Mon système d’exploitation ou mon application me signale des erreurs, et/ou je ne sais pas comment installer correctement le certificat.

SwissSign répertorie les problèmes connus et leurs solutions dans les FAQ et les documentations. Malheureusement, nous ne pouvons pas fournir d’assistance directe à ce sujet. La compétence principale de SwissSign AG est la création de certificats standardisés et fiables. Comme nous ne développons ni applications ni systèmes d’exploitation chez SwissSign, nous préférons nous abstenir de fournir une assistance pour les applications et les systèmes d’exploitation.

Toutefois, l’un de nos partenaires pourra peut-être vous aider avec son application: Partenaires SwissSign

Les certificats Root de SwissSign sont installés dans les navigateurs les plus courants. Mettez à jour votre navigateur avec la dernière version et installez les derniers certificats Root depuis la page de mise à jour de Windows. 

Vous trouverez des informations sur la compatibilité et la diffusion des certificats Root de SwissSign ici: Compatibilité | SwissSign

SwissSign vous permet de générer votre propre paire de clés – clé privée et clé publique – pour toutes les offres. La longueur minimale de la clé doit être de 2048 bits.

Il est également possible que votre serveur web n’envoie pas la chaîne de certificats complète aux clients. Pour résoudre ce problème, utilisez la fonction «SSLCertificateChainFile» dans la configuration d’Apache.

Avec les certificats SwissSign SSL, vous acquérez des licences de serveur illimitées. Contrairement à la plupart des autres certificats SSL, vous pouvez utiliser votre SwissSign SSL de manière illimitée.

Certificats avec clé privée (.p12, PKCS#12)*

*Cette méthode ne peut pas être utilisée pour les certificats SSL! 

Les formats .p12 ou PKCS#12 contiennent un certificat public et la clé privée (protégée par un mot de passe). Les fichiers .p12 ou PKCS#12 sont utilisés, par exemple, pour être installés dans des programmes de messagerie, des systèmes d’exploitation et des serveurs web.

Pour les serveurs web, la chaîne de certificats complète doit être installée. La CA qui délivre le certificat se fie généralement à une CA de niveau supérieur, qui se fie à son tour, par exemple, au certificat Root de SwissSign. Seul le certificat de la CA Root de SwissSign est reconnu par tous les navigateurs. Veuillez donc télécharger les certificats des CA intermédiaires sur la page de téléchargement et les installer également. Cela ne concerne que les personnes qui installent un serveur web et non les utilisateurs finaux.

Certificats sans clé privée

• .cer: codé en DER ou BASE64
• .crt: codé en DER ou BASE64
• .pem: Certificat codé en Base64, entouré des mentions «-----BEGIN CERTIFICATE-----» et «-----END CERTIFICATE-----»
• .p7b (chaîne de certificats): Certificats au format ASCII codé en Base64 (p. ex. pour les systèmes d’exploitation Windows, Java Tomcat)
• .p7c (chaîne de certificats): Structure de données signée PKCS#7 sans contenu de données, comprenant uniquement le(s) certificat(s), y compris la chaîne de certificats complète (p. ex. pour les systèmes d’exploitation Windows, Java Tomcat)
• .pem (chaîne de certificats): Certificat codé en Base64, y compris la chaîne de certificats complète (p. ex. pour Apache et les plateformes similaires)

Le format .pfx est équivalent au format .p12. Téléchargez le format .p12 et renommez l’extension du fichier en .pfx.

Si vous oubliez ou perdez le mot de passe de la clé privée, SwissSign ne peut malheureusement pas vous aider. Il est impossible de récupérer ou de réinitialiser le mot de passe. Il ne vous reste malheureusement pas d’autre choix que de demander un nouveau certificat et de bien conserver votre mot de passe.

• Créez une CSR – une demande de certificat – sur le système Synology, ce qui crée également la paire de clés sur le serveur Synology.

• Une fois le certificat délivré, téléchargez-le sur swisssign.net au format .pem. Tous les autres formats peuvent provoquer des messages d’erreur tels que: «L’encodage du fichier doit être enregistré en UTF-8».

• Téléchargez également le certificat intermédiaire (type G22) depuis la page de téléchargement 

• Vous pouvez maintenant charger sur le serveur Synology les fichiers «clé privée» (générés localement), ainsi que le certificat au format .pem et le certificat intermédiaire au format .perm.

Il existe deux raisons principales à cela:

• Lors de la mise en place d’un cryptage SSL ou également dans les systèmes de messagerie électronique, il a été oublié d’installer un certificat intermédiaire. Voir la FAQ «Mon certificat ne fonctionne pas sur mon système d’exploitation ou mon navigateur, bien que SwissSign le prenne en charge».

• Le client exploite dans son proxy ce que l’on appelle une «inspection SSL». Cette fonctionnalité brise la connexion cryptée et vérifie que la communication ne comporte pas de contenu non autorisé, voire de logiciels malveillants lors du téléchargement. L’inspection SSL fonctionne généralement avec des certificats propres non fiables. Ainsi, non seulement les sites avec des certificats SwissSign sont concernés, mais aussi d’autres sites. Pour y remédier, il suffit de reconfigurer le site en question dans le proxy.

Souvent, ces problèmes ne sont pas dus à des certificats Root manquants ou erronés dans les systèmes d’exploitation ou les navigateurs, mais au fait que l’installation d’un certificat intermédiaire a été oubliée lors de la configuration d’un cryptage SSL ou encore de systèmes de messagerie.

Les certificats sont classés de façon hiérarchique: Le certificat proprement dit se fie à un certificat intermédiaire, qui se fie éventuellement à un autre certificat intermédiaire, etc. Et enfin, les certificats intermédiaires se fient à leur tour aux certificats Root répertoriés dans les navigateurs et les systèmes d’exploitation. Comme les navigateurs et les systèmes d’exploitation ne contiennent que les certificats Racine, la chaîne de confiance est rompue en l’absence de certificats intermédiaires.

Dans l’environnement Windows, ces problèmes sont plus rares, car Microsoft Windows ou les navigateurs Windows tentent de mettre en cache les certificats intermédiaires dès qu’une page a été consultée une fois, p. ex. avec l’installation correcte d’un certificat SwissSign. Cette mise en cache est ensuite automatiquement utilisée si le certificat intermédiaire n’a pas été installé correctement, et l’utilisateur ne se rend alors pas compte de l’«erreur».

Sous Linux, en revanche, ce manque de configuration se remarque immédiatement. Pour y remédier, il suffit de télécharger la chaîne de certificats complète et de l’installer, avec les certificats intermédiaires:

Instructions pour l’ancienne CA (swisssign.net):

• Pour ce faire, ouvrez le lien que vous avez reçu lors de la délivrance du certificat afin de télécharger les certificats. Vous pouvez également rechercher votre certificat sur swisssign.net et cliquer sur le bouton «Télécharger».
• Dans les formats de téléchargement proposés, choisissez le fichier avec l’extension .p7c ou .pem (chaîne de certificats complète). Tous les autres téléchargements – y compris le fichier .p12 – ne contiennent pas les certificats intermédiaires.

Instructions pour la nouvelle CA (ra.swisssign.ch):

• Pour ce faire, ouvrez le lien que vous avez reçu lors de la délivrance du certificat afin de télécharger les certificats. Vous pouvez également rechercher votre certificat sur ra.swisssign.ch, menu «Commandes et certificats».
• Vous avez alors la possibilité de télécharger le certificat:
  • Au format PEM ou base64
  • Directement au format DER
  • En tant que chaîne de certificats (format PKCS#7)

La Certification Authority Authorization (CAA) est une norme internet publiée en 2013 sous la référence RFC 6844.

Les noms de domaine sont répertoriés, à la manière d’un grand annuaire téléphonique, dans un registre de noms répartis dans le monde entier, appelé Domain Name Service ou DNS en abrégé. Une page web avec un nom accrocheur, comme www.swisssign.com est convertie par ce service en une adresse internet, telle que «46.175.9.80», et est ainsi accessible pour différents services internet, par exemple un navigateur. Outre cette conversion, le Domain Name Service permet de fournir diverses informations supplémentaires, telles que le nom et l’adresse du propriétaire d’un site web.

Grâce à la norme CAA, d’autres informations sont désormais enregistrées pour ces domaines: Il est enregistré quelle autorité de certification peut délivrer un certificat pour le domaine mentionné. Si aucun organisme de certification n’est enregistré, n’importe qui peut délivrer un certificat, mais dans le cas contraire, un organisme de certification ne peut pas délivrer de certificat pour le domaine si son nom n’y est pas mentionné.

La CAA est une procédure qui permet au propriétaire du domaine de déterminer quelle CA peut délivrer des certificats pour son domaine.  Pour ce faire, un enregistrement CAA, appelé «CAA record», est enregistré dans le DNS. Depuis septembre 2017, SwissSign vérifie tous les domaines avant de délivrer des certificats pour voir s’ils présentent une restriction dans leur CAA record. Les domaines soumis à une restriction d’accepter des certificats d’organismes de certification autres que SwissSign ne sont pas acceptés dans le certificat. La demande de certificat est alors rejetée. Si aucune restriction n’a été placée ou que le CAA record autorise SwissSign, le certificat est approuvé.

Le configurateur CAA vous aide à trouver le réglage exact pour votre site web.

Voici quelques exemples en fonction de la technologie DNS utilisée:

Autorisation pour SwissSign de délivrer des certificats

Standard BIND Zone File

For BIND ≥9.9.6, PowerDNS ≥4.0.0, NSD ≥4.0.1, Knot DNS ≥2.2.0

example.com.     IN       CAA      0 issue "swisssign.com"

Legacy Zone File (RFC 3597 Syntax)

For BIND <9.9.6, NSD <4.0.1

example.com.     IN       TYPE257  \# 20 0005697373756573776973737369676E2E636F6D

Autorisation pour SwissSign de délivrer des certificats non-Wildcard

Standard BIND Zone File

For BIND ≥9.9.6, PowerDNS ≥4.0.0, NSD ≥4.0.1, Knot DNS ≥2.2.0

example.com.     IN       CAA      0 issue "swisssign.com"

example.com.     IN       CAA      0 issuewild ";"

 Legacy Zone File (RFC 3597 Syntax)

For BIND <9.9.6, NSD <4.0.1

example.com.     IN       TYPE257  \# 20 0005697373756573776973737369676E2E636F6D

example.com.     IN       TYPE257  \# 12 0009697373756577696C643B

Autorisation pour SwissSign de délivrer des certificats Wildcard

Standard BIND Zone File

For BIND ≥9.9.6, PowerDNS ≥4.0.0, NSD ≥4.0.1, Knot DNS ≥2.2.0

example.com.     IN       CAA      0 issue ";"

example.com.     IN       CAA      0 issuewild "swisssign.com"

Legacy Zone File (RFC 3597 Syntax)

For BIND <9.9.6, NSD <4.0.1

example.com.     IN       TYPE257  \# 8 000569737375653B

example.com.     IN       TYPE257  \# 24 0009697373756577696C6473776973737369676E2E636F6D

Malheureusement non, puisque vous n’êtes pas propriétaire du domaine dyndns.ch ou dyndns.org comme indiqué sur www.whois.ch et que DynDNS ne procède pas à des validations de domaine, il sera difficile d’obtenir une confirmation du propriétaire qui soit également vérifiable.

Oui, c’est possible. Pour obtenir un certificat SSL Gold EV, les associations doivent aussi fournir un numéro de registre.

En Suisse, les associations peuvent, à l’instar des entreprises, demander un numéro d’identification d’entreprise (IDE). Celui-ci ne doit pas être confondu avec le numéro de TVA intracommunautaire de l’UE (EU-UID). Les associations dont le chiffre d’affaires annuel est inférieur à CHF 150 000.– sont certes exonérées de la TVA, mais elles peuvent obtenir un numéro d’identification d’entreprise sur demande. Cet IDE doit être inscrit sur le certificat en guise de numéro de registre.

Les associations allemandes sont inscrites au registre des associations en tant qu’associations enregistrées et peuvent utiliser ce numéro.

SwissSign peut consulter les IDE suisses. Pour autant que vous n’ayez pas limité la visibilité de votre IDE, les données de votre association suffisent. Dans le cas contraire, veuillez nous fournir une confirmation IDE. Les associations étrangères sont priées de joindre un extrait de registre à titre de confirmation.

Le numéro d’identification des entreprises (IDE) remplace l’ancien numéro d’entreprise dans le registre du commerce.

L’Office fédéral de la statistique (OFS) attribue à chaque entreprise exerçant une activité économique en Suisse un numéro d’identification d’entreprise (IDE) unique et global. Celui-ci permet aux entreprises de s’identifier avec un seul et même numéro dans tous leurs échanges avec les autorités.

Depuis lors, les certificats SwissSign SSL Gold EV font référence à l’IDE.

Il existe trois types de certificats SSL:

• Domaine unique: Utilisable uniquement pour un site web spécifique. Exemple: mywebsite.com.
• Multidomaine: Utilisable pour plusieurs sites web/domaines. Exemple: mywebsite.com, yourwebsite.com, hiswebsite.ch.
• Wildcard: Utilisable pour tout site web avec un nom de domaine défini. Exemple: db.mywebsite.com, mail.mywebsite.com, sap.mywebsite.com, etc.

Les certificats multidomaines sont souvent appelés UCC/SAN (Unified Communication Certificates/Subject Alternative Name), car ils sont prédestinés à être utilisés avec Exchange dans un environnement Microsoft. Dans le champ SAN du certificat, les certificats multidomaines et Wildcard comportent une entrée qui fait référence aux autres domaines ou à la Wildcard.

Les certificats multidomaines ou Wildcard sont très souvent utilisés en raison de leur prix attractif. Des copies du même certificat SwissSign peuvent être utilisées librement sur différents serveurs. Il est donc possible de sécuriser un environnement d’entreprise complet avec un même certificat Wildcard. Cela dit, les possibilités offertes par un certificat Wildcard sont certes très pratiques, mais peuvent aussi s’avérer risquées dans les grandes structures d’entreprise: Si une clé privée de ce certificat est compromise sur l’un des nombreux serveurs et qu’elle permet à un sitew eb frauduleux de se présenter en ligne avec votre nom de domaine en tant que «man-in-the-middle», cela risque de passer inaperçu et de causer des dommages importants. D’autant plus que ce site frauduleux est alors parfaitement protégé par un certificat de l’entreprise. C’est pourquoi les certificats Wildcard ne peuvent pas non plus être proposés avec la norme EV.

Les certificats multidomaines n’ont pas ce problème.

Mais en raison du grand nombre d’entrées SAN, le risque que le certificat multidomaine doive être remplacé prématurément est accru: Souvent, parmi les domaines, il y en a aussi qui ne vous appartiennent pas et pour lesquels une procuration a dû être établie lors de la délivrance. Si un domaine disparaît, le certificat n’est plus valable et tous les certificats multidomaines utilisés doivent être remplacés.

Comme pour toute décision, les avantages, les dangers et les risques doivent être évalués. Dans les petits environnements aisément maîtrisables ou pour une utilisation dans des environnements Microsoft UCC, il y a certainement de bonnes raisons d’utiliser ces certificats. Pour une utilisation spécifique dans un environnement Microsoft Exchange, veuillez consulter notre FAQ séparée «UCC/SAN – Wildcard ou multidomaine pour Microsoft Exchange»?

Non, cela n’est pas autorisé par la RFC 2818.

Nous vous recommandons donc d’acheter deux certificats SSL Wildcard : un pour *.mydomain.com et un pour *.sub2.mydomain.com. Il n’est pas non plus possible de spécifier différents Alternative Names (SAN) avec les certificats SSL Wildcard de SwissSign.

Die alte CA-Plattform bietet die Möglichkeit, neben der Wildcard-Domain (z.B. «*.swisssign.com») auch die «Base Domain» (z.B. «swisssign.com») aufzunehmen. Die neue CA-Plattform bietet diese Möglichkeit auch, gehen Sie dazu während eines Beantragungs-Vorgangs für ein Wildcard-Zertifikate wie folgt vor:

• Klicken Sie unter dem Absatz «DNS» den Button «+Element hinzufügen»
• Geben Sie im Feld «DNS1*» den Wildcard-Eintrag ein, also z.B. «*.swisssign.com»
• Geben Sie im Feld «DNS2*» den Base-Domain-Eintrag ein, also z.B. «swisssign.com»
• Fahren Sie wie üblich mit dem Ausstellungsprozess fort.

En principe, il est possible d’acheter un certificat e-mail pour un compte d’équipe. Cependant, cela reste un certificat personnel et nécessite la désignation d’un responsable de clé.

Les règles du CP et du CPS s’appliquent ici. Ces règles sont les suivantes:

• Si le certificat a été acheté en tant que certificat Gold, la désignation "pseudo:" doit être utilisée à la place du prénom et du nom (certificat pseudonyme). Exemple: pseudo: Sales Team

• Pour les certificats Silver, qui ne sont validés que par e-mail, n’importe quelle adresse e-mail peut être certifiée, à condition qu’il soit vérifié que cette adresse e-mail existe.

Le cryptage de l’e-mail est effectué à l’aide du certificat du destinataire. Il est donc nécessaire que l’expéditeur obtienne le certificat du destinataire. Cela peut se faire manuellement ou en utilisant une passerelle de messagerie sécurisée (Secure Mail Gateway) qui collecte les certificats des e-mails entrants.

Les e-mails sont cryptés avec la clé publique (Public Key) du destinataire et décryptés avec la clé privée (Private Key) du destinataire. La signature est effectuée avec le certificat.

• Il peut arriver qu’un certificat ou le mot de passe de la clé privée soit perdu. Les e-mails cryptés avec ce certificat ne peuvent alors plus jamais être lus par qui que ce soit.

• Il arrive aussi que des certificats soient renouvelés, mais que l’on oublie d’installer aussi l’ancien certificat qui a expiré. Tous les anciens e-mails conservés ne peuvent alors plus être lus. Accès après l’expiration du certificat

• Un collaborateur quitte l’entreprise ou est absent pendant une période prolongée. Ses e-mails ne peuvent plus être lus par quelqu’un d’autre.

• Un virus ou un cheval de Troie est envoyé avec un e-mail crypté. Aucun programme antivirus n’est en mesure d’analyser un e-mail crypté, le virus ou le cheval de Troie peut donc s’infiltrer en toute impunité. Ainsi, le cryptage peut même présenter un risque de sécurité dans ce cas.

La signature numérique d’un e-mail signé est envoyée en tant que pièce jointe. Cette pièce jointe est automatiquement vérifiée par le programme de messagerie du destinataire. Cependant, la plupart des fournisseurs de webmail, tels que Gmail ou Hotmail, affichent la signature uniquement en tant que pièce jointe avec le nom de fichier smime.p7s, sans procéder à une vérification de la signature.

Le client de messagerie considère que l’émetteur du certificat n’est pas fiable. Cela peut être corrigé en désignant l’émetteur comme étant digne de confiance. En général, les éditeurs de ces programmes se chargent de cette tâche via leurs programmes Rootstore.

En désignant l’émetteur SwissSign comme Root de confiance. Cela signifie que vous répondez par Oui à la question «Souhaitez-vous faire confiance à l’éditeur?». Si vous utilisez un PC d’entreprise, nous vous prions de vous adresser à votre service d’assistance informatique.

Très souvent, nos clients ont besoin d’un certificat pour s’authentifier (se connecter) sur un site web.

Le certificat Pro S/MIME Email ID Gold avec authentification est prévu pour une telle authentification de client TLS-WWW. Il peut également être utilisé pour le cryptage et la signature d’e-mails.

Veuillez suivre les indications données sur la page web suivante: Managed PKI Service | SwissSign

Pour accéder à votre nouvelle MPKI, vous avez besoin d’un identifiant SwissID avec l’autorisation à deux facteurs correspondante.

Veuillez noter que vous devez impérativement utiliser pour cet identifiant l’adresse e-mail que vous avez renseignée dans les documents de commande de votre MPKI.

Vous trouverez sur cette page des instructions étape par étape sur la création de votre SwissID. 

Assurez-vous d’avoir effectué l’onboarding sur le SwissID comme indiqué dans les étapes ici.

Assurez-vous que le SwissID a été enregistré avec la même adresse e-mail que celle renseignée dans les documents contractuels sous la rubrique «Opérateurs RA».

Le cas échéant, votre identification a été transmise à notre back-office pour une vérification manuelle. Vous recevrez un e-mail dès que le processus d’identification aura été effectué avec succès.

Oui, c’est possible. Envoyez-nous le contrat scanné et, si nécessaire, signé, ainsi que les documents de demande complets à l’adresse [email protected]

Vous pouvez également nous envoyer votre commande par courrier postal comme auparavant:

SwissSign AG
Sales & Partner Management
Sägereistrasse 25
8152 Glattbrugg Suisse

SwissSign vous confirmera la réception de votre commande par e-mail.

L’envoi du document «Contrat et commande Managed PKI Services» est considéré comme une commande ferme d’un service payant. La durée du contrat et la période de facturation commencent à courir à la date de la commande.

La période de prestation d’une Managed PKI est toujours d’un an et est reconduite automatiquement pour un an si le contrat n’est pas résilié. En cas de résiliation du contrat, les certificats encore actifs sont retirés (révoqués) à la date de résiliation.

Spécifications des domaines

Les domaines SSL ou e-mail sont spécifiés sans être associés à un type de certificat particulier. Cela signifie que vous pouvez par la suite émettre n’importe quel certificat SSL que vous avez commandé pour tous les domaines SSL mentionnés. De même, les certificats E-Mail ID commandés peuvent être émis pour tous les domaines de messagerie mentionnés.

Autorisation d’accès au domaine

Vous prouvez votre droit d’accès en publiant une Random value (secrète) (dans le DNS), que vous obtenez via l’accès MPKI.

Publication de certificats

SwissSign tient à jour sur directory.swisssign.ch un répertoire général de tous les certificats E-Mail publiés (accessible via le protocole LDAP). Ce répertoire est public et comparable à un annuaire téléphonique. Cela est particulièrement intéressant pour une communication par e-mail cryptée, dans la mesure où votre interlocuteur peut utiliser votre clé publique contenue dans le certificat pour crypter les messages qu’il vous adresse.

Le répertoire public peut être intégré directement dans les programmes de messagerie électronique par la saisie de paramètres, afin d’effectuer le cryptage dans les programmes de messagerie électronique par récupération automatique des certificats.

Si vous ne souhaitez pas que vos certificats figurent dans le répertoire, sélectionnez la case d’option «Je ne souhaite pas que mes certificats soient publiés». Vous pouvez également faire modifier ce paramètre ultérieurement moyennant des frais de CHF 150.– ou € 135.–.

les paramètres LDAP sont les suivants:

• Répertoire: directory.swisssign.ch.
• Base de recherche: ‹o=SwissSign AG,c=CH›.

Certificats SSL DV Silver

Les certificats de niveau DV/Silver sont indiqués comme ayant une validation de domaine. Seule l’adresse e-mail ou du serveur web est inscrite dans le certificat. Ils peuvent également contenir le nom de l’organisation. Le cryptage et la signature sont possibles pour les certificats e-mail, mais pas l’authentification. Les certificats de niveau DV sont inclus dans les produits MPKI DV, OV et EV.

Certificats OV SSL Gold

Les certificats de niveau OV/Gold sont indiqués comme ayant une validation d’organisation ou une validation de personne. Le certificat comporte une entrée d’organisation et, pour les certificats e-mail (S/MIME), une entrée de personne. Les certificats de niveau OV sont inclus dans les produits MPKI OV et EV.

Certificats EV SSL Gold

Vous pouvez également émettre des certificats EV SSL Gold pour votre entreprise dans le cadre de la Managed PKI. Ceux-ci sont validés de manière approfondie par l’organisation. Les certificats de niveau EV sont inclus dans le produit MPKI EV.

Veuillez noter que les certificats avec inscription d’organisation doivent toujours faire l’objet d’une commande/déclaration d’acceptation distincte.

Pour accéder à votre MPKI, votre SwissID doit être élevée à un niveau de confiance supérieur. Pour savoir comment procéder, cliquez sur le lien suivant, qui vous aidera à vérifier votre identité étape par étape :

https://www.swisssign.com/fr/support/dokumentationen/ra-operator-onboarding.html

La création d'un compte SwissID ne prend que quelques minutes. Il est important qu'en tant qu'opérateur MPKI, vous utilisiez toujours l'adresse e-mail qui a été enregistrée dans la commande MPKI dans la section "Opérateurs RA". Ensuite, veuillez suivre les instructions étape par étape sous le lien suivant :

https://www.swisssign.com/fr/support/dokumentationen/ra-operator-onboarding.html

Si vous ne pouvez soudainement plus vous connecter à votre MPKI en tant qu'opérateur MPKI, cela peut être lié au fait que la dernière vérification de votre identité a eu lieu il y a plus d'un an et qu'une ré-identification est donc nécessaire. Veuillez noter que vous n'avez pas besoin de créer un nouveau compte SwissID et que vous pouvez commencer à vous identifier directement sur l'application SwissID. Commencez directement au chapitre 2 des instructions étape par étape en cliquant sur le lien suivant :

https://www.swisssign.com/fr/support/dokumentationen/ra-operator-onboarding.html

Les délais indiqués s’appliquent à partir de la réception des documents de demande et ne peuvent être respectés que si tous les documents ont été entièrement et correctement établis.

Délai de délivrance pour les certificats SSL

• DV SSL Silver (domaine unique et Wildcard): quelques minutes
• OV SSL Gold (domaine unique, multidomaine et Wildcard): jusqu’à 2 jours ouvrables
• EV SSL Gold EV (domaine unique et multidomaine): 5 à 10 jours ouvrables

Délai de délivrance pour les certificats S/MIME Email ID

• Personal S/MIME E-Mail ID Silver: quelques minutes

Si vous souhaitez à l’avenir obtenir vos certificats plus rapidement en cas de besoin, nous vous recommandons nos services MPKI.
 

Après avoir acheté vos certificats dans la boutique en ligne swisssign.com, veuillez suivre la procédure suivante pour les obtenir:

• Connectez-vous à votre compte utilisateur.

• Cliquez sur «Certificats» et lancez l’activation du certificat souhaité en cliquant sur «Émettre» après l'entrée correspondante.

• Vous accédez maintenant à la demande technique de votre certificat. Suivez à cet effet les instructions du processus de demande.

• Une fois votre demande vérifiée et acceptée, vous recevrez un e-mail contenant le lien pour télécharger votre certificat.

1. Connectez-vous à votre compte utilisateur de la boutique en ligne sur swisssign.com.

2. Dans l’onglet «Certificats», ouvrez l’entrée souhaitée.

3. Les codes s’affichent. Cliquez sur «Partager» pour copier le lien correspondant.

4. Partagez le lien avec l’autre personne.

5. L’autre personne peut maintenant utiliser ce lien pour procéder directement à la demande technique du certificat. Elle n’a pas besoin d’un compte sur la boutique pour cela.

Vous pouvez saisir les anciens codes de licence sur la page web d’enrôlement: portal.shop.swisssign.com/enrollment

Les standards de sécurité élevés appliqués dans le commerce de certificats exigent que vous obteniez à nouveau les signatures des personnes autorisées en cas de nouvelle demande de certificat et que vous nous les fassiez parvenir avec les copies correspondantes des cartes d’identité/passeports.

Pour simplifier le processus en cas d’achat multiple de certificats, vous pouvez demander aux responsables de votre organisation de vous donner procuration: Formulaire de procuration (PDF, 106 KB). Veuillez mentionner cette procuration lors de chaque commande ou en joindre une copie.

Vous avez régulièrement besoin de certificats? Dans ce cas, notre service de certificats Managed PKI vous permet de bénéficier de rabais sur le volume intéressants.

Veuillez contacter notre service clientèle.

1. Connectez-vous à swisssign.com.

2. Recherchez la demande correspondante dans votre compte.

3. Réimprimez le formulaire.

Pour révoquer votre certificat de notre boutique en ligne, vous avez besoin du lien de révocation figurant dans l’e-mail de délivrance correspondant.

Le service d’horodatage (Time Stamping Service, TSA) est le service d’une CA qui délivre une attestation, munie de la date, de l’heure et d’une signature de la CA, indiquant que certaines données numériques ont existé à un moment donné. Le service d’horodatage SwissSign est conforme à la législation suisse (SCSE).

Les horodatages numériques servent principalement à l’archivage de documents ou à l’identification de documents commerciaux tels que des contrats. En outre, la législation suisse stipule qu’une signature qualifiée n’est équivalente à une signature manuscrite que si elle est accompagnée d’un horodatage «qualifié». Les horodatages SwissSign peuvent être utilisés pour des solutions de workflow et d’archivage. Bien que chaque signature électronique contienne déjà une indication de temps (heure locale du système), il peut s’avérer utile d’associer une heure certifiée par un tiers aux données et aux documents. Il est ainsi possible de prouver à tout moment, de manière simple et transparente, que l’enregistrement correspondant a existé à un moment donné et qu’il n’a pas été modifié depuis le moment exact où il a été horodaté (intégrité).

Utilisation: par exemple, pour des solutions visant à mettre en œuvre des exigences légales comme l’Olico, des règles de conformité comme SOX et Bâle II ou encore des chartes de qualité spécifiques à un secteur comme des BPF.

D’un point de vue technique, l’horodatage est une signature du fournisseur qui contient une indication temporelle fiable. La génération de cet horodatage est effectuée par la Time Stamping Authority (TSA) conformément à la norme RFC 3161. Le protocole RFC 3161 définit que la demande contient la valeur de hachage et que celle-ci est ensuite signée par la TSA. Cela garantit que le service TSA n’a pas connaissance du contenu des documents horodatés.

Pour en savoir plus, cliquez ici.

Ceci est dû à l’adaptation du service d’horodatage aux nouvelles exigences de sécurité et à l’augmentation de quelques octets de la taille de la réponse au programme Adobe. Dans sa configuration normale, Adobe n’est pas préparé à cela. Adobe conseille donc d’augmenter l’iSize dans le registre.

Le correctif suivant pour Adobe Reader DC sert d’exemple. À cette fin, enregistrez le texte suivant en tant que fichier «fix_adobe.reg» et double-cliquez pour effectuer la modification dans le registre. Il est recommandé de sauvegarder le registre au préalable. N’oubliez pas que le fichier de registre est toujours spécifique à la version d’Adobe et que le texte doit donc être modifié le cas échéant. Par exemple, la partie en bas qui est désignée ci-dessous par "Adobe Reader" peut aussi être "Adobe Acrobat".

Pour Adobe Acrobat:

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Adobe\Acrobat Reader\DC\Security\cASPKI\cAdobe_TSPProvider]

"iSize"=dword:00002800

 

Pour Adobe Acrobat Pro:

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Adobe\Adobe Acrobat\DC\Security\cASPKI\cAdobe_TSPProvider]

"iSize"=dword:00002800