L'application *Smart Card Manager* ================================== Cette application est mise à disposition des utilisateurs pour effectuer des fonctions de base de gestion des cartes ou des clés USB cryptographiques. De plus, elle offre un moyen rapide et pratique - d’obtenir des informations sur la carte ou la clé USB, y compris son identification et ses capacités - d’accéder aux informations stockées sur le jeton, telles que les clés et les certificats - de permettre la gestion du contenu, comme les profils de mot de passe, ou la modification des mots de passe - d'importer des certificats et des clés numériques entre un ordinateur et une carte. La gestion des cartes est accessible par l'icône suivante dans la barre d'outil : .. image:: ../_images/tab_manager.png Cartes à puces et clés ---------------------- Cette partie liste les lecteurs de cartes, les cartes ou clés USB cryptographiques insérées, ainsi que les certificats présents dans les cartes. Les icônes lecteurs et cartes ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ .. list-table:: :widths: 25 75 * - |reader_empty| - Lecteur de carte à puce sans carte connectée. * - |reader_card| - Lecteur de carte à puce avec carte supportée connectée. * - |reader_dongle| - Clé USB cryptographique. * - |reader_error| - Lecteur avec carte non supportée, ou pour lequel la connexion à la carte n'a pas pu aboutir (carte muette). * - |reader_question_mark| - Lecteur virtuel contenant une carte inconnue du middleware détecté. .. |reader_empty| image:: ../_images/reader_empty.png .. |reader_card| image:: ../_images/reader_card.png .. |reader_dongle| image:: ../_images/reader_dongle.png .. |reader_error| image:: ../_images/reader_error.png .. |reader_question_mark| image:: ../_images/reader_question_mark.png Contenu de la page ^^^^^^^^^^^^^^^^^^ Si le couple lecteur/carte sélectionné contient des certificats, ils sont affichés dans l'arbre du volet de gauche, sous le lecteur : - Certificats utilisateur - Certificats d'autorité de certification (CA) Lorsqu'un couple lecteur/carte est sélectionné dans l'arbre, les informations ci-dessous s'affichent dans le volet droit: - Informations générales - PINs - Objets La section "Informations générales" fournit des informations sur la carte et le lecteur, telles que le fabricant, le numéro de série et le profil carte. La section *PINs* ^^^^^^^^^^^^^^^^^ La section PIN ne s'affiche que lors d'une sélection de carte à puces ou de clés. Il permet de déverrouiller le jeton. Deux types de PIN peuvent être présent sur la carte : - PIN de carte (ou PIN global) - PIN de signature (réservé pour les opérations de signature qualifiée), pour les cartes concernées. Les PINs sont présentés avec les icônes suivantes : .. list-table:: :widths: 25 75 * - |pin| - PIN non vérifié, avec un compteur d'essai au maximum. * - |pin_verif| - PIN vérifié (objets privés accessibles). * - |pin_warn| - PIN dont le compteur d'essai n'est pas au maximum. * - |pin_blocked| - PIN dont le compteur d'essai est bloqué. .. |pin| image:: ../_images/pin.png .. |pin_verif| image:: ../_images/pin_verif.png .. |pin_warn| image:: ../_images/pin_warn.png .. |pin_blocked| image:: ../_images/pin_blocked.png Quatres opérations sont possibles sur les PINs : - *Vérifier* : permet de rendre accessible les objets privés associés (notamment des clés privées). Pour cela, le code confidentiel sera demandé. Attention: le nombre d'essai est généralement limité. Le retrait de la carte ne réinitialise pas le compteur. La saisie du bon code réinitialise le compteur. - *Dévalider* : permet l'annuler le vérification du PIN, et donc rebloquer les objets privés associés. - *Changer* : permet de modifier le code confidentiel. Pour cela le code confidentiel actuel sera demandé. Attention: le nombre d'essai est généralement limité (même compteur que précédemment). De plus, diverses contraintes peuvent être appliqué au choix du nouveau code confidentiel. - *Débloquer* : pour les cartes supportant cette opération, permet de réinitialiser un code confidentiel lorsque le nombre d'essai a été épuisé. Pour cela, un code de déblocage sera demandé. Attention : le nombre d'usage de ce code peut être limité. Ensuite, un nouveau code confidentiel devra être défini. La section *Objets* ^^^^^^^^^^^^^^^^^^^ Cette section présente les certificats et clés contenus dans la carte. A noter que les objets privés ne sont visibles que si le PIN associé à été vérifié au préalable. Les objets sont présentés avec les icônes suivantes : .. list-table:: :widths: 25 75 * - |certificate| - Certificat * - |key| - Clé .. |certificate| image:: ../_images/cert.png .. |key| image:: ../_images/key.png Vérification des certificats '''''''''''''''''''''''''''' À titre informatif, la validité des certificats est représentée par les icônes suivantes : .. list-table:: :widths: 25 75 * - |cert_check| - Certificat valide * - |cert_cross| - Certificat invalide (expiré, non approuvé, révoqué, ...) * - |cert_unknown| - Certificat dont la validité n'a pas pu être vérifiée (cas *non TSL*) * - |cert_unknown_tsl| - Certificat dont la validité n'a pas pu être vérifiée (cas *TSL*) .. |cert_check| image:: ../_images/cert_check.png .. |cert_cross| image:: ../_images/cert_cross.png .. |cert_unknown| image:: ../_images/cert.png .. |cert_unknown_tsl| image:: ../_images/cert_question_mark.png .. note:: Les cas *TSL* et *non TSL* sont définis par l'activation ou non de l'option *Politique de vérification des certificats* (cf. :ref:`trust-policy-setting`). Plusieurs règles sont prises en compte pour déterminer la validité d'un certificat : - Un certificat — s'il n'est pas certificat racine d'une authorité de certification (ou *root*) — sans clé privée associée dans la carte sera toujours vu comme **invalide**. - Un certificat est **valide** s'il est correctement vérifié (date, signature...) et que **toute sa chaîne de confiance** l'est également. Les certificats considérés pour la chaine de confiance peuvent être présents soit dans le *magasin de certificats système*, soit dans le *dépôt en ligne Trusted Services List* (TSL), soit sur la carte ; selon le paramétrage de la *Politique de vérification des certificats* (cf. :ref:`trust-policy-setting`). - Cas où la validité n'a pas pu être vérifiée car **la chaîne de confiance n'a pas pu être vérifiée**. Deux cas existent, selon la valeur de la *Politique de vérification des certificats* : - cas non *TSL* : si la **chaîne de confiance est incomplète** et que le **certificat a une date valide**. - cas *TSL* : si la vérification n'a pas pu être effectuée car le dépôt en ligne TSL **n'est pas joignable** (pas de connexion réseau...). - Un certificat est **invalide** dans les autres cas. Opérations de la section *Objets* ''''''''''''''''''''''''''''''''' La section peut être structurée de différentes manières : .. list-table:: :widths: 25 75 * - |filter_containers| - Affiche tous les objets, classés par conteneur (les objets liées sont regroupés) * - |filter_certs| - Affiche uniquement les certificats * - |filter_all| - Affiche tous les objets .. |filter_containers| image:: ../_images/filter_containers.png .. |filter_certs| image:: ../_images/filter_certs.png .. |filter_all| image:: ../_images/filter_all.png Le menu associé permet : - d'importer un certificat, une paire de clé, ou un conteneur complet, depuis un fichier au format PKCS#8, PKCS#12 ou X.509. - de générer une paire de clé RSA ou Courbe Elliptique (pour les cartes le supportant). Ces opérations peuvent ne pas être disponibles suivant la déclinaison du middleware déployée, ou les opérations supportées par le profil de carte. Lors du survol d'un certificat ou d'une clé, un bouton + permet d'afficher des informations détaillés. Le menu contextuel sur un objet permet : - d'exporter le certificat (au format DER ou PEM), ou la clé publique (sous forme de CSR) - de supprimer l'objet Opérations possibles sur la carte ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ .. note:: Toutes les opérations ne sont pas disponibles sur toutes les déclinaisons du middleware et pour tous les cartes Importer un certificat ''''''''''''''''''''''' Cette opération permet d'importer un certificat au format PKCS#8, PKCS#12 ou X.509 dans la carte. Pour cela il faudra rentrer le PIN de la carte et un éventuel mot de passe du certificat. |operation_import_cert| |operation_import_cert_password| .. |operation_import_cert| image:: ../_images/operation_import_cert.png .. |operation_import_cert_password| image:: ../_images/operation_import_cert_password.png Générer une paire de clé ''''''''''''''''''''''''' Cette opération permet de générer une paire de clé RSA ou elliptique, directement sur la carte. |operation_generate_keypair| L'opération peut prendre un peu de temps. |operation_generate_keypair_form| Une fois l'opération terminée, une nouvelle paire de clé est visible sur l'interface du manager. |operation_generate_keypair_generated| .. |operation_generate_keypair| image:: ../_images/operation_generate_keypair.png .. |operation_generate_keypair_form| image:: ../_images/operation_generate_keypair_form.png .. |operation_generate_keypair_generated| image:: ../_images/operation_generate_keypair_generated.png Exporter un certificat ''''''''''''''''''''''' Cette opération permet d'exporter un certificat au format DER, PEM ou PKCS#7 sur le poste utilisateur. |operation_export_cert| Il est possible de choisir le format avant d'exporter: |operation_export_cert_format| .. |operation_export_cert| image:: ../_images/operation_export_cert.png .. |operation_export_cert_format| image:: ../_images/operation_export_cert_format.png Supprimer un objet ''''''''''''''''''''''' Il est possible de supprimer un objet (clé ou certificat) depuis le menu : |operation_delete_obj| Par défaut, les objets liés sont aussi supprimés : |operation_delete_obj_dlg| .. |operation_delete_obj| image:: ../_images/operation_delete_obj.png .. |operation_delete_obj_dlg| image:: ../_images/operation_delete_obj_dlg.png Magasins de certificats ----------------------- Dans cette partie sont listés les certificats sauvegardés dans le magasin de Microsoft Windows. Ceux-ci peuvent être également consulté via la commande *certmgr.msc*. Cette section peut ne pas être disponible suivant la déclinaison du middleware installée.