Info |
---|
Depuis la version 1.21, il Il est possible d'utiliser un certificat cachet d'établissement (personne morale). Le POC mené à Rouen repose sur l'utilisation d'un certificat cachet eIDAS (RGS**) obtenu auprès de Certinomis au format clé cryptographique. La clé est de marque Feitian et la carte à puce de type Gemalto. |
Pré-requis
Installation des paquets :
- pcsc-tools
- libpcsclite1
- libpcsclite-dev
Installation des pilotes sous linux
Depuis la version 1.27, il est possible d'utiliser OpenSC en lieu et place du driver safenet. |
Remarque |
---|
L'installation se passe coté serveur ce qui implique de connecter la clé usb sur le serveur hébergeant esup-signature. Cela implique des contraintes particulière par rapport aux serveurs virtuels.À Rouen, un port a été Deux solution sont possibles :
|
...
Pré-requis
Installation des paquets :
- pcsc-tools
- libpcsclite1
- libpcsclite-dev
...
Installation avec le driver SafeNet
Pour le materiel utilisé à Rouen (clé de marque Feitian et de type clé Feitian et carte sim Gemalto (comme fournis par Certinomis par example), les pilotes sont à télécharger ici : https://support.globalsign.com/ssl/ssl-certificates-installation/safenet-drivers#Linux%20Debian
Une fois le paquet installé, on obtient le fichier /lib/pkcs11/libIDPrimePKCS11.so qui est le pilote qui sera utilisé par esup-signature ci-après...
Configuration d'esup-signature
Trois paramètres sont à configurer La configuration à mettre dans le fichier application.yml :
Bloc de code | ||
---|---|---|
| ||
seal-certificat-type: PKCS11 seal-certificat-driver: /lib/pkcs11/libIDPrimePKCS11.so seal-certificat-pin: ****** |
...
Remarque |
---|
Il est possible d'utiliser un certificat PKCS12 en guise de certificat cachet. Pour cela seal-certificat-type doit être PKSC12 et il faudra utiliser seal-certificat-file pour préciser l'emplacement du fichier .p12 |
...
Installation avec OpenSC
Afin d'éviter l'utilisation d'un pilote spécifique vous pouvez passer par OpenSC : https://github.com/OpenSC/OpenSC
L'installation est documentée ici : https://github.com/OpenSC/OpenSC/wiki/Compiling-and-Installing-on-Unix-flavors
Sous debian il existe un paquet opensc, voici les comandes à lancer :
Bloc de code | ||||
---|---|---|---|---|
| ||||
sudo apt-get install pcscd libccid libpcsclite-dev libssl-dev libreadline-dev autoconf automake build-essential docbook-xsl xsltproc libtool pkg-config
sudp apt install opensc |
Pour tester le fonctionnement :
La configuration à mettre dans le fichier application.yml :
Bloc de code | ||||
---|---|---|---|---|
| ||||
seal-certificat-type: OPENSC
seal-certificat-pin: ****** |
...
Mode d'accès
Cette signature éléctronique est disponible de trois manières :
...