Esup-Signature

Arborescence des pages

Vous regardez une version antérieure (v. /wiki/pages/viewpage.action?pageId=1137606660) de cette page.

afficher les différences afficher l'historique de la page

« Afficher la version précédente Vous regardez la version actuelle de cette page. (v. 2) afficher la version suivante »

Depuis la version 1.21, il est possible d'utiliser un certificat cachet d'établissement (personne morale). Le POC mené à Rouen repose sur l'utilisation d'un certificat cachet eIDAS (RGS**) obtenu auprès de Certinomis au format clé cryptographique. La clé est de marque Feitian et la carte à puce de type Gemalto.

Installation des pilotes sous linux


L'installation se passe coté serveur ce qui implique de connecter la clé usb sur le serveur hébergeant esup-signature. Cela implique des contraintes particulière par rapport aux serveurs virtuels.

À Rouen, un port a été mappé sur le serveur hébergeant esup-signature. De ce fait, le serveur ne peux pas changer d'hyperviseur sans que la clé ne soit débranchée. Le débranchement de la clé est géré coté esup-signature pour permettre une continuité de service (en mode dégradé) lors des manipulations sur l'infra serveur.


Pour le materiel utilisé à Rouen (clé de marque Feitian et carte sim Gemalto), les pilotes sont à télécharger ici : https://support.globalsign.com/ssl/ssl-certificates-installation/safenet-drivers#Linux%20Debian

Une fois le paquet installé, on obtient le fichier /lib/pkcs11/libIDPrimePKCS11.so qui est le pilote qui sera utilisé par esup-signature ci-après...


Configuration d'esup-signature

Deux paramètres sont à configurer dans le fichier application.yml

seal-certificat-driver: /lib/pkcs11/libIDPrimePKCS11.so
seal-certificat-pin: ******

Le premier permet de préciser le fichier pilote de la clé USB, le deuxième correspond au code pin du certificat


Mode d'accès

Cette signature éléctronique est disponible de trois manières :

  • Les utilisateurs ayant obtenu le ROLE_SEAL ont la possibilité de signer avec le certificat d'établissement.
  • Il est possible de configurer esup-signature pour signer automatiquement tous les documents en fin de circuits
  • Enfin, il est possible de configurer la signature cachet automatique, circuit par circuit


Depuis la version 1.21, les utilisateurs ont la possibilité de signer avec un niveau de signature supperieur à celui exigé initalement pour signer le document



  • Aucune étiquette