Blog GlobalSign

05 mai 2016

Qu’est-ce qu’un fichier PKCS#12 ?

Comment installer un fichier PKCS#12 sur mon serveur Web ?

Un fichier PKCS#12 ou .pfx est un fichier qui contient à la fois la clé privée et le certificat X.509. Il est prêt à être installé par le client sur des serveurs comme IIS, Tomkat ou Exchange. La génération des demandes de signature de certificat (CSR, Certificate Signing Request) demeure un problème récurrent pour les clients qui souhaitent sécuriser leur serveur. Avec un fichier PKCS#12, le client n’a plus à créer son propre CSR. Une autorité de certification s’en charge pour lui de manière entièrement sécurisée pendant le processus de demande de certificat.

Parcours d'un fichier PKCS#12

Le processus de demande et d’installation d’un certificat numérique diffère suivant que l’on a un fichier PKCS#12 ou .pfx. Les fichiers PKCS#12 ne peuvent être générés que pour les certificats SSL de validation de domaine (DV) et de validation d’organisation (OV). Pour les certificats SSL à validation étendue (EV), la demande de signature de certificat doit être faite manuellement, car le processus de vérification ne permet pas la création automatique de CSR. Pour les commandes de certificats de signature de document ou de code (hormis Java), les certificats numériques et les clés privées sont par défaut transmis dans un fichier .pfx.

De la demande à l’installation, ce qu’il faut savoir...

Demande

Lors de la demande, au lieu de vous demander de générer votre CSR, vous êtes redirigé vers un mot de passe pour votre fichier PKCS#12. Ce mot de passe est concaténé avec un autre mot de passe généré par le système GlobalSign afin de créer un long mot de passe fort, qui sera indispensable pour décrypter et installer le PKCS#12 une fois transmis. Pour des raisons de sécurité, nous supprimons le fichier PKCS#12 de notre système après un délai de 30 jours. Vous devez également indiquer le DN (nom distinctif) pour que le certificat puisse être émis. Avec les deux types de certificats disponibles, les éléments suivants sont requis pour le DN :

SSL de validation de domaine : nom commun du certificat (c’est-à-dire le domaine sur lequel le certificat sera utilisé) et pays.

SSL de validation d'organisation : nom commun du certificat (domaine sur lequel le certificat sera utilisé), nom de l’organisation, service (Vente, Marketing, etc.) et pays.

Vérification

La vérification est la même que pour les demandes standard. Elle dépend du type de certificat.

SSL de validation de domaine : GlobalSign envoie un e-mail d’approbation au propriétaire du nom de domaine indiqué sur la demande. Le propriétaire/contrôleur du domaine doit approuver la demande. Nous prenons aussi en charge les méthodes de validation de domaine par DNS et meta-tag.

SSL de validation d’organisation : GlobalSign utilise des bases de données tierces pour valider le fait que la société est bien propriétaire du domaine. L’Autorité de certification confirme également le droit pour le demandeur d’utiliser le domaine figurant dans la demande.

Transmission du certificat

Le certificat émis est transmis dans un fichier PKCS#12 qui contient à la fois la clé privée et le certificat. Le fichier PKCS#12 est mis à la disposition des partenaires via le portail GCC ou notre API. Les utilisateurs finaux n’ont qu’à suivre les instructions de l’Assistance technique GlobalSign pour installer leur fichier PKCS#12.

Installation d'un fichier PKCS#12 ou .pfx

Les instructions varient suivant votre système et votre navigateur. Vous retrouverez nos guides d’installation dans la liste ci-après.

Guides d'installation GlobalSign

Nous proposons plusieurs guides d’installation sur notre site d’assistance pour vous permettre de télécharger et d’installer facilement votre fichier PKCS#12. En cas de problèmes, n’hésitez pas à contacter notre équipe d’assistance.

Un fichier PKCS#12 est-il un fichier sécurisé ?

On nous interroge souvent sur le niveau de sécurité lorsque nous générons un CSR pour nos clients. Comme nous générons la clé privée nous-mêmes, nous devons être très prudents pour qu’elle reste sécurisée. GlobalSign suit des procédures et consignes strictes. La paire de clés est générée à l’aide de nombres aléatoires en fonction de plusieurs facteurs. Un module de sécurité matérielle cryptographique FIPS 140 de niveau 3 est utilisé pour générer votre paire de clés et votre demande de certificat. Enfin, pour sécuriser le fichier .pfx en transit, GlobalSign utilise un mot de passe de protection élevé qui peut contenir jusqu’à 50 caractères, auquel notre système ajoute huit caractères aléatoires supplémentaires.

À noter que GlobalSign ne stocke jamais les clés privées de ses clients sur ses propres serveurs. Une fois votre clé privée envoyée, vous disposez alors d’un accès complet.

En bref

Un fichier PKCS#12 ou .pfx offre un moyen plus simple de créer un certificat numérique. Cette méthode vous fait gagner du temps et simplifie la procédure, si vous ne savez pas trop comment générer votre propre CSR. Même s’il n’est pas possible de générer un fichier .pfx pour tous les certificats numériques, ce type de fichier couvre néanmoins un bon nombre de solutions.

Si vous souhaitez acheter un certificat numérique GlobalSign en générant un fichier PKCS#12, contactez-nous ou achetez votre certificat directement sur notre site internet.

Partager ce blog