Cette page explique comment vous pouvez utiliser un certificat (certificat software ou carte d'identité électronique) pour signer numériquement un document avec votre navigateur.

Cette page comporte les sections suivantes :

  1. Exigences techniques
  2. Obtention d'un certificat numérique
  3. Configuration pour Internet Explorer
  4. Configuration pour les navigateurs Mozilla
  5. Problèmes courants

1. Exigences techniques

La signature numérique de documents et l'authentification par certificat demandent un navigateur récent ainsi que des libraries de chiffrement de données. Plus précisément, les composants indispensables pour effectuer une signature numérique sont les suivants :

Isabel Office Sign ne supporte pas le navigateur Firefox. Il n'est donc pas possible d'effectuer une signature électronique avec votre certificat Isabel avec Firefox. Veuillez utiliser Internet Explorer.

2. Obtention d'un certificat numérique

La signature d'un document et l'authentification par certificat demandent l'usage d'un certificat numérique. Un tel certificat est inclu dans votre carte d'identité belge. Vous pouvez aussi utiliser un certificat software, mais celui-ci doit avoir été délivré par une des autorités de certification suivantes :

  1. Certipost
  2. GlobalSign
  3. Isabel

Pour des instructions détaillées sur la manière d'obtenir un certificat, veuillez consulter le site de ces institutions.

Seuls les certificats de classe 3 (y compris la carte d'identité électronique) sont acceptés.

Si vous voulez utiliser votre carte d'identité électronique, veuillez d'abord vous assurer que les logiciels nécessaires sont correctement installés et configurés sur votre machine (système d'exploitation adéquat, lecteur de carte et middleware eID installés, navigateur correctement configuré). Des instructions pour l'installation, la configuration et l'usage de votre carte d'identité électronique sont disponibles sur les sites suivants :

3. Configuration pour Internet Explorer

Pour éviter tout problème, nous recommandons fortement l'insertion du site du SPF Finances dans la liste des sites de confiance :

  1. Allez dans le menu "Tools > Internet Options...", onglet "Security"
  2. Cliquez sur "Trusted Sites", bouton "Sites..."
  3. Entrez dans la boîte de texte "*.minfin.fgov.be", et cliquez sur "Add" pour ajouter le site à la liste des sites de confiance. Voir capture d'écran ci-dessous.
  4. Cliquez sur "OK", et ensuite sur "Ok".
Add *.minfin.fgov.be to the list of Trusted Sites

Si vous faites ceci, vous pouvez passer directement à la section 3.2.

3.1. Installation de la librairie CAPICOM

Cette librairie est notamment utilisée pour signer numériquement des données, vérifier des signatures numériques et chiffrer/déchiffrer des données. Si cette librarie n'est pas présente sur votre ordinateur, celle-ci est automatiquement installée (sous forme d'un plugin ActiveX), lorsque c'est possible. L'installation dépend du niveau de sécurité configuré pour votre Internet Explorer :

Niveau de sécurité faible, ou site minfin.fgov.be appartenant aux sites de confiance

Avec cette configuration, la librairie CAPICOM est automatiquement installée. Vous pouvez passer à la section 3.2. Des instructions pour ajouter le site du SPF Finances à la liste des sites de confiance sont données ici.

Niveau de sécurité moyen, site minfin.fgov.be n'appartenant pas aux sites de confiance

Avec cette configuration, Internet Explorer vous demande d'abord si les contrôles ActiveX peuvent être activés. Cliquez sur la barre située en haut de l'écran, et cliquez sur "Install ActiveX Control...".

Cliquez sur "Install ActiveX Control..."

Internet Explorer vous demande ensuite l'autorisation d'installer la librarie CAPICOM. Vous pouvez installer ce composant. Cliquez sur "Install".

Cliquez sur "Install"

Niveau de sécurité élevé, ou installation manuelle de CAPICOM

Si vous devez installer manuellement la librarie CAPICOM, une version pour Internet Explorer 6.0 SP1 et supérieur peut être téléchargée et installée manuellement depuis le site web de Microsoft.

Une copie de la librarie CAPICOM est aussi disponible ici. Vous pouvez télécharger ce fichier, le décompresser et copier le fichier capicom.dll dans le répertoire système de votre Windows (d'habitude le répertoire C:\Windows\System32). Redémarrez ensuite votre navigateur.

3.2. Installation d'un certificat numérique dans Internet Explorer

Le certificat numérique doit être enregistré dans votre navigateur. Si vous utilisez une carte d'identité électronique et que vous avez installé correctement le middleware eID, vos certificats sont enregistrés automatiquement la première fois que vous insérez votre carte dans le lecteur. Dans le cas d'un certificat software (Certipost, GlobalSign ou Isabel), l'institution émettrice donne généralement des instructions et/ou des outils pour enregistrer le certificat. Si le certificat est seulement fourni sous la forme d'un fichier, veuillez suivre les instructions suivantes pour enregistrer ce certificat dans Internet Explorer :

  1. "Menu Tools" > "Internet Options..."
  2. Cliquez sur l'onglet "Content", ensuite sur le bouton "Certificates...". Une liste apparaît avec tous vos certificats installés.
  3. Cliquez sur "Import...". Ceci ouvre un assitant. Cliquez sur "Next".
  4. Sur la boîte de dialogue qui apparaît, entrez le chemin complet vers le fichier certificat, puis cliquez sur "Next".
  5. Entrez le mot de passe que vous avez reçu de l'instution émettrice. Vous pouvez également indiquer ici que la clé privée peut être exportée, afin de pouvoir installer ce certificat sur d'autres machines. Cliquez sur "Next".
  6. Sélectionnez "Automatically select the certificate store..." et cliquez sur "Next".
  7. Vous recevez ensuite un message indiquant si l'importation a réussi ou non. Cliquez sur "Finish".
  8. Le nouveau certificat importé devrait maintenant apparaître dans l'onglet "Personal" de la boîte de dialogue "Certificates". Vous pouvez vérifier la validité du certificat en double-cliquant sur celui-ci. Vous devriez voir la mention "You have a private key that corresponds to this certificate".

3.3. Configuration d'Internet Explorer

Certaines options doivent être activées pour vous permettre d'effectuer une signature numérique :

  1. Allez dans le menu "Tools" > "Internet Options...".
  2. Cliquez sur l'onglet "Security", "Custom Level".
  3. Vérifier que "Microsoft VM > Disable Java" n'est PAS coché.
  4. Vérifier que "Scripting > Active scripting" est Enabled.
  5. Vérifier que "Scripting > Scripting of Java applets" est Enabled.
  6. Vérifier que "ActiveX controls and plug-ins > Download signed ActiveX controls" est Prompt ou Enabled.
  7. Vérifier que "ActiveX controls and plug-ins > Run ActiveX controls and plug-ins" est Enable.
  8. Vérifier que "ActiveX controls and plug-ins > Script ActiveX controls marked safe for scripting" est Enable.
  9. Cliquez sur "OK", puis sur "Apply".

4. Configuration pour les navigateurs Mozilla

Pour les navigateurs Mozilla (Firefox, Mozilla, Netscape,...), la librairie JSS (Mozilla Network Security Services for Java) est nécessaire. Cette librarie permet aux navigateurs Mozilla d'effectuer des opérations cryptographiques. Elle doit être installée manuellement.

Isabel Office Sign ne supporte pas le navigateur Firefox. Il n'est donc pas possible d'effectuer une signature électronique avec votre certificat Isabel avec Firefox. Veuillez utiliser Internet Explorer.

4.1. Installation de Java Runtime Environment

Des instructions pour l'installation de Java pour Mozilla Firefox sont disponibles ici.

4.2. Installation de JSS pour Windows

La librarie JSS peut être téléchargée gratuitement depuis http://www.mozilla.org/projects/security/pki/jss/using_jss.html. Pour votre facilité, une archive adaptée aux plateformes Windows est disponible ici here. Cette archive contient les fichiers suivants :

Ces fichiers peuvent aussi être téléchargés depuis http://www.mozilla.org/projects/security/pki/jss/using_jss.html. Il sont distribués sous la license "Mozilla Firefox End-User Software License Agreement", qui est décrite ici.

Pour installer JSS :

  1. Décompresser l'archive
  2. Copier les fichiers dll (jss3.dll, libnspr4.dll, libplc4.dll and libplds4.dll) dans le répertoire d'installation de Mozilla (par exemple C:\Program Files\Mozilla Firefox\). Pour les navigateurs Netscape, vous pouvez sans crainte écraser les fichiers .dll existants.
  3. Copier le fichier .jar (jss33.jar) dans le répertoire lib\ext\ de tous les Java Runtime Environments installés. Ceux-ci sont typiquement situés dans le répertoire C:\Program Files\Java\. Par exemple, vous pouvez copier jss33.jar dans les répertoires C:\Program Files\Java\jre1.5.0_06\lib\ext\ et C:\Program Files\Java\jdk1.4.2_07\jre\lib\ext\. L'endroit précis peut varier selon votre configuration.
  4. Redémarrer votre navigateur Mozilla.

Une FAQ sur JSS est disponible ici.

4.3. Installation de JSS pour Linux

Pour votre facilité, une archive adaptée aux plateformes Linux peut être téléchargée ici. Cette archive contient les fichiers suivants :

Pour installer JSS :

  1. Décompresser l'archive avec unzip.
  2. Copier libjss3.so dans le répertoire d'installatgion de Mozilla (par exemple ~/firefox ou /usr/lib/mozilla-firefox).
  3. Copier le fichier .jar (jss33.jar) dans le répertoire lib\ext\ de tous vos Java Runtime Environments installés.
  4. Redémarrez votre navigateur Mozilla.

4.4. Installation d'un certificat numérique dans Mozilla Firefox

Lorsque le certificat est fourni sous forme de fichier, les étapes suivantes sont nécessaires pour l'enregistrer dans votre navigateur Mozilla Firefox. Le certificat doit être en format PKCS12. S'il ne l'est pas (l'installation échoue), le certificat peut être importé puis exporté vers ce format PKCS12 en utilisant Internet Explorer, ou en utilisant openssl.

  1. Allez dans le menu "Tools > Options... > Advanced" (ou "Edit > Preferences > Advanced" dans les anciennes versions).
  2. Cliquez sur l'onglet "Security", "Show certificates", et ensuite sur "Import".
  3. Sélectionnez le fichier contenant votre certificat, and cliquez sur "Open".
  4. Selon votre configuration, le navigateur vous demandera d'entrer le mot de passe protégeant l'accès à vos certificats.
  5. Ensuite, entrez le mot de passe que vous avez reçu de l'institution émettrice de votre certificat, et cliquez sur OK.
  6. Votre certificat devrait maintenant apparaître dans l'onglet "Your certificates".

4.5. Configuration de Mozilla Firefox

Certaines options doivent être activées pour vous permettre de faire une signature numérique :

  1. Allez dans le menu "Tools > Options... > Web Features" (ou "Edit > Preferences > Web Features" dans les anciennes versions).
  2. Vérifier que les options "Enable Javascript" et "Enable Java" sont cochées.
  3. Vérifier également que votre navigateur ne bloque pas les les fenêtres popup venant du site du SPF Finances.

4.6. Activer le middleware Belgium eID middleware dans Mozilla Firefox

La première fois qu'il est utilisé, le module "Belgium Identity Card PKCS#11" doit être enregistré dans Mozilla, Netscape ou Firefox. Ce module peut être enregistré automatiquement en ouvrant une page HTML particulière, située sur votre disque dur, généralement à l'endroit suivant (sous Windows) : file://C:/Program Files/Belgium Identity Card/beid-pkcs11-register.html (L'emplacement exact de ce fichier peut varier selon votre plateforme et selon vos options d'installation.)

5. Problèmes courants

Erreur 101 : Aucune donnée à signer.

Il n'y a pas de données pouvant être signée. Ce problème apparaît généralement lorsque vous utilisez le bouton "back" du navigateur, en combinaison ou non avec une erreur survenant dans l'application. Dans une telle situation, il arrive que l'application "perde" le document ou les données qui doivent être signées. Ce problème se résoud normalement en évitant d'utiliser le bouton "back", en retournant à l'écran précédant, et en recommençant le processus de signature.

Erreur 201 : Erreur interne. L'applet n'est pas chargée correctement. (Mozilla uniquement)

L'applet Java qui gère la signature électronique n'est pas bien chargée. Vérifiez que Java est bien correctement installé sur votre machine, et que votre navigateur dispose bien du plugin nécessaire pour les applets Java. Il peut parfois être nécessaire d'effacer le cache de votre navigateur (Tools > Clear Private Data...) et de Java (ouvrez le panneau de controle Java, onglet General > Delete files... > Ok). Ensuite, redémarrez le navigateur. Si cela ne suffit pas, contactez le service desk.

Erreur 202 : L'applet n'est pas chargée correctement. Java est désactivé ou indisponible, ou une mauvaise applet a été chargée. (Mozilla uniquement)

Voir Erreur 201

Erreur 203 : Erreur lors du chargement de l'applet. (Mozilla uniquement)

Voir Erreur 201

Erreur 204 : Attention: version JRE non supportée. (Mozilla uniquement)

Veuillez mettre à jour votre Java Runtime Environment. La version minimum est la verison >= 1.4.2 (version recommandée : 1.5). Celui-ci peut être téléchargé sur le site java.sun.com.

Erreur 306 : Aucun certificat sélectionné, ou aucun certificat disponible. (Mozilla uniquement)

Ce message peut apparaître dans Mozilla si votre browser est incapable de vérifier en ligne la validité d'un certificat. Il est possible de contourner le problème en désactivant la vérification en ligne des certificats :

  1. Allez dans le in menu "Tools > Options... > Advanced" (ou "Edit > Preferences > Advanced" dans les anciennes versions).
  2. Cliquez sur l'onglet "Security", ensuite sur "Verification".
  3. Désactivez la vérification OCSP, et cliquez sur OK.

Erreur 406 : Impossible de signer. La librairie JSS n'est pas correctement installée. Veuillez l'installer avant de signer. (Mozilla uniquement)

Une librairie JSS native (.dll ou .so) manque dans la racine du répertoire d'installation de Mozilla/Firefox. Voir Erreur 420

Erreur 420 : La librairie JSS n'est pas correctement installée. (Mozilla uniquement)

Aucune librarie JSS n'a pu être trouvée. Cette librairie JSS est nécessaire pour créer une signature dans les navigateurs Mozilla/Firefox. Elle doit être manuellement installée. Les instructions d'installation sont données ici. Après l'installation, vous devez redémarrer le navigateur.

Erreur 421 : La librairie JSS n'est pas correctement installée. Veuillez l'installer avant de signer. (Mozilla uniquement)

Voir Erreur 420

Erreur 501 : La librairie CAPICOM n'est pas correctement installée. (IE uniquement)

La librarie CAPICOM n'a pas été trouvée. Vérifiez qu'un fichier nommé capicom.dll est présent dans le répertoire système de Windows (typiquement C:\Windows\System32\ ou C:\Winnt\System32). Cette librarie est automatiquement installée, à condition que en ayez autorisé l'installation, voir section 3.1.

Pour activer l'installation automatique, vous pouvez insérer le site du SPF Finances dans la liste des sites de confiance :

  1. Allez dans le menu "Tools > Internet Options...", onglet "Security"
  2. Cliquez sur "Trusted Sites", bouton "Sites..."
  3. Entrez dans la boîte de texte "*.minfin.fgov.be", et cliquez sur "Add" pour ajouter le site à la liste des sites de confiance. Voir capture d'écran ci-dessous.
  4. Cliquez sur "OK", et ensuite sur "Ok".
Add *.minfin.fgov.be to the list of Trusted Sites

Erreur 502 : Aucun certificat trouvé. (IE uniquement)

Vous n'avez aucun certificat installé dans votre navigateur, ou aucun certificat n'est adéquat pour signer un document. Vérifiez que vous avez bien importé votre certificat numérique dans le navigateur. Voir http://readers.eid.belgium.be/ pour plus d'informations sur la manière d'importer un certificat dans Internet Explorer.

Erreur 503 : Problème d'accès aux clés du certificat sélectionné. La permission a probablement été refusée. (IE uniquement)

Il s'agit d'un problème de permission d'accès. L'utilisateur actuel n'a pas les permissions nécessaires pour accéder aux clés de vos certificats. Ces clés sont maintenues dans des "conteneurs de clés", auxquels vous devez avoir accès. Les étapes nécessaires pour résoudre ce problème dépendent de la version de Windows que vous utilisez :

Windows NT :

Les permissions du conteneur de clés sont définies dans la base de registre. Pour changer ces permissions, ouvrez regedt32 (pas regedit!), ouvrez la branche HKEY_LOCAL_MACHINE et allez sur la clé HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\MachineKeys\<container name>. Sélectionnez Security/Permissions à partir du menu et vérifiez que tout le monde (Everyone) a un accès complet (Full Control) sur cette clé.

Windows 2000 and Windows XP :

Dans Windows Explorer, localisez le répertoire C:\Documents and settings\<username>\Application Data\Microsoft\Crypto\RSA\. Changez les droits d'accès sur ce répertoire et sur tous les fichiers qu'il contient en suivant les étapes ci-dessous :

  1. Clic droit sur le répertoire C:\Documents and settings\<username>\Application Data\Microsoft\Crypto\RSA\.
  2. Allez sur "Propertie"s
  3. Cliquez sur l'onglet "Security".
  4. Vérifiez que Vous, Administrator et System avez un accès complet ("full control") sur ce répertoire (vérifiez que toutes les cases "Allow" sont cochées).
  5. Cliquez "Advanced".
  6. Cochez les deux cases ("Inherit..." et "Replace...") sur le bas pour activer la propagation de ces droits d'accès à tous les sous-répertoires et fichiers.
  7. Cliquez sur Apply, ensuite Yes, et OK.
  8. Cliquez sur OK.

Vous devrez peut-être reproduire ces étapes pour le répertoire C:\Documents and settings\All Users\Application Data\Microsoft\Crypto\RSA\.

Note : ces fichiers sont des fichiers cachés. Afin de voir ces fichiers cachés, vous devez activer l'option "Display hidden files and folders" dans Windows, en suivant les étapes ci-dessous :

  1. Cliquez sur "Start", allez dans "Settings", et cliquez sur "Control Panel".
  2. Si vous êtes dans "Category View" : cliquez sur "Appearance and Themes"
  3. Cliquez sur "Folder Options".
  4. Sur l'onglet "View", en-dessous de "Hidden files and folders", cliquez sur "Show hidden files and folders".

Erreur 504 : Echec de l'accès aux clés du certificat sélectionné. La permission a probablement été refusée. (IE uniquement)

Voir Erreur 503.

Erreur 505 : Echec de l'accès aux clés du certificat sélectionné. Conflit probable entre vos certificats. (IE uniquement)

Il existe deux causes possibles : soit vous utilisez une ancienne version du middleware eID, ou bien il existe un conflit entre certains de vos certificats.

Vérifiez d'abord la version du middleware Belgium eID Run-time. Vous pouvez lancer le programme utilitaire situé typiquement ici : "C:\Program Files\Belgium Identity Card\beidgui.exe". Le numéro de version est indiqué dans l'onglet "info", il devrait être 2.5.9 (ou plus récent). Veuillez mettre à jour ce middleware et utiliser la dernière version disponible. Il peut être téléchargé à l'adresse http://eid.belgium.be.

Si cela ne résoud pas le problème, alors celui-ci réside probablement dans un conflit entre les certificats enregistrés par le middleware eID. Ce problème peut être résolu en supprimant manuellement les certificats.

Pour supprimer un certificat sur Windows 2000 et Windows XP:

  1. Dans le menu Démarrer de Windows, cliquez sur Exécuter (Start > Run).
  2. Tapez mmc et appuyez sur ENTREE (ENTER).
  3. Dans la barre de menu, cliquez sur Fichier, sélectionnez Ajouter/Supprimer un composant logiciel enfichable...
  4. Cliquez Ajouter...
  5. Double-cliquez sur Certificats.
  6. Sélectionnez Mon compte d'utilisateur.
  7. Cliquez sur Terminer.
  8. Cliquez sur Fermer et après sur OK.
  9. Double-cliquez sur Certificats - utilisateur actuel.
  10. Double-cliquez sur Personnel et après sur Certificats.
  11. Cliquez sur le certificat à supprimer.
  12. Appuyez sur SUPPRIMER et cliquez Oui.
  13. Fermez la fenêtre Console1.

Si vous utiliser une carte eID, vos certificats eID seront réenregistrés automatiquement la prochaine fois que vous allez insérer votre carte d'identité électronique dans le lecteur. Si vous avez un certificat software, vous devrez le réenregistrer dans le navigateur.

Erreur 506 : Echec de la création de la signature. La carte eID n'est pas présente ou n'est pas insérée correctement. (IE uniquement)

Internet Explorer est incapable d'accéder au certificat car la carte n'est pas présente ou n'est pas détectée. Cette erreur apparaît par exemple lorsque vous voulez effectuer une signature mais que vous avez enlevé la carte eID après l'authentification.

Erreur 507 : Echec de la création de la signature. La carte eID n'est pas présente ou n'est pas insérée correctement. (IE uniquement)

Internet Explorer est incapable d'accéder au certificat car la carte n'est pas présente ou n'est pas détectée. Cette erreur apparaît par exemple lorque la carte eID est éjectée juste avant la validation du code PIN.

Erreur 508 : Echec de la création de la signature. Le navigateur ne retrouve pas les certificats. Vous devriez le redémarrer. (IE uniquement)

Internet Explorer semble confus et ne peut accéder à vos certificats. Cette erreur peut apparaître après d'autres erreurs comme celles décrites ci-dessus. Un rédemarrage de Internet Explorer suffit généralement.

Error 509 : Certificat non trouvé. Le navigateur ne trouve pas le certificat sélectionné. (IE uniquement)

Cette erreur apparaît lorsque Internet Explorer ne trouve pas le certificat sélectionné. Cette erreur apparaît en général avec les certificats Isabel. Cette erreur provient d'une mise à jour incorrecte par Isabel Office Sign des certificats Isabel. Une solution à ce problème est documentée sur le site de support en ligne d'Isabel (www.isabel.be), section "Isabel Web Support", sous le numéro d'identification 48700 (effectuez une recherche avec cet identifiant). Si ceci ne résoud pas le problème, contactez le support Isabel.

Erreur 510 : An error occurred during the signature process. (IE uniquement)

La librairie CAPICOM n'a pas pu créer la signature numérique, pour une raison indéterminée. Une ou plusieurs des actions ci-dessous peut aider à résoudre ce problème :