Professional Documents
Culture Documents
Cette page contient des informations sur l'usage de certificats lectroniques pour vous authentifier sur certaines applications du SPF Finances.
Veuillez noter qu'il n'est pas autoris d'utiliser votre carte d'identit lectronique (eID) avec cette mthode d'authentification. Pour vous authentifier avec votre carte d'identit lectronique, veuillez utiliser plutt l'authentification par eID.
Cette page comporte les sections suivantes : 1. 2. 3. 4. 5. Exigences techniques Obtention d'un certificat numrique Utilisation avec Internet Explorer Utilisation avec Firefox Problmes courants
1. Exigences techniques
L'authentification par certificat demande la signature lectronique d'un token d'identification. La cration d'une signature lectronique demande un navigateur rcent et des librairies de chiffrement de donnes. Tous les navigateurs ne sont pas capables de produire ces signatures. Les navigateurs suivants sont supports (d'autres navigateurs peuvent fonctionner galement, mais ne sont pas officiellement supports) : 1. Internet Explorer >= 5.5 2. Firefox >= 3.0
Isabel Office Sign ne supporte pas le navigateur Firefox. Il n'est donc pas possible d'effectuer une signature lectronique avec votre certificat Isabel avec Firefox. Veuillez utiliser Internet Explorer.
Les composants indispensables pour effectuer une signature numrique sont les suivants :
q q
Un certificat de signature. Pour Internet Explorer : La librarie CAPICOM. Il s'agit d'une librarie de fonctions cryptographiques, distribue par Microsoft. Normalement, celle-ci s'installe automatiquement. Voir section 3). Pour Firefox : r Aucune librairie supplmentaire (support nativement).
Pour des instructions dtailles sur la manire d'obtenir un certificat, veuillez consulter le site de ces institutions.
Pour viter tout problme, nous recommandons fortement l'insertion du site du SPF Finances dans la liste des sites de confiance :
1. Allez dans le menu "Tools > Internet Options...", onglet "Security" 2. Cliquez sur "Trusted Sites", bouton "Sites..." 3. Entrez dans la bote de texte "*.minfin.fgov.be", et cliquez sur "Add" pour ajouter le site la liste des sites de confiance. Voir capture d'cran ci-dessous. 4. Cliquez sur "OK", et ensuite sur "Ok".
Niveau de scurit moyen, site minfin.fgov.be n'appartenant pas aux sites de confiance
Avec cette configuration, Internet Explorer vous demande d'abord si les contrles ActiveX peuvent tre activs. Cliquez sur la barre situe en haut de l'cran, et cliquez sur "Install ActiveX Control...".
Internet Explorer vous demande ensuite l'autorisation d'installer la librarie CAPICOM. Vous pouvez installer ce composant. Cliquez sur "Install".
Isabel Office Sign ne supporte pas le navigateur Firefox. Il n'est donc pas possible d'effectuer une signature lectronique avec votre certificat Isabel avec Firefox. Veuillez utiliser Internet Explorer.
5. Ensuite, entrez le mot de passe que vous avez reu de l'institution mettrice de votre certificat, et cliquez sur OK. 6. Votre certificat devrait maintenant apparatre dans l'onglet "Your certificates".
4.1.2 Vrifiez que le certificat de votre fournisseur de certificat est dans la liste des autorits de confiance de Firefox
Firefox ne fera pas confiance votre certificat si votre autorit de certification n'est pas dans cette liste des autorits de confiance. Voici comment vrifier que votre fournisseur de certificat (par exemple GlobalSign ou Certipost) est dans cette liste : 1. Dans le Certificate Manager de Firefox, selectionnez l'onglet "Authorities".
2. Pour les certificats GlobalSign : vrifiez que le certificat "GlobalSign PersonalSign Class 3 CA" est present. 3. Pour les certificats Certipost : vrifiez que les certificats suivants sont presents (en fonction du type de votre certificat) : "Certipost E-Trust Primary CA for Qualified certificates", "Certipost E-Trust Secondary Qualified CA for Physical Persons", "Certipost E-Trust Secondary Qualified CA for Legal Persons", "Certipost E-Trust Secondary Qualified CA for Communities". Vous pouvez savoir quel certificat doit tre import en regardant le nom de l'autorit de confiance qui a mis votre certificat. Ce nom peut tre connu sous Windows en ouvrant le certificat. Si le certificat de votre fournisseur manque dans la liste, vous devez l'importer. Voici comment faire : 1. Importez le certificat de l'autorit de confiance. Pour cela : r soit cliquez simplement sur le ou les certificat(s) de votre fournisseur : s GlobalSign Root CA (pour les certificats GlobalSign, normalement dj connus par Firefox) s GlobalSign Primary Class 3 CA (pour les certificats GlobalSign) s GlobalSign PersonalSign Class 3 CA (pour les certificats GlobalSign) s Certipost E-Trust Primary CA for Qualified certificates (pour les vieux certificats Certipost) s Certipost E-Trust Primary Qualified CA (pour les nouveaux certificats Certipost) s Certipost E-Trust Secondary Qualified CA for Physical Persons (pour les nouveaux certificats Certipost) s Certipost E-Trust Secondary Qualified CA for Legal Persons (pour les nouveaux certificats Certipost) s Certipost E-Trust Secondary Qualified CA for Communities (pour les nouveaux certificats Certipost) r soit (plus compliqu mais plus sr) : 1. tlchargez le certificat de votre fournisseur depuis son site web (cfr http://www.certipost.be/ or http://www. globalsign.com/). Contactez votre fournisseur pour question ce propos. 2. Ouvrez le Certificate Manager de Firefox (cfr section 4.1.1). 3. Slectionnez l'onglet "Authorities", et cliquez sur "Import". 4. Slectionnez le certificat du fournisseur. 2. Dans chaque fentre popup qui apparat, cochez toutes les cases et cliquez sur "OK". Voir figure ci-dessous.
2. Slectionnez votre certificat et cliquez sur "View". 3. Vrifiez que Firefox reconnat correctement les usages du certificat (voir figure ci-dessous).
2. Un nouvel cran apparat, et une fentre pop-up qui ressemble ceci s'ouvre :
3. Slectionnez votre certificat et, si ncessaire, tapez le mot de passe qui protge l'accs tous vos certificats. Par dfaut, ce mot de passe n'est pas dfini dans Firefox. Dans ce cas, laissez simplement ce champ vide and cliquez sur "OK". Notez qu'il ne s'agit pas du mot de passe fourni par votre fournisseur et qui protgeait votre certificat. Il s'agit du mot de passe que vous pouvez dfinir ici dans Firefox : Menu Edit > Preferences > Advanced > Encryption > Security Devices, slectionnez Software Security Device et cliquez sur "Change Password". Il est vivement recommand de dfinir un tel mot de passe afin de protger l'accs vos certificats.
5. Troubleshooting
Erreur 101 : Aucune donne signer.
Il n'y a pas de donnes pouvant tre signe. Ce problme apparat gnralement lorsque vous utilisez le bouton "back" du navigateur, en combinaison ou non avec une erreur survenant dans l'application. Dans une telle situation, il arrive que l'application "perde" le document ou les donnes qui doivent tre signes. Ce problme se rsoud normalement en vitant d'utiliser le bouton "back", en retournant l'cran prcdant, et en recommenant le processus de signature.
Erreur 501 : La librairie CAPICOM n'est pas correctement installe. (IE uniquement)
La librarie CAPICOM n'a pas t trouve. Vrifiez qu'un fichier nomm capicom.dll est prsent dans le rpertoire systme de Windows (typiquement C:\Windows\System32\ ou C:\Winnt\System32). Cette librarie est automatiquement installe, condition que en ayez autoris l'installation, voir section 3.1. Pour activer l'installation automatique, vous pouvez insrer le site du SPF Finances dans la liste des sites de confiance : 1. Allez dans le menu "Tools > Internet Options...", onglet "Security" 2. Cliquez sur "Trusted Sites", bouton "Sites..." 3. Entrez dans la bote de texte "*.minfin.fgov.be", et cliquez sur "Add" pour ajouter le site la liste des sites de confiance. Voir capture d'cran ci-dessous. 4. Cliquez sur "OK", et ensuite sur "Ok".
Erreur 503 : Problme d'accs aux cls du certificat slectionn. La permission a probablement t refuse. (IE uniquement)
Il s'agit d'un problme de permission d'accs. L'utilisateur actuel n'a pas les permissions ncessaires pour accder aux cls de vos certificats. Ces cls sont maintenues dans des "conteneurs de cls", auxquels vous devez avoir accs. Les tapes ncessaires pour rsoudre ce problme dpendent de la version de Windows que vous utilisez :
Windows NT :
Les permissions du conteneur de cls sont dfinies dans la base de registre. Pour changer ces permissions, ouvrez regedt32 (pas regedit!), ouvrez la branche HKEY_LOCAL_MACHINE et allez sur la cl HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography \MachineKeys\<container name>. Slectionnez Security/Permissions partir du menu et vrifiez que tout le monde (Everyone) a un accs complet (Full Control) sur cette cl.
Vous devrez peut-tre reproduire ces tapes pour le rpertoire C:\Documents and settings\All Users\Application Data\Microsoft\Crypto \RSA\. Note : ces fichiers sont des fichiers cachs. Afin de voir ces fichiers cachs, vous devez activer l'option "Display hidden files and folders"
dans Windows, en suivant les tapes ci-dessous : 1. 2. 3. 4. Cliquez sur "Start", allez dans "Settings", et cliquez sur "Control Panel". Si vous tes dans "Category View" : cliquez sur "Appearance and Themes" Cliquez sur "Folder Options". Sur l'onglet "View", en-dessous de "Hidden files and folders", cliquez sur "Show hidden files and folders".
Erreur 504 : Echec de l'accs aux cls du certificat slectionn. La permission a probablement t refuse. (IE uniquement)
Voir Erreur 503.
Erreur 505 : Echec de l'accs aux cls du certificat slectionn. Conflit probable entre vos certificats. (IE uniquement)
Ce problme rside probablement dans un conflit entre les certificats enregistrs dans Windows. Il s'agit d'un problme li Windows, pas l'application du SPF Finances. Ce problme peut tre rsolu en supprimant manuellement les certificats. Pour supprimer un certificat sur Windows 2000 et Windows XP: 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. Dans le menu Dmarrer de Windows, cliquez sur Excuter (Start > Run). Tapez mmc et appuyez sur ENTREE (ENTER). Dans la barre de menu, cliquez sur Fichier, slectionnez Ajouter/Supprimer un composant logiciel enfichable... Cliquez Ajouter... Double-cliquez sur Certificats. Slectionnez Mon compte d'utilisateur. Cliquez sur Terminer. Cliquez sur Fermer et aprs sur OK. Double-cliquez sur Certificats - utilisateur actuel. Double-cliquez sur Personnel et aprs sur Certificats. Cliquez sur le certificat supprimer. Appuyez sur SUPPRIMER et cliquez Oui. Fermez la fentre Console1.
Error 509 : Certificat non trouv. Le navigateur ne trouve pas le certificat slectionn. (IE uniquement)
Cette erreur apparat lorsque Internet Explorer ne trouve pas le certificat slectionn. Cette erreur apparat en gnral avec les certificats Isabel. Cette erreur provient d'une mise jour incorrecte par Isabel Office Sign des certificats Isabel. Une solution ce problme est documente sur le site de support en ligne d'Isabel (www.isabel.be), section "Isabel Web Support", sous le numro d'identification 48700 (effectuez une recherche avec cet identifiant). Si ceci ne rsoud pas le problme, contactez le support Isabel.
Erreur 510 : An error occurred during the signature process. (IE uniquement)
La librairie CAPICOM n'a pas pu crer la signature numrique, pour une raison indtermine. Une ou plusieurs des actions ci-dessous peut aider rsoudre ce problme :
q
q q q
Rinstallez la librarie CAPICOM. Vous pouvez simplement supprimer le fichier capicom.dll de votre rpertoire systme Windows (typiquement C:\Windows\System32), et ensuite effectuer la procdure d'installation dcrite en section 3. Rimportez votre certificat, il pourrait tre corrompu. Essayez avec Mozilla Firefox. Essayez avec une autre machine et/ou une autre version de Windows.
Erreur 601 : Votre navigateur n'a pas russi produire la signature (Firefox uniquement)
Votre certificat n'est pas correctement install dans Firefox et/ou Firefox ne lui fait pas confiance. Vrifiez que Firefox fait confiance votre certificat. Pour cela, ouvrez le Certificate Manager de Firefox (cfr section 4.1.1) et vrifiez que Firefox fait confiance votre certificat (cfr section 4.1.4). Pour tout problme, veuillez parcourir la section 4.1 et vrifier que :
q q
votre certificat n'a pas expir le certificat de votre fournisseur est dans la liste des autorits de confiance de Firefox (cfr section 4.1.2)
Si vous avez d'autres problmes lis l'utilisation de votre certificat avec Firefox, veuillez contacter votre fournisseur de certificat (GlobalSign, Certipost or Isabel).
Lorsque je clique sur "OK", la fentre de slection de certificat dans Firefox rapparat nouveau. (Firefox uniquement)
Le mot de passe que vous avez tap n'est pas correct. Attention : il ne s'agit pas du mot de passe de votre certificat (le mot de passe donn pas le fournisseur de votre certificat), mais bien du mot de passe dfini pour votre "conteneur de certificats". Ce mot de passe n'tant pas dfini par dfaut dans Firefox, laissez le champ vide et cliquez sur OK. Veuillez lire la section section 4.3.