Accès web au SI de RTE

• Configuration préalable
• Installation des certificats des AC RTE
• Installation de votre certificat personnel
• Utilisation de votre certificat
• Opération complémentaires
• Connexion au VPN SSL

Il s'agit de configurer le poste pour supporter le standard SSL, permettant d'accéder à des sites avec une connexion chiffrée (protocole HTTPS).

Dans le navigateur, sélectionnez le menu « Outils > Options Internet… » :

Sélectionnez l'onglet « Avancé » :

Dans la section « Sécurité », assurez-vous que les cases TLS 1.0, TLS 1.1 et TLS 1.2 sont cochées, comme indiqué ci-dessus.

Ajouts des sites de confiance

Afin de pouvoir vous authentifier sur des sites Internet avec votre certificat logiciel, il est impératif d’ajouter ces sites à la liste des sites de confiances.

La zone Sites de confiance permet de déclarer des noms de sites que vous estimez sûrs.

Pour ce paragraphe, vous devez être connecté au poste de travail avec le compte Windows qui utilisera le certificat logiciel.

Pour cela, ouvrez Internet Explorer et cliquez sur le menu « Outils > Options Internet ».

Dans la fenêtre qui s’ouvre, cliquez sur l’onglet « Sécurité ». Sélectionnez l’icône « Sites de confiance », puis cliquez sur le bouton « Sites ».

La fenêtre suivante s’ouvre.

Dans le champ « Ajouter ce site Web à la zone », saisissez l’URL de la PKI suivante :

Puis cliquez sur le bouton « Ajouter ». Le site apparaît alors dans la liste « Sites Web » comme sur l’écran ci-dessous.

Procédez de la même manière pour ajouter les sites suivants :

https://portail.iservices.rte-france.com : il s’agit du portail internet
https://secure.iservices.rte-france.com : il s’agit du portail de connexion VPN SSL

Les 3 sites doivent maintenant apparaître dans la liste « Sites Web ».

Cliquez sur « Fermer », puis sur « OK ».

Il s’agit de l’AC historique de taille de clé 2048bits. Elle est nécessaire pour la cohabitation de l’ancienne PKI avec la nouvelle.
Il faut à présent installer le certificat de l’AC historique de RTE dans votre navigateur.
Pour ce faire, veuillez aller à l’adresse suivante :

La fenêtre de téléchargement s'affiche :

Cliquez sur le bouton « Enregistrer » et sélectionnez un emplacement où enregistrer le fichier « Certification_Autority_RTE_2048.cer » contenant le certificat historique.

Une fois le téléchargement terminé, la fenêtre suivante s’affiche :

Cliquez sur « Ouvrir le dossier » pour vous rendre dans le répertoire où vous avez enregistré le fichier.

Faites un clic-droit sur le fichier « Certification_Autority_RTE_2048.cer » que vous venez de télécharger, et choisissez « Installer le certificat ».

L’assistant d’installation du certificat s’affiche :

Cliquez sur le bouton « Suivant ».

Cochez la case « Placer tous les certificats dans le magasin suivant » et cliquez sur « Parcourir ».

Dans la fenêtre qui s’ouvre, sélectionnez « Autorités de certification racines de confiance » et cliquez sur « OK ».

Une fois le magasin de certificat choisi, vous obtenez cette fenêtre :

Cliquez sur « Suivant ».

Cliquez sur « Terminer ».

Cliquez sur « OK ».

RTE Root Certification Authority

Il s’agit de la nouvelle AC Root de taille de clé 4096 bits. Elle est nécessaire à la validation de la chaine de confiance.
Il faut à présent installer le certificat de l’AC Root de RTE dans votre navigateur.
Pour ce faire, veuillez aller à l’adresse suivante :

La fenêtre de téléchargement s’affiche :

Cliquez sur le bouton « Enregistrer » et sélectionnez un emplacement où enregistrer le fichier « ACR_RTE_Root_CA_20160303.cer » contenant le certificat Root.

Une fois le téléchargement terminé, la fenêtre suivante s’affiche :

Cliquez sur « Ouvrir le dossier » pour vous rendre dans le répertoire où vous avez enregistré le fichier.

Faites un clic-droit sur le fichier « ACR_RTE_Root_CA_20160303.cer » que vous venez de télécharger, et choisissez « Installer le certificat ».

L’assistant d’installation du certificat s’affiche :

Cliquez sur le bouton « Suivant ».

Cochez la case « Placer tous les certificats dans le magasin suivant » et cliquez sur « Parcourir ».

Dans la fenêtre qui s’ouvre, sélectionnez « Autorités de certification racines de confiance » et cliquez sur « OK ».

Une fois le magasin de certificat choisi, vous obtenez cette fenêtre :

Cliquez sur « Suivant ».

Cliquez sur « Terminer », et si la fenêtre suivante affiche un avertissement de sécurité alors cliquez sur « Oui » :

Cliquez sur « OK ».

RTE Client Certification Authority

Il s’agit de la nouvelle AC Client de taille de clé 4096 bits. Elle sert à générer les certificats de la nouvelle PKI.
Il faut à présent installer le certificat de l’AC Client de RTE dans votre navigateur.
Pour ce faire, veuillez aller à l’adresse suivante :

La fenêtre de téléchargement s’affiche :

Cliquez sur le bouton « Enregistrer » et sélectionnez un emplacement où enregistrer le fichier « ACF_RTE_Client_CA_20160303.cer » contenant le certificat Root.

Une fois le téléchargement terminé, la fenêtre suivante s’affiche :

Cliquez sur « Ouvrir le dossier » pour vous rendre dans le répertoire où vous avez enregistré le fichier.

Faites un clic-droit sur le fichier « ACF_RTE_Client_CA_20160303.cer » que vous venez de télécharger, et choisissez « Installer le certificat ».

L’assistant d’installation du certificat s’affiche :

Cliquez sur le bouton « Suivant ».

Cochez la case « Sélectionner automatiquement le magasin de certification selon le type de certificat » et cliquez sur « Suivant ».

Cliquez sur « Terminer ».

Cliquez sur « OK ».

Visualisation et vérification des certificats des AC RTE

Visualisation des certificats installés

Les certificats, que vous venez d’importer, sont rangés dans le magasin des autorités de certification d’Internet Explorer.

Pour les visualiser, cliquez sur le menu « Outils > Options Internet… ».

Une fenêtre apparaît. Allez sur l’onglet « Contenu » et cliquez sur le bouton « Certificats… ».

Dans la fenêtre qui apparaît, allez sur l’onglet « Autorités de certification racine de confiance ».
Vous pouvez voir le certificat de l’AC historique de RTE (ici) et le certificat de l’AC Root de RTE (ici):

Sur l’onglet « Autorités de certification intermédiaires » vous pouvez voir le certificat de l’AC Client de RTE (ici):

Vérification du certificat RTE Certification Authority

Sélectionnez le certificat « RTE Certification Authority »

Cliquez sur le bouton « Affichage », puis sur l’onglet « Détails ».

Pour vous assurer de l’authenticité de ce certificat, vérifiez que l’empreinte numérique « SHA1 » lié au certificat « RTE Certification Authority » est identique à celle présentée ci-dessous.

Si ce n’est pas le cas, supprimez le certificat et appelez la Hotline RTE (cliquez ici).

Vérification du certificat RTE Root Certification Authority

Sélectionnez le certificat « RTE Root Certification Authority »

Cliquez sur le bouton « Affichage », puis sur l’onglet « Détails ».


Pour vous assurer de l’authenticité de ce certificat, vérifiez que l’empreinte numérique « SHA1 » lié au certificat « RTE Root Certification Authority » est identique à celle présentée ci-dessous.


Si ce n’est pas le cas, supprimez le certificat et appelez la Hotline RTE (cliquez ici).

Vérification du certificat RTE Client Certification Authority

Dans l’onglet « Autorités de certification intermédiaires », sélectionnez le certificat « RTE Client Certification Authority »

Cliquez sur le bouton « Affichage », puis sur l’onglet « Détails ».

Pour vous assurer de l’authenticité de ce certificat, vérifiez que l’empreinte numérique « SHA1 » lié au certificat « RTE Client Certification Authority » est identique à celle présentée ci-dessous.


Si ce n’est pas le cas, supprimez le certificat et appelez la Hotline RTE (cliquez ici).

La demande de certificat logiciel doit avoir été complétée conformément à la procédure de la partie « Demande de certificat logiciel ».
Pour effectuer le retrait vous avez besoin des informations suivantes (voir ici) :

• Mot de passe choisi que vous avez choisi et fourni à RTE dans le formulaire de demande d’accès au SI de RTE (voir ici).
• Email du certificat, Code de retrait et Mot de passe du fichier PKCS#12 présents dans le mail « Accès aux services SI de RTE » (voir ici).

Pour vous simplifier la tâche vous pouvez faire un copier-coller des différentes valeurs en prenant soin de ne pas copier d’espace en début ou en fin.

Pour créer votre certificat et la clé privée associée, connectez-vous sur le site Web de retrait de certificats :

Cliquez sur le bouton « Retrait de votre certificat personnel ». Remplissez le champ « Email du certificat » avec la valeur indiquée dans le mail « Accès aux services SI de RTE ».

Cliquez sur « Envoyer ». Remplissez les champs :

• « Code de retrait » comme indiqué dans le mail « Accès aux services SI de RTE » (voir ici).
• « Mot de passe choisi » qui est le mot de passe que vous avez choisi et fourni à RTE dans le formulaire demande d’accès au SI de RTE (voir ici).

Enfin, cliquez sur « Envoyer ».

Téléchargement de votre certificat

La page suivante s'affiche : Cliquez sur « Télécharger ». Dans la fenêtre qui s’affiche, cliquez sur « Enregistrer ». Choisissez un répertoire pour sauvegarder votre certificat, puis cliquez sur « Enregistrer ».

Une fenêtre indique la progression du téléchargement. Une fois le téléchargement terminé, cliquez sur « Ouvrir le dossier ». Le dossier contenant votre certificat personnel apparaît.

Installation de votre certificat personnel

Allez dans le répertoire de sauvegarde du fichier téléchargé.

Faites un clic droit sur le fichier « certificate.p12 » et choisissez « Installer PFX ». Cliquez sur « Suivant ». Le nom du fichier contenant votre certificat est automatiquement renseigné, cliquez sur « Suivant ».

La fenêtre ci-dessous s’affiche :

• Dans le champ « Mot de passe », entrez le « Mot de passe » présent dans le mail « Accès aux services SI de RTE » (ici).
• La case « Activer la protection renforcée des clés privées » est optionnelle. Cochez-là si vous souhaitez définir un mot de passe qui sera demandé avant chaque utilisation de votre clé privée dans Internet Explorer.
• La case « Marquer cette clé comme exportable » est optionnelle. Cochez-là si vous souhaitez pouvoir exporter votre clé privée par la suite (voir chapitre ici pour réaliser un export).
• Cochez la case « Inclure toutes les propriétés étendues ».

Cliquez sur « Suivant ». Sélectionnez l’option « Sélectionner automatiquement le magasin de certificats selon le type de certificat », puis cliquez sur « Suivant » Enfin, cliquez sur « Terminer ».

Si vous avez coché la case « Activer la protection renforcée des clés privées » préalablement, alors la fenêtre suivante s’affiche : Cliquez sur le bouton « Définir le niveau de sécurité ». Sélectionnez la case « Haut », puis cliquez sur le bouton « Suivant ». Saisissez un nom pour la clé privée à protéger et un mot de passe, puis cliquez sur le bouton « Terminer ».
Attention : ce mot de passe vous sera demandé à chaque utilisation du certificat. Cliquez sur le bouton « OK ».

Finalement, la fenêtre suivante s’affiche : Cliquez sur le bouton « OK ».

Votre certificat, votre clé privée ont été importés dans Internet Explorer.

Visualisation et vérification de votre certificat logiciel

Quel que soit le navigateur utilisé, le contenu du certificat téléchargé est évidemment le même, seule la présentation des informations à l’écran diffère. Dans le cas du téléchargement par Internet Explorer, ouvrez le magasin de certificats, par le menu « Outils > Options Internet », onglet « Contenu », bouton « Certificats… » : Sélectionnez votre certificat, puis cliquez sur « Affichage ». Sa validité est de 3 ans à partir de la date de retrait.

L’onglet « Chemin d’accès de certification » permet de vérifier la validité de votre certificat. L’état « valide » de votre certificat ainsi que la visualisation complète du chemin d’accès de la certification indiquent que votre certificat a été correctement installé ainsi que la chaine de confiance (AC Root + AC Client ou AC historique), et, donc, que toutes les conditions d’utilisation correctes de votre certificat sont réunies.

L’onglet « Détails » vous permet de visualiser le nom complet du porteur et l’adresse mail auxquels sont rattachés le certificat. Étapes à suivre :

• lancez Internet Explorer,
• saisissez l’URL de l’application RTE ou du « Portail Services Clients de RTE » :
  
  https://portail.iservices.rte-france.com
• lors de l’authentification, le navigateur vous demandera de choisir le certificat devant servir à vous authentifier, puis le mot de passe de protection du magasin de certificats si celui-ci a été défini,
• si plusieurs certificats vous sont présentés, vous devrez choisir celui qui vous a été fourni pour l’application à laquelle vous allez accéder (utiliser le bouton « Afficher le certificat » pour visualiser leur contenu).

Une fois l’authentification terminée, toutes les données que vous recevez ou envoyez seront chiffrées.

Exemple d'accès à une application web RTE

Saisissez l’URL https://portail.iservices.rte-france.com dans la barre d’adresse d’Internet Explorer puis validez.

Puis, Internet Explorer vous demande de choisir un certificat vous permettant de vous authentifier auprès du site demandé. La ligne « Cliquez ici pour afficher les propriétés… » vous permet de visualiser le contenu du certificat sélectionné.

Cliquez sur le bouton « OK » pour accéder à l’application.

La fenêtre ci-dessous vous demande le mot de passe qui protège la clé privée associée à votre certificat si celui-ci a été défini. La page d’accueil est alors affichée de façon sécurisée (apparition du cadenas fermé à droite du champ de saisie de l’URL) : Ce paragraphe explique comment sauvegarder son certificat avec sa clé privée et la chaine de confiance RTE. La procédure consiste à générer un fichier au format PKCS#12 (d’extension « .pfx »), protégé par un mot de passe.

Vous ne pouvez exporter votre certificat et sa clé privée que si vous avez coché « Marquer cette clé comme exportable » lors de l'installation de votre certificat personnel (cliquez ici).

Sous Internet Explorer, cliquez sur le menu « Outils > Options Internet… » Puis, cliquez sur l’onglet « Contenu », puis sur le bouton « Certificats… ». Une autre fenêtre apparaît. Sélectionnez votre certificat, puis cliquez sur « Exporter… ». Sélectionnez « Oui, exporter la clé privée », puis cliquez sur le bouton « Suivant ». Sélectionnez la case à cocher « Inclure tous les certificats dans le chemin d’accès de certification si possible », puis cliquez sur le bouton « Suivant ». Saisissez un mot de passe de votre choix pour protéger le fichier PKCS#12, puis cliquez sur « Suivant ». Sélectionnez l’emplacement du fichier PKCS#12, puis cliquez sur le bouton « Suivant ». Enfin, cliquez sur le bouton « Terminer ». cliquez sur « OK ».

Vous venez d’exporter vers un fichier au format standard PKCS#12, protégé par un mot de passe, votre certificat, sa clé privée et la chaine de confiance RTE. Ces éléments ont donc été exportés, mais restent bien sûr présents dans le magasin d’Internet Explorer.

Suppression de votre certificat personnel

Ce paragraphe détaille la procédure pour supprimer un certificat et sa clé privée du magasin de certificat d’Internet Explorer. Sous Internet Explorer, allez dans : « Outils > Options Internet ». Une fenêtre apparaît. Cliquez sur l’onglet « Contenu », puis sur le bouton « Certificats… » : Sélectionnez le certificat à supprimer et cliquez sur « Supprimer ». Cliquez sur « Oui ». Le certificat est supprimé de la liste des certificats. La connexion via VPN SSL est un service permettant l’établissement d’un canal de communication sécurisé au FrontOffice RTE à travers Internet. Ce canal est établi après authentification avec votre certificat auprès d’un site dédié (cliquez ici). Une fois le canal établi, toutes vos communications avec le service RTE demandé seront chiffrées.

L’utilisation du VPN SSL nécessite l’installation d’un outil dédié, installé lors de la première connexion au site. Cette application se nomme Secure Application Manager (SAM).

Le VPN SSL permet l’accès sécurisé à vos boîtes aux lettres hébergées sur le FrontOffice RTE.

Prérequis

Le site secure.iservices.rte-france.com doit être déclaré comme site de confiance (cliquez ici) PSIS (Pulse Secure Installer Service) est un service Windows mis à disposition sur le site client de RTE. Ce service permet, une fois installé, de mettre à jour les futures versions du SAM sans demander l’intervention d’une personne ayant les privilèges administrateur de la machine.

Pour ce faire, télécharger l’exécutable sous le lien :

http://clients.rte-france.com/lang/fr/visiteurs/accueil/portail.jsp Et décompresser le fichier compressé : Une fois le fichier exécuté, une fenêtre vous demandant l’autorisation de démarrer le service apparaît. Cliquez sur « Exécuter ». La fenêtre suivante apparaît. Cliquez sur « Oui ». Ce dernier sera automatiquement activé à chaque lancement du système d’exploitation.

Première connexion

Ce paragraphe concerne uniquement votre première connexion au VPN SSL avec Internet Explorer. Avant de poursuivre, il faut désactiver les contrôles ActiveX sur Internet Explorer. Pour ce faire, appuyez sur la touche « Alt » de votre clavier. Une barre de menu apparaît en haut de la fenêtre. Cliquez sur le bouton Outils, et faite en sorte que « Filtrage ActiveX » soit bien désactivé comme sur la capture ci-dessous. Lancez votre navigateur et allez sur le site suivant : La fenêtre suivante apparaît : Sélectionnez votre certificat, puis cliquez sur le bouton « OK ».

Si nécessaire, cette fenêtre vous demandera le mot de passe qui protège la clé privée associée à votre certificat. La navigateur affiche alors un lien pour installer le SAM (si ce dernier n’est pas déjà installé) : Si aucune intervention manuelle est effectuée, le pop-up d’installation suivant apparaît : Si nécessaire, la fenêtre suivante apparaît : Cliquez sur « Oui ».
Le client Pulse s’installe alors et l’installation de l’application SAM débute. Patientez durant toute la durée de l’installation.

Si nécessaire, une fenêtre vous demandant d’autoriser le programme à apporter des modifications à votre ordinateur apparaît. Cliquez sur « Oui ».

Une fois l’installation terminée, la page ci-après s’affiche : Si votre accès à Internet nécessite une authentification auprès d‘un proxy, une fenêtre s’affiche pour vous demander vos identifants de connexion. Saisissez les et validez.

Puis, l’icône apparaît dans votre barre des tâches :

Cliquez sur le bouton « Déconnexion » (en haut à droite de la page) pour terminer la session :

Utilisation du VPN SSL

Etablissement de la connexion

Lancez votre navigateur et allez sur le site suivant : La fenêtre suivante apparaît : Sélectionnez votre certificat, puis cliquez sur le bouton « OK ».

Si nécessaire, une fenêtre vous demandera le mot de passe qui protège la clé privée associée à votre certificat.

Si nécessaire, la fenêtre ci-après apparaît. Cliquez sur « Oui ». L’application SAM se lance automatiquement et la page ci-après s’affiche : Si votre accès à Internet nécessite une authentification auprès d‘un proxy, une fenêtre s’affiche pour vous demander vos identifants de connexion. Saisissez-les et validez.
Puis, l’icône apparaît dans votre barre des tâches.

Remarques :

• Le certificat sert uniquement à l’établissement de la connexion au VPN SSL.
• Pour fermer la session VPN SSL, cliquez sur le bouton « Déconnexion » (en haut à droite de la page).

Utilisation pour l’accès aux boîtes aux lettres hébergées

Le VPN SSL peut être utilisé pour accéder aux boîtes aux lettres hébergées sur le FrontOffice avec un client de messagerie standard.

L’accès aux boîtes aux lettres hébergées nécessite que la connexion au VPN SSL soit établie (voir ici). La configuration du compte de messagerie dans votre client de messagerie se fait ensuite de manière standard avec les paramètres suivants :

• Serveur de messagerie Entrant :
• Type de serveur : POP3
• Adresse (nom d'hôte du serveur) : pop.services.rte-france.com
• Port : 110
• Chiffrement SSL : Aucun
• Authentification : Mot de passe
• Serveur de messagerie Sortant :
• Type de serveur : SMTP
• Adresse (nom d'hôte du serveur) : smtp.services.rte-france.com
• Port : 25
• Chiffrement SSL : Aucun
• Authentification : Aucune

Lorsque vos accès au FrontOffice RTE vous sont fournis, vous recevez votre identifiant de connexion (login), votre mot de passe et votre adresse mail.