Création et installation de certificats de signature
Cette section apporte des informations sur les certificats de
signature, utilisés dans un objectif d'irréfutabilité et pour la
vérification du signataire.
Certificat de signature de communication entrante
Le Gestionnaire de documents utilise le certificat signé du
participant pour vérifier la signature de l'expéditeur lorsque vous recevez
des documents. Les participants vous envoient leurs certificats de signature
auto-signés au format X.509 DER. En retour, vous installez les certificats des
participants via la Console de communauté sous leur profil respectif.
Pour installer le certificat, utilisez la procédure ci-dessous.
- Recevez le certificat de signature X.509 du participant au format DER.
- Installez-le via la Console de communauté sous le profil
du participant.
- Cliquez sur Administrateur du compte > Profils >
Participant de communauté et recherchez le profil du participant.
- Cliquez sur Certificats.
- Cliquez sur Charger les certificats.
- Sélectionnez Signature numérique comme type de certificat.
- Tapez une description du certificat (obligatoire).
- Faites passer l'état sur Activé.
- Cliquez sur Parcourir et accédez au répertoire dans lequel vous avez enregistré le certificat.
- Sélectionnez le certificat, puis cliquez sur Ouvrir.
- Cliquez sur Télécharger, puis sur Sauvegarder.
- Si le certificat a été signé par une autorité
de certification et si le certificat de CA racine et tout autre certificat de
la hiérarchie des certificats ne sont pas encore installés dans le profil
Opérateur du concentrateur, procédez à leur installation.
- Cliquez sur Administrateur du compte
> Profils > Certificats pour afficher la liste des certificats.
Assurez-vous d'être connecté à la Console de communauté en tant qu'Opérateur de
concentrateur et installez le certificat dans votre propre profil.
- Cliquez sur Charger le certificat.
- Sélectionnez Racine et intermédiaire.
- Tapez une description du certificat (obligatoire).
- Faites passer l'état sur Activé.
- Cliquez sur Parcourir et accédez au répertoire dans lequel vous avez enregistré le certificat.
- Sélectionnez le certificat, puis cliquez sur Ouvrir.
- Cliquez sur Télécharger, puis sur Sauvegarder.
Remarque : Il est inutile d'effectuer l'étape précédente si le certificat
de CA est déjà installé.
- Activez la signature au niveau regroupement (niveau le plus élevé), participant ou connexion
(niveau le plus bas). Votre définition peut remplacer les autres définitions au
niveau connexion. Le résumé de la connexion vous indique si un attribut requis est manquant.
Par exemple, pour modifier les attributs d'une connexion de participant,
cliquez sur Administrateur du compte > Connexions du
participant et sélectionnez les participants. Cliquez sur
Attributs, puis éditez l'attribut (par exemple
AS signé).
Certificat de signature de communication sortante
Le Gestionnaire de documents utilise ce certificat lorsqu'il envoie
des documents signés aux participants. Les mêmes certificat et clé
sont utilisés pour tous les ports et protocoles.
Vous pouvez avoir plusieurs
certificats de signature numérique. L'un est le certificat principal,
utilisé par défaut. L'autre est le certificat secondaire, utilisé si
le certificat principal expire ou n'est pas utilisable.
Utilisation d'un certificat auto-signé
Si vous envisagez d'utiliser un certificat auto-signé, appliquez la procédure suivante.
- Démarrez l'utilitaire iKeyman.
- Utilisez iKeyman pour générer un certificat auto-signé et une paire de clés.
- Utilisez iKeyman pour extraire dans un fichier le certificat qui contiendra
votre clé publique.
- Distribuez le certificat à vos participants. La méthode de distribution
préférée consiste à envoyer le certificat par courrier électronique dans un
fichier compressé protégé par mot de passe. Vos participants doivent vous
appeler et vous demander le mot de passe correspondant au fichier compressé.
- Utilisez iKeyman pour exporter le certificat auto-signé et la paire
de clés privées sous forme de fichier PKCS12.
-
Installez le certificat d'auto-signature et
la paire de clés privées sous forme de fichier PKCS12 via la Console de
communauté.
- Cliquez sur Administrateur du compte
> Profils > Certificats pour afficher la liste des certificats.
Veillez à vous connecter à la Console de communauté en tant qu'opérateur du concentrateur.
- Cliquez sur Charger PKCS12.
Remarques :
- Le fichier PKCS12 envoyé ne doit contenir qu'une seule clé privée et le
certificat associé.
- Vous pouvez également
télécharger le certificat codé au format DER et la clé privée codée en PKCS#8.
- Sélectionnez Signature numérique comme type de certificat.
- Tapez une description du certificat (obligatoire).
- Faites passer l'état sur Activé.
- Cliquez sur Parcourir et accédez au répertoire dans lequel vous avez enregistré le certificat.
- Sélectionnez le certificat, puis cliquez sur Ouvrir.
- Entrez un mot de passe.
- Si vous avez deux certificats numériques, indiquez s'il s'agit du certificat
principal ou secondaire en sélectionnant Principal ou
Secondaire dans la liste Utilisation du certificat.
- Cliquez sur Télécharger, puis sur Sauvegarder.
- Répétez l'étape 6 si le
participant dispose d'un second certificat de chiffrement.
Si vous envoyez les certificats principaux et secondaires, pour
l'authentification SSL du client et la signature numérique, et que vous envoyez
les certificats principaux dans deux entrées séparées, assurez-vous que les
certificats secondaires correspondant sont également envoyés comme des entrées
séparées.
Utilisation d'un certificat signé par une autorité de certification (CA)
Si vous envisagez d'utiliser un certificat signé par une autorité de
certification, suivez la procédure ci-dessous.
- Démarrez l'utilitaire iKeyman.
- Utilisez iKeyman pour générer une demande de certificat et une paire de
clés pour le réceptionnaire.
- Envoyez une demande de signature de certificat (CSR, Certificate Signing
Request) à une autorité de certification.
- Lorsque vous recevez le certificat signé de l'autorité de certification,
utilisez iKeyman pour le placer dans le magasin de clés.
- Distribuez le certificat de signature de l'autorité de certification à tous
les participants.
