Depuis la version 1.21, il est possible d'utiliser un certificat cachet d'établissement (personne morale). Le POC mené à Rouen repose sur l'utilisation d'un certificat cachet eIDAS (RGS**) obtenu auprès de Certinomis au format clé cryptographique. La clé est de marque Feitian et la carte à puce de type Gemalto.
Installation des pilotes sous linux
L'installation se passe coté serveur ce qui implique de connecter la clé usb sur le serveur hébergeant esup-signature. Cela implique des contraintes particulière par rapport aux serveurs virtuels.
À Rouen, un port a été mappé sur le serveur hébergeant esup-signature. De ce fait, le serveur ne peux pas changer d'hyperviseur sans que la clé ne soit débranchée. Le débranchement de la clé est géré coté esup-signature pour permettre une continuité de service (en mode dégradé) lors des manipulations sur l'infra serveur.
Pour le materiel utilisé à Rouen (clé de marque Feitian et carte sim Gemalto), les pilotes sont à télécharger ici : https://support.globalsign.com/ssl/ssl-certificates-installation/safenet-drivers#Linux%20Debian
Une fois le paquet installé, on obtient le fichier /lib/pkcs11/libIDPrimePKCS11.so qui est le pilote qui sera utilisé par esup-signature ci-après...
Configuration d'esup-signature
Deux paramètres sont à configurer dans le fichier application.yml
seal-certificat-driver: /lib/pkcs11/libIDPrimePKCS11.so seal-certificat-pin: ******
Le premier permet de préciser le fichier pilote de la clé USB, le deuxième correspond au code pin du certificat
Mode d'accès
Cette signature éléctronique est disponible de trois manières :
- Les utilisateurs ayant obtenu le ROLE_SEAL ont la possibilité de signer avec le certificat d'établissement.
- Il est possible de configurer esup-signature pour signer automatiquement tous les documents en fin de circuits
- Enfin, il est possible de configurer la signature cachet automatique, circuit par circuit
Depuis la version 1.21, les utilisateurs ont la possibilité de signer avec un niveau de signature supperieur à celui exigé initalement pour signer le document