Concepts clés
Types de signature avec certificat
- Signature simple : Image uniquement, pas de certificat
- Signature avancée : Certificat sans exigences particulières
- Signature qualifiée : Certificat eIDAS qualifié, niveau maximum de sécurité
Format des documents
Les images de signature ne s'apposent que sur les PDF. Pour les autres formats (Word, Excel, etc.), seul le certificat peut être utilisé.
Choix du moyen de signature
Au moment de la signature vous pourrez choisir avec quel moyen vous voulez signer:
Signer avec un certificat
Les 3 moyens de signature disponibles
Au moment de valider votre signature, vous pouvez choisir le moyen parmi ceux disponibles :
Certificat lié à mon profil
- Utilise le certificat PKCS12 que vous avez stocké
- Vous devez entrer le mot de passe de déverrouillage
- Pour signatures avancées uniquement (si autorisé par l'admin)
- Le certificat reste stocké sur le serveur
Certificat présent sur mon poste ou sur clé USB
- Utilise une clé matérielle connectée à votre ordinateur
- Lance automatiquement Esup-DSS-Client
- Vous devez saisir le code PIN de votre carte/clé
- Permet les signatures qualifiées
- Sécurité maximale (le certificat ne quitte jamais votre clé)
Certificat cachet d'établissement
- Utilise le certificat de l'établissement (côté serveur)
- Pas de mot de passe demandé
- Requiert des droits spécifiques accordés par l'administrateur
- Utilisé pour les signatures officielles de l'établissement
Utiliser votre certificat électronique lié au profils
Pour les détails complets sur le stockage de votre certificat, consultez la section Configurer votre certificat électronique dans Configuration.
Important : Limitations du certificat stocké (PKCS12)
Le certificat stocké en PKCS12 dans Esup-Signature a des limitations :
- ⚠️ Ne peut être utilisé que pour les signatures avancées, pas pour les signatures qualifiées
- ⚠️ Doit être autorisé par votre administrateur (configuration requise)
- ⚠️ Moins sécurisé qu'une clé matérielle (le certificat est stocké sur le serveur)
- ⚠️ À proscrire pour les actes critiques (marchés publics, actes administratifs importants)
Quand l'utiliser : Pour des signatures avancées rapides sur des documents internes, si votre administrateur l'a autorisé.
Quand l'éviter : Pour les signatures qualifiées ou les actes officiels → utilisez une clé matérielle avec Esup-DSS-Client.
Votre mot de passe sera demandé au moment de la signature
Signer avec un support cryptographique matériel
Pour les actes administratifs requérant une sécurité maximale (marchés publics, actes importants), vous pouvez signer avec un support matériel (carte, clé USB, etc.).
Installation préalable requise
Avant votre première signature avec clé matérielle, installez Esup-DSS-Client sur votre ordinateur.
Esup-DSS-Client
Esup-DSS-Client est l'application cliente complète pour les signatures avec support matériel. Elle gère la communication avec votre clé/carte et vous permet de sélectionner votre méthode de signature.
Documentation complète : https://www.esup-portail.org/wiki/spaces/SIGN/pages/1262419974/Esup-DSS-Client
Installation :
- Consultez le lien wiki ci-dessus
- Téléchargez la version appropriée pour votre système d'exploitation (Windows, macOS, Linux)
- Suivez les instructions d'installation
- Démarrer Esup-DSS-Client, une icone dans la barre des taches doit être présente
- L'application s'intègre directement avec Esup-Signature
Utiliser mon certificat USB
Une fois Esup-DSS-Client installé et votre clé/carte connectée :
- Lors de la signature d'un document, positionnez votre signature (si PDF)
- Cliquez sur "Signer"
- Un dialogue apparaît : "Confirmer la signature du document"
- Sélectionnez "Certificat présent sur mon poste ou sur clé USB" dans la liste déroulante
- Esup-DSS-Client se lance automatiquement
- Sélectionnez votre méthode de signature :
- OpenSC (recommandé pour la plupart des matériels)
- Ou autre selon votre configuration (Magasin widows en particulier)
- Sélectionnez votre clé/carte et votre certificat
- Authentifiez-vous (code PIN, biométrie, selon votre équipement)
- Votre signature est apposée avec le niveau maximum de sécurité
Sécurité maximale :
- Votre certificat ne quitte jamais votre clé
- Vous êtes le seul à pouvoir l'utiliser (le code PIN)
- Niveau de sécurité maximale pour les actes critiques
Dépannage
Esup-DSS-Client ne se lance pas
Problème : Vous recevez un message d'erreur ou rien ne se passe
Solutions :
- Vérifiez qu'Esup-DSS-Client et qu'il est démarré
- Relancez Esup-DSS-Client manuellement
- Reconnectez votre clé/carte
- Actualisez la page Esup-Signature (F5)
- Si persistent, consultez la documentation Esup-DSS-Client : https://www.esup-portail.org/wiki/spaces/SIGN/pages/1262419974/Esup-DSS-Client
- Contactez votre support IT
Quand utiliser quel niveau ?
| Cas d'usage | Type recommandé | Méthode |
|---|---|---|
| Document interne simple | Signature simple | Image uniquement |
| Contrat, accord | Signature avancée | Certificat PKCS12 stocké (si autorisé) |
| Marché public | Signature qualifiée | Clé matérielle + Esup-DSS-Client |
| Acte officiel | Signature qualifiée | Clé matérielle + Esup-DSS-Client |
Ressources
- Esup-DSS-Client : https://www.esup-portail.org/wiki/spaces/SIGN/pages/1262419974/Esup-DSS-Client
- Règlement eIDAS : https://ec.europa.eu/digital-single-market/en/trust-services-and-eid