logorte

Accès web au SI de RTE


Internet Explorer

Microsoft Internet Explorer

Configuration préalable

Configuration des paramètres de sécurité

Il s'agit de configurer le poste pour supporter le standard SSL, permettant d'accéder à des sites avec une connexion chiffrée (protocole HTTPS).

Dans le navigateur, sélectionnez le menu « Outils > Options Internet… » :

Paramètre de sécurité

Sélectionnez l'onglet « Avancé » :

paramètre avancé

Dans la section « Sécurité », assurez-vous que les cases TLS 1.0, TLS 1.1 et TLS 1.2 sont cochées, comme indiqué ci-dessus.


Ajouts des sites de confiance

Afin de pouvoir vous authentifier sur des sites Internet avec votre certificat logiciel, il est impératif d’ajouter ces sites à la liste des sites de confiances.

La zone Sites de confiance permet de déclarer des noms de sites que vous estimez sûrs.

Pour ce paragraphe, vous devez être connecté au poste de travail avec le compte Windows qui utilisera le certificat logiciel.

Pour cela, ouvrez Internet Explorer et cliquez sur le menu « Outils > Options Internet ».

option internet

Dans la fenêtre qui s’ouvre, cliquez sur l’onglet « Sécurité ». Sélectionnez l’icône « Sites de confiance », puis cliquez sur le bouton « Sites ».

sites

La fenêtre suivante s’ouvre.

Fênetre ouverte

Dans le champ « Ajouter ce site Web à la zone », saisissez l’URL de la PKI suivante :


Puis cliquez sur le bouton « Ajouter ».
Le site apparaît alors dans la liste « Sites Web » comme sur l’écran ci-dessous.

Ajout

Procédez de la même manière pour ajouter les sites suivants :

https://portail.iservices.rte-france.com : il s’agit du portail internet
https://secure.iservices.rte-france.com : il s’agit du portail de connexion VPN SSL

Les 3 sites doivent maintenant apparaître dans la liste « Sites Web ».

Site web

Cliquez sur « Fermer », puis sur « OK ».



Installation des certificats des AC RTE

Téléchargement et installation

RTE Certification Authority

Il s’agit de l’AC historique de taille de clé 2048bits. Elle est nécessaire pour la cohabitation de l’ancienne PKI avec la nouvelle.

Il faut à présent installer le certificat de l’AC historique de RTE dans votre navigateur.

Pour ce faire, veuillez aller à l’adresse suivante :


REMARQUE IMPORTANTE

Il est impératif de respecter la casse (majuscules/minuscules) de l’adresse du site.



La fenêtre de téléchargement s’affiche :

Fênetre de téléchargement

Cliquez sur le bouton « Enregistrer » et sélectionnez un emplacement où enregistrer le fichier « Certification_Autority_RTE_2048.cer » contenant le certificat historique.

Une fois le téléchargement terminé, la fenêtre suivante s’affiche :

Fênetre de fin du téléchargement

Cliquez sur « Ouvrir le dossier » pour vous rendre dans le répertoire où vous avez enregistré le fichier.

Faites un clic-droit sur le fichier « Certification_Autority_RTE_2048.cer » que vous venez de télécharger, et choisissez « Installer le certificat ».

Installation du certificat

L’assistant d’installation du certificat s’affiche :

Assistant d'installation

Cochez la case « Utilisateur actuel » et cliquez sur le bouton « Suivant ».

Assistant d'installation 2

Cochez la case « Placer tous les certificats dans le magasin suivant » et cliquez sur « Parcourir ».

Dans la fenêtre qui s’ouvre, sélectionnez « Autorités de certification racines de confiance » et cliquez sur « OK ».

Magasin de certificat

Une fois le magasin de certificat choisi, vous obtenez cette fenêtre :

Magasin de certificat

Cliquez sur « Suivant ».

Magasin de certificat

Cliquez sur « Terminer ».

Magasin de certificat

Cliquez sur « OK ».


RTE Root Certification Authority

Il s’agit de la nouvelle AC Root de taille de clé 4096 bits. Elle est nécessaire à la validation de la chaine de confiance.
Il faut à présent installer le certificat de l’AC Root de RTE dans votre navigateur.
Pour ce faire, veuillez aller à l’adresse suivante :

REMARQUE IMPORTANTE

Il est impératif de respecter la casse (majuscules/minuscules) de l’adresse du site.


La fenêtre de téléchargement s’affiche :

Fênetre de téléchargement

Cliquez sur le bouton « Enregistrer » et sélectionnez un emplacement où enregistrer le fichier « ACR_RTE_Root_CA_20160303.cer » contenant le certificat Root.

Une fois le téléchargement terminé, la fenêtre suivante s’affiche :

Téléchargement ACR

Cliquez sur « Ouvrir le dossier » pour vous rendre dans le répertoire où vous avez enregistré le fichier.

Faites un clic-droit sur le fichier « ACR_RTE_Root_CA_20160303.cer » que vous venez de télécharger, et choisissez « Installer le certificat ».

Installation du certificat

L’assistant d’installation du certificat s’affiche :

Assistant d'installation

Cochez la case « Utilisateur actuel » et cliquez sur le bouton « Suivant ».

Assistant d'installation 2

Cochez la case « Placer tous les certificats dans le magasin suivant » et cliquez sur « Parcourir ».

Dans la fenêtre qui s’ouvre, sélectionnez « Autorités de certification racines de confiance » et cliquez sur « OK ».

Magasin de certificat

Une fois le magasin de certificat choisi, vous obtenez cette fenêtre :

Magasin de certificat

Cliquez sur « Suivant ».

Magasin de certificat

Cliquez sur « Terminer », et si la fenêtre suivante affiche un avertissement de sécurité alors cliquez sur « Oui » :

Magasin de certificat

Cliquez sur « OK ».


RTE Client Certification Authority

Il s’agit de la nouvelle AC Client de taille de clé 4096 bits. Elle sert à générer les certificats de la nouvelle PKI.
Il faut à présent installer le certificat de l’AC Client de RTE dans votre navigateur.
Pour ce faire, veuillez aller à l’adresse suivante :


REMARQUE IMPORTANTE

Il est impératif de respecter la casse (majuscules/minuscules) de l’adresse du site.


La fenêtre de téléchargement s’affiche :

Certificat

Cliquez sur le bouton « Enregistrer » et sélectionnez un emplacement où enregistrer le fichier « ACF_RTE_Client_CA_20160303.cer » contenant le certificat Root.

Une fois le téléchargement terminé, la fenêtre suivante s’affiche :

Fin du téléchargement

Cliquez sur « Ouvrir le dossier » pour vous rendre dans le répertoire où vous avez enregistré le fichier.

Faites un clic-droit sur le fichier « ACF_RTE_Client_CA_20160303.cer » que vous venez de télécharger, et choisissez « Installer le certificat ».

Installation du certificat

L’assistant d’installation du certificat s’affiche :

Assistant d'installation

Cochez la case « Utilisateur actuel » et cliquez sur le bouton « Suivant ».

Assistant d'installation

Cochez la case « Sélectionner automatiquement le magasin de certification selon le type de certificat » et cliquez sur « Suivant ».

Assistant d'installation

Cliquez sur « Terminer ».

Magasin de certificat

Cliquez sur « OK ».


Visualisation et vérification des certificats des AC RTE

Visualisation des certificats installés

Les certificats, que vous venez d’importer, sont rangés dans le magasin des autorités de certification d’Internet Explorer.

Pour les visualiser, cliquez sur le menu « Outils > Options Internet… ».


certificats

Une fenêtre apparaît. Allez sur l’onglet « Contenu » et cliquez sur le bouton « Certificats… ».

certificats

Dans la fenêtre qui apparaît, allez sur l’onglet « Autorités de certification racine de confiance ».
Vous pouvez voir le certificat de l’AC historique de RTE (ici) et le certificat de l’AC Root de RTE (ici) :

certificats

Sur l’onglet « Autorités de certification intermédiaires » vous pouvez voir le certificat de l’AC Client de RTE (ici) :

certificats

Vérification du certificat RTE Certification Authority

Sélectionnez le certificat « RTE Certification Authority »

1.2.2.2 - 1 - certificats

Cliquez sur le bouton « Affichage », puis sur l’onglet « Détails ».

1.2.2.2 - 2 - certificats

Pour vous assurer de l’authenticité de ce certificat, vérifiez que l’empreinte numérique « SHA1 » lié au certificat « RTE Certification Authority » est identique à celle présentée ci-dessous.

Empreintes numériques du certificat « RTE Certification Authority »

SHA1 39:83:D6:10:A2:C4:D5:60:45:A0:C1:D0:E3:FA:E1:42:45:8A:37:12


Si ce n’est pas le cas, supprimez le certificat et appelez la Hotline RTE (cliquez ici).


Vérification du certificat RTE Root Certification Authority

Sélectionnez le certificat « RTE Root Certification Authority »

1.2.2.3 - 1 - certificats

Cliquez sur le bouton « Affichage », puis sur l’onglet « Détails ».

1.2.2.3 - 2 - certificats

Pour vous assurer de l’authenticité de ce certificat, vérifiez que l’empreinte numérique « SHA1 » lié au certificat « RTE Root Certification Authority » est identique à celle présentée ci-dessous.

Empreintes numériques du certificat « RTE Root Certification Authority »

SHA1 00:64:8c:01:f4:02:9d:dc:6b:4e:1e:37:ae:76:28:75:17:b1:72:ff

Si ce n’est pas le cas, supprimez le certificat et appelez la Hotline RTE (cliquez ici).


Vérification du certificat RTE Client Certification Authority

Dans l’onglet « Autorités de certification intermédiaires », sélectionnez le certificat « RTE Client Certification Authority »

1.2.2.4 - 1 - certificats

Cliquez sur le bouton « Affichage », puis sur l’onglet « Détails ».
1.2.2.4 - 2 - certificats

Pour vous assurer de l’authenticité de ce certificat, vérifiez que l’empreinte numérique « SHA1 » lié au certificat « RTE Client Certification Authority » est identique à celle présentée ci-dessous.

Empreintes numériques du certificat « RTE Client Certification Authority »

SHA1 C8:53:de:36:da:fd:38:37:c3:de:a5:6c:b0:d1:eb:06:28:f6:dc:ed

Si ce n’est pas le cas, supprimez le certificat et appelez la Hotline RTE (cliquez ici).

Installation de votre certificat personnel

Identification sur l’interface de retrait

La demande de certificat logiciel doit avoir été complétée conformément à la procédure de la partie « Demande de certificat logiciel ».
Pour effectuer le retrait vous avez besoin des informations suivantes (voir ici) :

Pour vous simplifier la tâche vous pouvez faire un copier-coller des différentes valeurs en prenant soin de ne pas copier d’espace en début ou en fin.

Pour créer votre certificat et la clé privée associée, connectez-vous sur le site Web de retrait de certificats :

REMARQUE IMPORTANTE»

Il est impératif de respecter la casse (majuscules/minuscules) de l’adresse du site.
1.3.1 - 1
Cliquez sur le bouton « Retrait de votre certificat personnel ».
1.3.1 - 2
Remplissez le champ « Email du certificat » avec la valeur indiquée dans le mail « Accès aux services SI de RTE ».

Cliquez sur « Envoyer ».
1.3.1 - 3
Remplissez les champs : Enfin, cliquez sur « Envoyer ».


Téléchargement de votre certificat

La page suivante s'affiche
1.3.2 - 1
Cliquez sur « Télécharger ».
1.3.2 - 2
Dans la fenêtre qui s’affiche, cliquez sur « Enregistrer ».
1.3.2 - 3
Choisissez un répertoire pour sauvegarder votre certificat, puis cliquez sur « Enregistrer ».

Une fenêtre indique la progression du téléchargement. Une fois le téléchargement terminé, cliquez sur « Ouvrir le dossier ».
1.3.2 - 4
Le dossier contenant votre certificat personnel apparaît.
IMPORTANT

Une fois téléchargé, le fichier PKCS#12 (d’extension « .P12 ») contenant votre certificat et sa clé privée associée, doit être sauvegardé sur un support amovible (e.g. une clé USB, un disque dur externe), que vous mettrez au coffre afin d’en protéger l’accès.

Conservez également le mail « Accès aux services SI de RTE » qui contient son mot de passe.



Installation de votre certificat personnel

Allez dans le répertoire de sauvegarde du fichier téléchargé.

Faites un clic droit sur le fichier « certificate.p12 » et choisissez « Installer PFX ».
1.3.3 - 1
1.3.3 - 2
Cochez la case « Utilisateur actuel » et cliquez sur « Suivant ».
1.3.3 - 3
Le nom du fichier contenant votre certificat est automatiquement renseigné, cliquez sur « Suivant ».

La fenêtre ci-dessous s’affiche :
1.3.3 - 4
Cliquez sur « Suivant ».
1.3.3 - 5
Sélectionnez l’option « Sélectionner automatiquement le magasin de certificats selon le type de certificat », puis cliquez sur « Suivant »
1.3.3 - 6
Enfin, cliquez sur « Terminer ».

Si vous avez coché la case « Activer la protection renforcée des clés privées » préalablement, alors la fenêtre suivante s’affiche :
1.3.3 - 7
Cliquez sur le bouton « Définir le niveau de sécurité ».
1.3.3 - 8
Sélectionnez la case « Haut », puis cliquez sur le bouton « Suivant ».
1.3.3 - 9
Saisissez un nom pour la clé privée à protéger et un mot de passe, puis cliquez sur le bouton « Terminer ».
Attention : ce mot de passe vous sera demandé à chaque utilisation du certificat.
1.3.3 - 10
Cliquez sur le bouton « OK ».

Finalement, la fenêtre suivante s’affiche :
1.3.3 - 11
Cliquez sur le bouton « OK ».

Votre certificat, votre clé privée ont été importés dans Internet Explorer.


Visualisation et vérification de votre certificat logiciel

Quel que soit le navigateur utilisé, le contenu du certificat téléchargé est évidemment le même, seule la présentation des informations à l’écran diffère. Dans le cas du téléchargement par Internet Explorer, ouvrez le magasin de certificats, par le menu « Outils > Options Internet », onglet « Contenu », bouton « Certificats… » :
1.3.4 - 1
Sélectionnez votre certificat, puis cliquez sur « Affichage ».
1.3.4 - 2
1.3.4 - 3
Sa validité est de 3 ans à partir de la date de retrait.

L’onglet « Chemin d’accès de certification » permet de vérifier la validité de votre certificat. L’état « valide » de votre certificat ainsi que la visualisation complète du chemin d’accès de la certification indiquent que votre certificat a été correctement installé ainsi que la chaine de confiance (AC Root + AC Client ou AC historique), et, donc, que toutes les conditions d’utilisation correctes de votre certificat sont réunies.

L’onglet « Détails » vous permet de visualiser le nom complet du porteur et l’adresse mail auxquels sont rattachés le certificat.
1.3.4 - 4
1.3.4 - 5

Utilisation de votre certificat

Authentification et chiffrement

Étapes à suivre : Une fois l’authentification terminée, toutes les données que vous recevez ou envoyez seront chiffrées.


Exemple d'accès à une application web RTE

Saisissez l’URL https://portail.iservices.rte-france.com dans la barre d’adresse d’Internet Explorer puis validez.

Puis, Internet Explorer vous demande de choisir un certificat vous permettant de vous authentifier auprès du site demandé.
1.4.2 - 1
La ligne « Cliquez ici pour afficher les propriétés… » vous permet de visualiser le contenu du certificat sélectionné.

Cliquez sur le bouton « OK » pour accéder à l’application.

La fenêtre ci-dessous vous demande le mot de passe qui protège la clé privée associée à votre certificat si celui-ci a été défini.
1.4.2 - 2
La page d’accueil est alors affichée de façon sécurisée (apparition du cadenas fermé à droite du champ de saisie de l’URL) :
1.4.2 - 3


Opérations complémentaires

Export de votre certificat personnel

Ce paragraphe explique comment sauvegarder son certificat avec sa clé privée et la chaine de confiance RTE. La procédure consiste à générer un fichier au format PKCS#12 (d’extension « .pfx »), protégé par un mot de passe.

Vous ne pouvez exporter votre certificat et sa clé privée que si vous avez coché « Marquer cette clé comme exportable » lors de l'installation de votre certificat personnel (cliquez ici).

Sous Internet Explorer, cliquez sur le menu « Outils > Options Internet… »
1.5.1 - 1
Puis, cliquez sur l’onglet « Contenu », puis sur le bouton « Certificats… ».
1.5.1 - 2
Une autre fenêtre apparaît. Sélectionnez votre certificat, puis cliquez sur « Exporter… ».
1.5.1 - 3
1.5.1 - 4
Cliquez sur le bouton « Suivant ».
1.5.1 - 5
Sélectionnez « Oui, exporter la clé privée », puis cliquez sur le bouton « Suivant ».
1.5.1 - 6
Sélectionnez la case à cocher « Inclure tous les certificats dans le chemin d’accès de certification si possible », puis cliquez sur le bouton « Suivant ».
1.5.1 - 7
Cochez la case « Mot de passe » et saisissez un mot de passe de votre choix pour protéger le fichier PKCS#12, puis cliquez sur « Suivant ».
1.5.1 - 8
Sélectionnez l’emplacement du fichier PKCS#12, puis cliquez sur le bouton « Suivant ».
1.5.1 - 9
Enfin, cliquez sur le bouton « Terminer ».
1.5.1 - 10
cliquez sur « OK ».

Vous venez d’exporter vers un fichier au format standard PKCS#12, protégé par un mot de passe, votre certificat, sa clé privée et la chaine de confiance RTE. Ces éléments ont donc été exportés, mais restent bien sûr présents dans le magasin d’Internet Explorer.


Suppression de votre certificat personnel Ce paragraphe détaille la procédure pour supprimer un certificat et sa clé privée du magasin de certificat d’Internet Explorer.
IMPORTANT

Avant de supprimer votre certificat personnel, assurez-vous d’en posséder une copie. Si ce n’est pas le cas, reportez-vous ici pour exporter votre certificat et sa clé privée sous forme de fichier PKCS#12.
Sous Internet Explorer, allez dans : « Outils > Options Internet ».
1.5.2 - 1
Une fenêtre apparaît. Cliquez sur l’onglet « Contenu », puis sur le bouton « Certificats… » :
1.5.2 - 2
Sélectionnez le certificat à supprimer et cliquez sur « Supprimer ».
1.5.2 - 3
Cliquez sur « Oui ».
1.5.2 - 4
Le certificat est supprimé de la liste des certificats.

Connexion au VPN SSL

Avant-propos

La connexion via VPN SSL est un service permettant l’établissement d’un canal de communication sécurisé au FrontOffice RTE à travers Internet. Ce canal est établi après authentification avec votre certificat auprès d’un site dédié (cliquez ici). Une fois le canal établi, toutes vos communications avec le service RTE demandé seront chiffrées.

L’utilisation du VPN SSL nécessite l’installation d’un outil dédié, installé lors de la première connexion au site. Cette application se nomme Secure Application Manager (SAM).

Le VPN SSL permet l’accès sécurisé à vos boîtes aux lettres hébergées sur le FrontOffice RTE.


Prérequis

Le site secure.iservices.rte-france.com doit être déclaré comme site de confiance (cliquez ici)
IMPORTANT

Avant d’effectuer votre première connexion, vous devez impérativement vérifier que votre poste de travail puisse résoudre l’adresse secure.iservices.rte-france.com (Pour ce faire, cliquez ici).
PSIS (Pulse Secure Installer Service) est un service Windows mis à disposition sur le site client de RTE. Ce service permet, une fois installé, de mettre à jour les futures versions du SAM sans demander l’intervention d’une personne ayant les privilèges administrateur de la machine.

Pour ce faire, télécharger l’exécutable sous le lien :

http://clients.rte-france.com/lang/fr/visiteurs/accueil/portail.jsp
1.6.2 - 1
Et décompresser le fichier compressé :
1.6.2 - 2
Une fois le fichier exécuté, une fenêtre vous demandant l’autorisation de démarrer le service apparaît. Cliquez sur « Oui ».
1.6.2 - 3
Ce dernier sera automatiquement activé à chaque lancement du système d’exploitation.


Première connexion

Ce paragraphe concerne uniquement votre première connexion au VPN SSL avec Internet Explorer.
IMPORTANT

La première connexion doit être faite par un informaticien disposant des droits d’Administrateur de votre poste de travail afin que l’installation de l’application SAM puisse être effectuée.
Avant de poursuivre, il faut désactiver les contrôles ActiveX sur Internet Explorer. Pour ce faire, appuyez sur la touche « Alt » de votre clavier. Une barre de menu apparaît en haut de la fenêtre. Cliquez sur le bouton Outils, et faite en sorte que « Filtrage ActiveX » soit bien désactivé comme sur la capture ci-dessous.
1.6.3 - 1
Lancez votre navigateur et allez sur le site suivant : La fenêtre suivante apparaît :
1.6.3 - 2
Sélectionnez votre certificat, puis cliquez sur le bouton « OK ».

Si nécessaire, cette fenêtre vous demandera le mot de passe qui protège la clé privée associée à votre certificat.
1.6.3 - 3
La navigateur affiche alors un lien pour installer le SAM (si ce dernier n’est pas déjà installé) :
1.6.3 - 4
Si aucune intervention manuelle est effectuée, le pop-up d’installation suivant apparaît :
1.6.3 - 5
Si nécessaire, la fenêtre suivante apparaît :
1.6.3 - 6
Cliquez sur « Oui ».

Le client Pulse s’installe alors et l’installation de l’application SAM débute.
1.6.3 - 7
Patientez durant toute la durée de l’installation.

Si nécessaire, une fenêtre vous demandant d’autoriser le programme à apporter des modifications à votre ordinateur apparaît.
1.6.3 - 8
Cliquez sur « Oui ».

Une fois l’installation terminée, la page ci-après s’affiche :
1.6.3 - 9
Si votre accès à Internet nécessite une authentification auprès d‘un proxy, une fenêtre s’affiche pour vous demander vos identifants de connexion. Saisissez les et validez.

Puis, l’icône 1.6.3 - 10 apparaît dans votre barre des tâches.

Cliquez sur le bouton « Déconnexion » (en haut à droite de la page) pour terminer la session :
1.6.3 - 12



Utilisation du VPN SSL

Etablissement de la connexion

Lancez votre navigateur et allez sur le site suivant : La fenêtre suivante apparaît :
1.6.4.1 - 1
Sélectionnez votre certificat, puis cliquez sur le bouton « OK ».

Si nécessaire, une fenêtre vous demandera le mot de passe qui protège la clé privée associée à votre certificat.

Si nécessaire, la fenêtre ci-après apparaît. Cliquez sur « Oui ».
1.6.4.1 - 2
L’application SAM se lance automatiquement et la page ci-après s’affiche :
1.6.4.1 - 3
Si votre accès à Internet nécessite une authentification auprès d‘un proxy, une fenêtre s’affiche pour vous demander vos identifants de connexion. Saisissez-les et validez.
Puis, l’icône 1.6.4.1 - 4 apparaît dans votre barre des tâches.

Remarques :
1.6.4.1 - 5

Utilisation pour l’accès aux boîtes aux lettres hébergées

Le VPN SSL peut être utilisé pour accéder aux boîtes aux lettres hébergées sur le FrontOffice avec un client de messagerie standard.

L’accès aux boîtes aux lettres hébergées nécessite que la connexion au VPN SSL soit établie (voir ici). La configuration du compte de messagerie dans votre client de messagerie se fait ensuite de manière standard avec les paramètres suivants : Lorsque vos accès au FrontOffice RTE vous sont fournis, vous recevez votre identifiant de connexion (login), votre mot de passe et votre adresse mail.
REMARQUE

Etant donné que les messages sont transférés à travers un canal sécurisé, l’envoi et la réception de mails ne nécessitent pas l’utilisation d’un certificat pour le chiffrement des messages.