L'application Smart Card Manager

Cette application est mise à disposition des utilisateurs pour effectuer des fonctions de base de gestion des cartes ou des clés USB cryptographiques. De plus, elle offre un moyen rapide et pratique

  • d’obtenir des informations sur la carte ou la clé USB, y compris son identification et ses capacités

  • d’accéder aux informations stockées sur le jeton, telles que les clés et les certificats

  • de permettre la gestion du contenu, comme les profils de mot de passe, ou la modification des mots de passe

  • d'importer des certificats et des clés numériques entre un ordinateur et une carte.

La gestion des cartes est accessible par l'icône suivante dans la barre d'outil :

../_images/tab_manager.png

Cartes à puces et clés

Cette partie liste les lecteurs de cartes, les cartes ou clés USB cryptographiques insérées, ainsi que les certificats présents dans les cartes.

Les icônes lecteurs et cartes

reader_empty

Lecteur de carte à puce sans carte connectée.

reader_card

Lecteur de carte à puce avec carte supportée connectée.

reader_dongle

Clé USB cryptographique.

reader_error

Lecteur avec carte non supportée, ou pour lequel la connexion à la carte n'a pas pu aboutir (carte muette).

reader_question_mark

Lecteur virtuel contenant une carte inconnue du middleware détecté.

Contenu de la page

Si le couple lecteur/carte sélectionné contient des certificats, ils sont affichés dans l'arbre du volet de gauche, sous le lecteur :

  • Certificats utilisateur

  • Certificats d'autorité de certification (CA)

Lorsqu'un couple lecteur/carte est sélectionné dans l'arbre, les informations ci-dessous s'affichent dans le volet droit:

  • Informations générales

  • PINs

  • Objets

La section "Informations générales" fournit des informations sur la carte et le lecteur, telles que le fabricant, le numéro de série et le profil carte.

La section PINs

La section PIN ne s'affiche que lors d'une sélection de carte à puces ou de clés. Il permet de déverrouiller le jeton. Deux types de PIN peuvent être présent sur la carte :

  • PIN de carte (ou PIN global)

  • PIN de signature (réservé pour les opérations de signature qualifiée), pour les cartes concernées.

Les PINs sont présentés avec les icônes suivantes :

pin

PIN non vérifié, avec un compteur d'essai au maximum.

pin_verif

PIN vérifié (objets privés accessibles).

pin_warn

PIN dont le compteur d'essai n'est pas au maximum.

pin_blocked

PIN dont le compteur d'essai est bloqué.

Quatres opérations sont possibles sur les PINs :

  • Vérifier : permet de rendre accessible les objets privés associés (notamment des clés privées). Pour cela, le code confidentiel sera demandé. Attention: le nombre d'essai est généralement limité. Le retrait de la carte ne réinitialise pas le compteur. La saisie du bon code réinitialise le compteur.

  • Dévalider : permet l'annuler le vérification du PIN, et donc rebloquer les objets privés associés.

  • Changer : permet de modifier le code confidentiel. Pour cela le code confidentiel actuel sera demandé. Attention: le nombre d'essai est généralement limité (même compteur que précédemment). De plus, diverses contraintes peuvent être appliqué au choix du nouveau code confidentiel.

  • Débloquer : pour les cartes supportant cette opération, permet de réinitialiser un code confidentiel lorsque le nombre d'essai a été épuisé. Pour cela, un code de déblocage sera demandé. Attention : le nombre d'usage de ce code peut être limité. Ensuite, un nouveau code confidentiel devra être défini.

La section Objets

Cette section présente les certificats et clés contenus dans la carte. A noter que les objets privés ne sont visibles que si le PIN associé à été vérifié au préalable.

Les objets sont présentés avec les icônes suivantes :

certificate

Certificat

key

Clé

Vérification des certificats

À titre informatif, la validité des certificats est représentée par les icônes suivantes :

cert_check

Certificat valide

cert_cross

Certificat invalide (expiré, non approuvé, révoqué, ...)

cert_unknown

Certificat dont la validité n'a pas pu être vérifiée (cas non TSL)

cert_unknown_tsl

Certificat dont la validité n'a pas pu être vérifiée (cas TSL)

Note

Les cas TSL et non TSL sont définis par l'activation ou non de l'option Politique de vérification des certificats (cf. Options utilisateur).

Plusieurs règles sont prises en compte pour déterminer la validité d'un certificat :

  • Un certificat — s'il n'est pas certificat racine d'une authorité de certification (ou root) — sans clé privée associée dans la carte sera toujours vu comme invalide.

  • Un certificat est valide s'il est correctement vérifié (date, signature...) et que toute sa chaîne de confiance l'est également. Les certificats considérés pour la chaine de confiance peuvent être présents soit dans le magasin de certificats système, soit dans le dépôt en ligne Trusted Services List (TSL), soit sur la carte ; selon le paramétrage de la Politique de vérification des certificats (cf. Options utilisateur).

  • Cas où la validité n'a pas pu être vérifiée car la chaîne de confiance n'a pas pu être vérifiée. Deux cas existent, selon la valeur de la Politique de vérification des certificats :

    • cas non TSL : si la chaîne de confiance est incomplète et que le certificat a une date valide.

    • cas TSL : si la vérification n'a pas pu être effectuée car le dépôt en ligne TSL n'est pas joignable (pas de connexion réseau...).

  • Un certificat est invalide dans les autres cas.

Opérations de la section Objets

La section peut être structurée de différentes manières :

filter_containers

Affiche tous les objets, classés par conteneur (les objets liées sont regroupés)

filter_certs

Affiche uniquement les certificats

filter_all

Affiche tous les objets

Le menu associé permet :

  • d'importer un certificat, une paire de clé, ou un conteneur complet, depuis un fichier au format PKCS#8, PKCS#12 ou X.509.

  • de générer une paire de clé RSA ou Courbe Elliptique (pour les cartes le supportant).

Ces opérations peuvent ne pas être disponibles suivant la déclinaison du middleware déployée, ou les opérations supportées par le profil de carte.

Lors du survol d'un certificat ou d'une clé, un bouton + permet d'afficher des informations détaillés.

Le menu contextuel sur un objet permet :

  • d'exporter le certificat (au format DER ou PEM), ou la clé publique (sous forme de CSR)

  • de supprimer l'objet

Opérations possibles sur la carte

Note

Toutes les opérations ne sont pas disponibles sur toutes les déclinaisons du middleware et pour tous les cartes

Importer un certificat

Cette opération permet d'importer un certificat au format PKCS#8, PKCS#12 ou X.509 dans la carte. Pour cela il faudra rentrer le PIN de la carte et un éventuel mot de passe du certificat.

operation_import_cert operation_import_cert_password

Générer une paire de clé

Cette opération permet de générer une paire de clé RSA ou elliptique, directement sur la carte.

operation_generate_keypair

L'opération peut prendre un peu de temps. operation_generate_keypair_form

Une fois l'opération terminée, une nouvelle paire de clé est visible sur l'interface du manager. operation_generate_keypair_generated

Exporter un certificat

Cette opération permet d'exporter un certificat au format DER, PEM ou PKCS#7 sur le poste utilisateur.

operation_export_cert

Il est possible de choisir le format avant d'exporter:

operation_export_cert_format

Supprimer un objet

Il est possible de supprimer un objet (clé ou certificat) depuis le menu :

operation_delete_obj

Par défaut, les objets liés sont aussi supprimés :

operation_delete_obj_dlg

Magasins de certificats

Dans cette partie sont listés les certificats sauvegardés dans le magasin de Microsoft Windows. Ceux-ci peuvent être également consulté via la commande certmgr.msc.

Cette section peut ne pas être disponible suivant la déclinaison du middleware installée.