kind of people your parents warned you about/
Vincent wrote:
Est-il possible d'utiliser un certificat personnel pour
s'authentifier sur un site web mais sans devoir importer ce
certificat dans la base de certificat du poste?
la réponse est non (en fait oui mais c'est dangereux).
Quelques précisions :
1/ quand tu arrives sur une page qui requiert une authentification par
certificat, ce qui se passe est que le serveur web demande au navigateur
de lui fournir un certificat.
2/ le navigateur va donc regarder dans son magasin de certificats la
liste des certificats utilisateur disponibles, et demander à
l'utilisateur de choisir celui qu'il veut utiliser
3/ Ensuite pour utiliser le certificat en mode 'authentification' il
faut accéder à la clef privée du certificat, qui est (souvent) protégée
par un mot de passe (ou un code PIN).
pour le 2/ : dans MSIE, le magasin de certificats est commun à toutes
les applications Windows (MSIE, MSOE, Office...)
Pour les autres navigateurs, chaque navigateur dispose de son propre
magasin de certificats.
Si tu veux utiliser le certificat sans qu'il apparaîsse dans un magasin
de certificat, tu ne peux profiter des fonctions de gestion des
certificats de ton navigateur. En clair ça veut dire que tu ne peux pas
accéder à l'authentification que le serveur web exige.
Mais il y a une solution !
En gros, le serveur web a besoin d'être sûr que tu disposes de la clef
privée du certificat. Il suffit que l'utilisateur envoie le certificat
au serveur, ainsi que le mot de passe de la clef privée.
(c'est super risqué, quand même ^_^).
--
XandreX
/I'm that kind of people your parents warned you about/
Est-il possible d'utiliser un certificat personnel pour s'authentifier sur un site web mais sans devoir importer ce certificat dans la base de certificat du poste?
la réponse est non (en fait oui mais c'est dangereux). Quelques précisions : 1/ quand tu arrives sur une page qui requiert une authentification par certificat, ce qui se passe est que le serveur web demande au navigateur de lui fournir un certificat. 2/ le navigateur va donc regarder dans son magasin de certificats la liste des certificats utilisateur disponibles, et demander à l'utilisateur de choisir celui qu'il veut utiliser 3/ Ensuite pour utiliser le certificat en mode 'authentification' il faut accéder à la clef privée du certificat, qui est (souvent) protégée par un mot de passe (ou un code PIN).
pour le 2/ : dans MSIE, le magasin de certificats est commun à toutes les applications Windows (MSIE, MSOE, Office...) Pour les autres navigateurs, chaque navigateur dispose de son propre magasin de certificats.
Si tu veux utiliser le certificat sans qu'il apparaîsse dans un magasin de certificat, tu ne peux profiter des fonctions de gestion des certificats de ton navigateur. En clair ça veut dire que tu ne peux pas accéder à l'authentification que le serveur web exige.
Mais il y a une solution ! En gros, le serveur web a besoin d'être sûr que tu disposes de la clef privée du certificat. Il suffit que l'utilisateur envoie le certificat au serveur, ainsi que le mot de passe de la clef privée. (c'est super risqué, quand même ^_^).
-- XandreX /I'm that kind of people your parents warned you about/
