Certificats CNRS avec Mail et Safari

À partir de Mac OS X 10.3.3 les certificats CNRS sont supportés dans les applications Mail et Safari d'Apple.

Installer dernière mise à jour.

Télécharger la dernière mise à jour et suivre les instructions pour l'installer.

Récupérer les certficats de l'autorité de certification racine CNRS et de l'autorité CNRS-Standard

À partir du site de l'IGC CNRS dans "Certificats AC", cliquer sur les deux croix de la colonne de droite et sauver le resultat dans des fichiers, par exemple CNRS.crt et CNRS-Standard.crt.

Importer ces certificats dans le trousseau de clés du système

Ouvrir un terminal et exécuter les commandes suivantes :

sudo certtool i CNRS.crt k=/System/Library/Keychains/X509Anchors
sudo certtool i CNRS-Standard.crt k=/System/Library/Keychains/X509Anchors

Pour éviter le recours au terminal, voici un package installable qui installe tout seul les certificats de toutes les autorités CNRS.

Demande et renouvellement de certificats CNRS

Safari 2.0 (La version présente dans Mac OS X 10.4 - Tiger), est maintenant supportée par l'IGC du CNRS. Il est donc possible de demander un certificat ou de le renouveller direcement avec Safari. Le certificat et la clé privée seront automatiquement créés dans le trousseau de clés.

Avec les versions précédentes de Safari, il n'est pas possible de faire directement la demande de certificat. Il faut donc utiliser un autre navigateur (Firefox) puis exporter le certificat avant de l'importer dans le trousseau de clés.

Importer un certificat existant dans le trousseau de clés

Le certificat de l'utilisateur se trouve dans un fichier avec l'extension .p12, protégé par un mot de passe.
Il suffit de double-cliquer sur l'icône de ce fichier dans le finder pour l'importer dans le trousseau de clés.

Importer les listes de révocation des autorités CNRS et CNRS-Standard

À partir du site de l'IGC CNRS dans "Listes de révocation", cliquer sur les deux croix de la colonne de droite et sauver le resultat dans des fichiers, soient CNRS.crl et CNRS-Standard.crl.
Exécuter les commandes suivantes :

sudo certtool I CNRS.crl k=/System/Library/Keychains/X509Anchors
sudo certtool I CNRS-Standard.crl k=/System/Library/Keychains/X509Anchors

HTTPS et IMAPS

Après avoir importé les certificats de l'autorité de certification CNRS, il est possible de faire des connexions HTTPS avec Safari et IMAPS avec Mail vers des serveurs utilisant un certificat de serveur délivré par l'autorité de certification CNRS-Standard.

Utiliser le certificat pour signer des messages

Une icône apparait dans Mail pour proposer de signer les messages envoyés.
Si le certificat du destinataire est présent dans le trousseau de clés, une seconde icône permet de chiffrer le message.

NB :pour pouvoir signer un message, il faut que l'adresse de l'expéditeur configurée dans le compte de messagerie corresponde à l'adresse enregistrée dans le certificat de l'utilisateur.

Lorsqu'un un message signé est reçu, une icône apparait dans les entêtes pour indiquer que la signature a été vérifiée correctement.

Utiliser le certificat pour se connecter à un site Web

Safari envoie automatiquement le certificat de l'utilisateur aux sites qui demandent une authentification par certificat.

À noter qu'avec la version de Safari de Mac OS 10.3.3, il y avait des erreurs avec certains sites. Ce problème a été corrigé dans la mise à jour 10.3.4 (Safari 1.2.2).

Limitations

• Si plusieurs certificats sont présents dans le trousseau de clés de l'utilisateur, il n'est pas possible de choisir quel certificat sera envoyé par Safari.
• Impossible de voir le certificat de l'autorité de certification utilisée pour la signature.
• Mail ne sait pas utiliser un certficat utilisateur pour authentifier une connexion SMTP (STARTTLS ou SMTPS).

Mozilla, Firefox et Thunderbird

Ces applications supportent les certificats CNRS sur toutes les versions de Mac OS X, de la même manière que sur les autres plateformes. Il n'y a rien de particulier à dire ici.