CERTIFICATS

Suivant ma modalité de connexion, je n’ai pas les mêmes pré requis.

Le tableau ci-dessous précise le type de certificat attendu en fonction de votre mode de raccordement à Chorus PRO

Vous cherchez à acquérir le ou les certificats indiqués dans le tableau précédent.

Vous devez contacter un fournisseur présent dans la liste TSL Europe.

Vous trouverez la liste des AC françaises en cliquant ici.

A titre de complément d'information, il s'agit de certificats d'authentification (QWAC = Qualified certificate for Website Authentification).

Après avoir choisi votre fournisseur, vous pouvez contacter ce dernier pour lui expliquer que vous voudriez commander un certificat authentification serveur ou authentification serveur de type client suivant votre cas, de figure conforme RGS* à minima. Il est possible que vous deviez acquérir les deux (EDI PesIT) en ligne.

Rappel :
– Certificat d’authentification serveur = SSL Serveur
– Certificat d’authentification serveur de type client = SSL Client

Pour le nommage d’un certificat SSL Serveur ou SSL Client applicatif, veuillez vous conférer à l’annexe A3 du RGS V2 chapitre III.1 : Nommage

Le certificat doit nous parvenir au format pkcs7 avec toute la chaîne de certification.

Vous avez la possibilité de demander un certificat de tests gratuits à une autorité de certification pour votre environnement de tests. Après validation des tests, vous commandez un certificat pour votre environnement de Production.

Vous devez vérifier la conformité du (des) certificat(s) par rapport aux besoins de la plateforme de qualification de CPP par rapport à votre mode de connexion.

Dans l’onglet détail du certificat :

L’utilisation avancée de la clé ( Extended key usage ) indique le rôle du certificat. Il doit contenir Authentification SERVEUR ou Authentification CLIENT.
C’est un OU exclusif.

L’utilisation de la clé (Key usage) doit indiquer
– Pour un certificat serveur = Signature numérique, chiffrement de la clé
– Pour un certificat client = Signature numérique

Stratégie de certificat . Ce champ indique la référence du certificat.
– Il faut vérifier que cette référence est bien présente dans la liste LSTI
– Le certificat doit être listé de niveau RGS* a minima
– Le certificat doit nous parvenir au format pkcs7 avec toute la chaîne de certification

Si tous les éléments listés ci-dessus sont confirmés, le certificat est valide

Quel que soit le protocole choisi, vous devrez fournir des certificats d'authentification serveur. Attention, il existe deux types de certificats d'authentification: serveur et personnes. N'utilisez pas de certificats d'authentification de personnes, car ils ne seront pas acceptés.

Si vous souhaitez échanger des flux signés, vous devrez fournir un certificat supplémentaire dédié à la signature.

6.1 Attributs des certificats

Les certificats contiennent des attributs qui déterminent leur mode d'utilisation. Pour Chorus Pro, deux attributs sont essentiels:

• utilisation avancée de la clé (Extended KeyUsage)
• Utilisation de la clé (KeyUsage)

Vous trouverez dans les paragraphes suivants la valeur exacte des attributs des certificats.

Vocabulaire Extended KeyUsage

Concernant les valeurs de l'attribut Extended KeyUsage, selon les fournisseurs, vous trouverez d'autres dénominations. Sachez que:

SSL Serveur et Authentification serveur sont équivalents;

SSL Client et Authentification server de type client sont équivalents.

Nommage de vos certificats

Pour le nommage d'un certificat SSL Serveur ou SSL Client Applicatif, vous pouvez consulter le lien suivant (l'annexe A3 du RGS V2 chapitre III.1: Nommage): http://www.ssi.gouv.fr/uploads/2014/11/RGS_v-2-0_A3.pdf

Certificats de tests en qualification

Les fournisseurs de produits de certification peuvent accepter de fournir des certificats de tests gratuits pour la réalisation des tests, ce qui est le cas de vos travaux sur la plateforme de qualification. Ces certificats ont une durée de vie limitée et doivent respecter toutes les contraintes spécifiées dans ce chapitre. Contactez votre fournisseur.

Attention: il ne sera pas possible de passer en production avec des certificats de tests car ils sont marqués comme tels. Dès lors, il vous faudra acquérir un "certificat standard".

Les certificats utilisés en qualification peuvent-ils être utilisés en production?

Les certificats identifient un service. A ce titre, un certificat utilisé pour la plateforme de qualification peut tout à fait être utilisé sur la plateforme de production, sauf s'il s'agit d'un certificat de tests, comme indiqué ci-dessus.

6.2 Certificats utilisés pour la signature des flux

Vous devrez fournir ce certificat UNIQUEMENT si vous avez opté pour échanger des flux signés. Ce certificat est indépendant du protocole choisi et doit répondre à la caractéristique suivante:

• Certificat Cachet serveur sans heure

6.3 Recommandations pour l'acquisition des certificats

Pour l'acquisition du ou de vos certificats, nous vous recommandons l'approche suivante:

• pour l'authentification, faites le choix du protocole;
• pour la signature, faites le choix de travailler en flux signé ou non;
• prendre contact avec votre fournisseur de certificat:
  • transmettez-lui les contraintes liées à l'autorité de certification et au format;
  • transmettez-lui le tableau correspondant au choix de votre protocole;
  • si (et UNIQUEMENT si) vous avez opté pour des flux signés, précisez-lui que vous voulez un Certificat de cachet serveur sans heure;
• le fournisseur dispose des informations qui lui permettront de vous proposer le (ou les) bons certificats.

Un certificat ayant une durée de validité limitée, il importe de le renouveler périodiquement, pour pouvoir maintenir actif son raccordement. Pour ce faire, à l’approche de l’expiration de son certificat, l’organisme ayant assuré le raccordement (l’entité raccordée ou bien son prestataire de raccordement) doit acquérir un nouveau certificat, puis se rendre sur le portail de services Chorus Pro, dans le domaine « Raccordements » puis l’application « EDI ».

Ensuite, il convient de sélectionner « Rechercher fiche EDI» et de lancer une recherche pour retrouver la fiche initialement réalisée pour son raccordement : dans le bloc " Critères de recherche ", dans le champ " Période de raccordement ", effacer la date pré-remplie puis cliquer sur le bouton " Rechercher " en bas de page.

Dans le bloc " Résultats de la recherche ", colonne " Actions ", cliquer sur le " crayon ".

Sur la nouvelle page, dans le bloc " Certificat ", cliquer sur " Mettre à jour le certificat ".

Cliquer ensuite sur le bouton dans le champ " Choix du fichier à importer " afin de rechercher sur votre ordinateur le certificat à jour au format PKCS#7. Cliquer ensuite sur " Valider ". Il est nécessaire d’attendre entre 2h et 24h pour que la mise à jour soit prise en compte. La fiche repasse alors au statut « active ».

Il faut se positionner dans le domaine " Raccordements" puis l'application onglet " API" et enfin sur l'onglet Gérer raccordement API ".

Cliquer sur le petit stylo au bout de la ligne à droite en face du certificat que vous souhaitez renouveler

Sur la nouvelle page, dans le bloc " Certificat ", cliquer sur " Mettre à jour le certificat ".

Cliquer ensuite sur le bouton dans le champ " Choix du fichier à importer " afin de rechercher sur votre ordinateur le certificat à jour au format PKCS#7. Cliquer ensuite sur " Valider ". Vous devez patienter entre 2h et 24h afin que la mise à jour soit prise en compte.