Loading....
Print Friendly, PDF & Email

CERTIFICATS

Un certificat électronique peut être vu comme une carte d’identité numérique. Il est utilisé principalement pour identifier et authentifier une personne physique ou morale, mais aussi pour chiffrer des échanges. Il est signé par un tiers de confiance qui atteste du lien entre l’identité physique et l’entité numérique (virtuelle). Le standard le plus utilisé pour la création des certificats numériques est le X.509.

Suivant votre modalité de connexion, vous n’avez pas les mêmes prérequis.

Le tableau ci-dessous précise le type de certificat attendu en fonction de votre mode de raccordement à Chorus PRO

Tableau récapitulatif des certificats utilisables

 

Certificat d’authentification serveur = SSL Serveur

Certificat d’authentification serveur de type client = SSL Client

Vous cherchez à acquérir le ou les certificats indiqués dans le tableau précédent.

Vous devez contacter un fournisseur présent dans la liste TSL Europe.

Après avoir choisi votre fournisseur, vous pouvez contacter ce dernier pour lui expliquer que vous voudriez commander un certificat authentification serveur ou authentification serveur de type client suivant votre cas, de figure conforme RGS* à minima. Il est possible que vous deviez acquérir les deux (EDI PesIT) en ligne.

Rappel :
– Certificat d’authentification serveur = SSL Serveur
– Certificat d’authentification serveur de type client = SSL Client

Pour le nommage d’un certificat SSL Serveur ou SSL Client applicatif, veuillez vous conférer à l’annexe A3 du RGS V2 chapitre III.1 : Nommage

Le certificat doit nous parvenir au format pkcs7 avec toute la chaîne de certification.

Vous avez la possibilité de demander un certificat de tests gratuits à une autorité de certification pour votre environnement de tests. Après validation des tests, vous commandez un certificat pour votre environnement de Production.

Vous devez vérifier la conformité du (des) certificat(s) par rapport aux besoins de la plateforme de qualification de CPP par rapport à votre mode de connexion.

Dans l’onglet détail du certificat :

 

L’utilisation avancée de la clé ( Extended key usage ) indique le rôle du certificat. Il doit contenir Authentification SERVEUR ou Authentification CLIENT.
C’est un OU exclusif.

L’utilisation de la clé (Key usage) doit indiquer
– Pour un certificat serveur = Signature numérique, chiffrement de la clé
– Pour un certificat client = Signature numérique

Stratégie de certificat . Ce champ indique la référence du certificat.
– Il faut vérifier que cette référence est bien présente dans la liste LSTI
– Le certificat doit être listé de niveau RGS* a minima
– Le certificat doit nous parvenir au format pkcs7 avec toute la chaîne de certification

Si tous les éléments listés ci-dessus sont confirmés, le certificat est valide

Quel que soit le protocole choisi, vous devrez fournir des certificats d’authentification serveur. Attention, il existe deux types de certificats d’authentification: serveur et personnes. N’utilisez pas de certificats d’authentification de personnes, car ils ne seront pas acceptés.

Si vous souhaitez échanger des flux signés, vous devrez fournir un certificat supplémentaire dédié à la signature.

6.1 Attributs des certificats

Les certificats contiennent des attributs qui déterminent leur mode d’utilisation. Pour CPP2017, deux attributs sont essentiels:

  • utilisation avancée de la clé (Extended KeyUsage)
  • Utilisation de la clé (KeyUsage)

Vous trouverez dans les paragraphes suivants la valeur exacte des attributs des certificats.

 

Vocabulaire Extended KeyUsage

Concernant les valeurs de l’attribut Extended KeyUsage, selon les fournisseurs, vous trouverez d’autres dénominations. Sachez que:

SSL Serveur et Authentification serveur sont équivalents;

SSL Client et Authentification server de type client sont équivalents.

Nommage de vos certificats

Pour le nommage d’un certificat SSL Serveur ou SSL Client Applicatif, vous pouvez consulter le lien suivant (l’annexe A3 du RGS V2 chapitre III.1: Nommage): http://www.ssi.gouv.fr/uploads/2014/11/RGS_v-2-0_A3.pdf

Certificats de tests en qualification

Les fournisseurs de produits de certification peuvent accepter de fournir des certificats de tests gratuits pour la réalisation des tests, ce qui est le cas de vos travaux sur la plateforme de qualification. Ces certificats ont une durée de vie limitée et doivent respecter toutes les contraintes spécifiées dans ce chapitre. Contactez votre fournisseur.

Attention: il ne sera pas possible de passer en production avec des certificats de tests car ils sont marqués comme tels. Dès lors, il vous faudra acquérir un « certificat standard ».

Les certificats utilisés en qualification peuvent-ils être utilisés en production?

Les certificats identifient un service. A ce titre, un certificat utilisé pour la plateforme de qualification peut tout à fait être utilisé sur la plateforme de production, sauf s’il s’agit d’un certificat de tests, comme indiqué ci-dessus.

 

6.2 Certificats utilisés pour la signature des flux

Vous devrez fournir ce certificat UNIQUEMENT si vous avez opté pour échanger des flux signés. Ce certificat est indépendant du protocole choisi et doit répondre à la caractéristique suivante:

  • Certificat Cachet serveur sans heure

 

6.3 Recommandations pour l’acquisition des certificats

Pour l’acquisition du ou de vos certificats, nous vous recommandons l’approche suivante:

  • pour l’authentification, faites le choix du protocole;
  • pour la signature, faites le choix de travailler en flux signé ou non;
  • prendre contact avec votre fournisseur de certificat:
    • transmettez-lui les contraintes liées à l’autorité de certification et au format;
    • transmettez-lui le tableau correspondant au choix de votre protocole;
    • si (et UNIQUEMENT si) vous avez opté pour des flux signés, précisez-lui que vous voulez un Certificat de cachet serveur sans heure;
  • le fournisseur dispose des informations qui lui permettront de vous proposer le (ou les) bons certificats.

Dernière mise à jour : novembre 6, 2018  

10387    Le Mode EDI, Le Mode EDI., Se Raccorder à Chorus Pro, Se Raccorder à Chorus Pro.    
Total 14 Votes:
10

Dites-nous comment pourrions-nous améliorer cette publication ?

+ = Êtes-vous un robot ?

Back To Top