Depuis la version 1.21, il est possible d'utiliser un certificat cachet d'établissement (personne morale). Le POC mené à Rouen repose sur l'utilisation d'un certificat cachet eIDAS (RGS**) obtenu auprès de Certinomis au format clé cryptographique. La clé est de marque Feitian et la carte à puce de type Gemalto.
Installation des pilotes sous linux
L'installation se passe coté serveur ce qui implique de connecter la clé usb sur le serveur hébergeant esup-signature.
Pour le materiel utilisé à Rouen, les pilotes sont à télécharger ici : https://support.globalsign.com/ssl/ssl-certificates-installation/safenet-drivers#Linux%20Debian
Une fois le paquet installé, on obtient le fichier /lib/pkcs11/libIDPrimePKCS11.so qui est le pilote qui sera utilisé par esup-signature
Configuration d'esup-signature
Deux paramètres sont à configurer dans le fichier application.yml
seal-certificat-driver: /lib/pkcs11/libIDPrimePKCS11.so seal-certificat-pin: ******
Le premier permet de préciser le fichier pilote de la clé USB, le deuxième correspond au code pin du certificat
Mode d'accès
Seul les utilisateurs ayant obtenu le ROLE_SEAL ont la possibilité de signer avec le certificat d'établissement
Depuis la version 1.21, les utilisateurs ont la possibilité de signer avec un niveau de signature supperieur à celui exigé initalement pour signer le document