...
La norme définit quatre classes de conformité :
AdES_BASELINE_B: Signature basiqueAdES_BASELINE_T: Basique + horodatageAdES_BASELINE_LT: T + matériel de validation à long termeAdES_BASELINE_LTA: LT + horodatages périodiques
...
Paramètres de chiffrement
aes-key
Clé AES(16bits) utilisée pour le chiffrement des mots de passe de keystores stockés en base de données (version 1.36.27 et antérieures).
Important : À partir de la version 1.36.27+, utilisez le paramètre aes256Key (32 bits) à la place. Si vous migrez depuis une version antérieure, conservez aes-key pour la migration des données existantes.
Paramètres de signature DSS
Algorithmes et niveaux de signature
Configurez séparément pour chaque format de signature :
- CAdES : Signatures ASN.1/CMS
- PAdES : Signatures PDF
- XAdES : Signatures XML
Pour chaque format, définissez :
*-digest-algorithm: Algorithme de hachage (SHA256 recommandé)*-signature-level: Niveau de conformité ETSI
container-type
Type de conteneur ASiC pour l'empaquetage (ex: ASiC_E)
default-signature-form
Format de signature par défaut (PAdES, XAdES ou CAdES)
signature-packaging
Mode d'intégration de la signature (ENVELOPED, ENVELOPING ou DETACHED)
password-timeout
Délai d'expiration du mot de passe en millisecondes
sign-with-expired-certificate
Autoriser les certificats expirés (développement/tests uniquement)
Logging - Logs de l'application
Configuration des fichiers de logs et niveaux de verbosité
| Bloc de code | ||
|---|---|---|
| ||
signlogging: aes-key: "0000000000000000"file: cades-digest-algorithmname: SHA256logs/esup-signature.log cades-signature-levelpattern: CAdES_BASELINE_LT container-type: ASiC_E default-signature-form: XAdESconsole: "%clr(%d{yyyy-MM-dd HH:mm:ss.SSS}){faint} %clr(%5level) %clr(${PID:- }){magenta} %highlight(%X{userId:-system}){cyan} %yellow([%15.15t]) %clr(:) %m%n%wEx" pades-digest-algorithm: SHA256 pades-signature-level: PAdES_BASELINE_LT password-timeout: 60000 signature-packaging: ENVELOPEDfile: "%clr(%d{yyyy-MM-dd HH:mm:ss.SSS}){faint} %clr(%5level) %clr(${PID:- }){magenta} %highlight(%X{userId:-system}){cyan} %yellow([%15.15t]) %clr(:) %m%n%wEx" level: xades-digest-algorithm: SHA256 xades-signature-levelroot: XAdES_BASELINE_LTinfo sign-with-expired-certificateorg.esupportail.esupsignature: falseinfo org.verapdf: error # Paramètres OpenSC (alternative libre au driver PKCS11 propriétaire) org.apache.pdfbox: error opensc-command-sign: "pkcs11-tool --sign -v --id {0} -p {1} --mechanism SHA256-RSA-PKCS --input-file {2} --output-file {3}" opensc-command-get-id: "pkcs11-tool -O --type pubkey" opensc-command-get-key: "pkcs11-tool -r --id {0} --type cert" opensc-command-cert-id: <cert-id> opensc-path-linux: "" |
Logging - Logs de l'application
Configuration des fichiers de logs et niveaux de verbosité
org.apache.fop: error
eu.europa.esig.dss: error
---
# config: classpath:logback-prod.xml |
management - Informations et monitoring de l'application
Configuration des données retournées par http://esup-signature.univ.fr/actuator/health.
| Bloc de code | ||
|---|---|---|
| ||
management:
health:
ldap:
enabled: false
endpoints:
jmx | ||
| Bloc de code | ||
| ||
logging: file: name: logs/esup-signature.log patternexposure: console: "%clr(%d{yyyy-MM-dd HH:mm:ss.SSS}){faint} %clr(%5level) %clr(${PID:- }){magenta} %highlight(%X{userId:-system}){cyan} %yellow([%15.15t]) %clr(:) %m%n%wEx" include: '*' file: "%clr(%d{yyyy-MM-dd HH:mm:ss.SSS}){faint} %clr(%5level) %clr(${PID:- }){magenta} %highlight(%X{userId:-system}){cyan} %yellow([%15.15t]) %clr(:) %m%n%wEx" web: levelexposure: root: info org.esupportail.esupsignature: info include: '*' org.verapdfendpoint: error org.apache.pdfbox: errorhealth: org.apache.fop: error show-details: ALWAYS eu.europa.esig.dss: error --- # config: classpath:logback-prod.xml# NEVER pour ne pas afficher les détails |
Pour accéder a actuator, il faut paramétrer les ip autorisée dans security.actuators-access-authorize-ips
Fichier logback.xml personnalisé
...