Esup-Signature

Arborescence des pages

Comparaison des versions

Ancienne version 6

changes.mady.by.user David Lemaignent

Sauvegardée le

comparé à

Nouvelle version Actuel

changes.mady.by.user David Lemaignent

Sauvegardée le

Légende

  • Ces lignes ont été ajoutées. Ce mot a été ajouté.
  • Ces lignes ont été supprimées. Ce mot a été supprimé.
  • La mise en forme a été modifiée.

...

Remarque

L'installation se passe coté serveur ce qui implique de connecter la clé usb sur le serveur hébergeant esup-signature. Cela implique des contraintes particulière par rapport aux serveurs virtuels.

Deux solution sont possibles :

  • Un port mappé sur le serveur hébergeant esup-signature. De ce fait, le serveur ne peux pas changer d'hyperviseur sans que la clé ne soit débranchée. Le débranchement de la clé est géré coté esup-signature pour permettre une continuité de service (en mode dégradé) lors des manipulations sur l'infra serveur.
  • Un hub USB (type AnywhereUSB) permettant de virtualiser le port usb et éviter les contraintes liées à la première solution

Sommaire

...

Pré-requis

Installation des paquets :

  • pcsc-tools
  • libpcsclite1
  • libpcsclite-dev

Instalation de la clé USB :

  • directement sur le serveur
  • via un hub USB réseau Digi AnywhereUSB® (solution en place à Rouen)

https://fr.digi.com/products/networking/infrastructure-management/usb-connectivity/usb-over-ip/anywhereusb


...

Installation avec le driver SafeNet

Pour le materiel de type clé Feitian et carte sim Gemalto (comme fournis par Certinomis par example), les pilotes sont à télécharger ici : https://support.globalsign.com/ssl/ssl-certificates-installation/safenet-drivers#Linux%20Debian

...

Remarque

Il est possible d'utiliser un certificat PKCS12 en guise de certificat cachet. Pour cela seal-certificat-type doit être PKSC12 et il faudra utiliser seal-certificat-file pour préciser l'emplacement du fichier .p12


...

Installation avec OpenSC

Afin d'éviter l'utilisation d'un pilote spécifique vous pouvez passer par OpenSC : https://github. com/OpenSC/OpenSC L'installation est documentée ici : https://github.com/OpenSC/OpenSC/wiki/Compiling-and-Installing-on-Unix-flavors

Pour tester le fonctionnement : 

Bloc de code
languageyml
themeRDark
pkcs11-tool -L

exemple de resultat correct :

Available slots:
Slot 0 (0x0): Feitian SCR301 (FFFFFFFFFFFFF) 00 00
  token label        : Université de XXXX...
  token manufacturer : Gemalto
  token model        : PKCS#15 emulated
  token flags        : login required, rng, token initialized, PIN initialized
  hardware version   : 0.0
  firmware version   : 0.0
  serial num         : 7e800005582b1079
  pin min/max        : X/X

et la vérification sont decrites ici : OpenSC


...

Configuration

La configuration à mettre dans le fichier application.yml :

...

  • Les utilisateurs ayant obtenu le ROLE_SEAL ont la possibilité de signer avec le certificat d'établissement.
  • Il est possible de configurer esup-signature pour signer automatiquement tous les documents en fin de circuits avec le paramètre seal-all-docs: true
  • Enfin, il est possible de configurer la signature cachet automatique, circuit par circuit

...