Procédure détaillée de commande des certificats serveur
CPS information | 13 Jun 2012
Certains champs sont évidents : nom de la structure, adresse de la structure, signature du responsable de la structure, téléphone.
Dans le cadre lié à l’identification du représentant légal, le numéro de carte à renseigner figure sur la carte du représentant légal, selon 10 caractères numériques, situés sous l'identité de la personne (nom/prénom).
Les personnes désignées comme administrateur technique (il en faut au moins une) ont en principe :
- une compétence technique, puisqu’elles vont réaliser les opérations de génération du ou des CSA demandés,
- et sont des personnes de confiance, puisqu’elles vont tirer et disposer de la clé privée.
Elles sont également en charge de révoquer le certificat si besoin. Elles sont équipées d’une carte valide dont vous fournissez le numéro. Le plus souvent ces personnes sont rattachées à la structure pour laquelle est faite la demande, mais ce n’est pas obligatoire.
Les administrateurs techniques peuvent être équipés des cartes suivantes :
- une carte CDE (Carte de Directeur d'Établissement) pour un responsable non professionnel de santé d'un établissement de soins ;
- une carte CPE (Carte de Personnel d'Établissement) nominative pour un non professionnel de santé d'un établissement de soins ;
- une carte CDA (Carte de Directeur Autorisé) pour un représentant légal non professionnel de santé d'une structure ne dispensant pas de soins ;
- une carte CPA (Carte de Personnel Autorisé) pour un non professionnel de santé d'une structure ne dispensant pas de soins.
L’identifiant du serveur à déclarer dans le certificat est appelé un common name ou cn.
Il sera installé sur un serveur, avec la bi-clé. Si vous n’avez pas l’information, vous pouvez l’obtenir auprès de la personne qui va effectuer l’installation sur le serveur. Pour chaque certificat, vous précisez l’usage, et vous indiquez le « cn » qui doit être unique au sein de l’ensemble des Certificats Serveurs Applicatifs (nous proposons une structure ‘nom de serveur’ + ‘nom de domaine’).
Pour un certificat «SMIME » vous pouvez nous indiquer une adresse courriel. Elle doit de la même façon être unique au sein de l’ensemble des adresses de courriel déclarées dans l’Annuaire ASIP Santé.
Traitement du formulaire de demande de certificats de serveur applicatif
À réception, l’ASIP Santé vérifie la pertinence des informations fournies dans le Formulaire.
Si des éclaircissements ou modifications sont nécessaires, vous serez contactés par courriel ou téléphone.
Le ou les administrateurs techniques désignés reçoivent un courriel indiquant que la demande est validée, avec objet = Déclaration administrateur de serveur CSA pour « nom de votre structure ».
Les données vous permettant de générer le certificat vous sont communiquées dans ce courriel. (Elles peuvent être différentes de celles du formulaire initial si des modifications ont été nécessaires).
Génération de la bi-clé RSA et du certificat
Pour ce faire, la personne qui réalise l'opération doit disposer d'un poste équipé d'un lecteur de carte à puce conforme au standard PC/SC et d'un logiciel d'interface avec les cartes CPS (cliquer ici pour télécharger ce logiciel) pour signer les demandes avec la CPS de l'administrateur technique.
L'administrateur technique doit aussi disposer d'une solution de courrier électronique pour adresser les demandes de certificat, et recevoir les réponses de la plateforme de l'ASIP Santé qui va émettre les certificats.
Réaliser l'opération de génération d'un certificat suppose que l'administrateur techniques ait une certaine maitrise des commandes openssl. Il peut aussi, sous sa seule responsabilité, utiliser un outil de l'ASIP Santé (nommé CLEO) qui lui aura été proposé avec le courriel [Déclaration administrateur de serveur CSA pour "nom de votre structure"]
Un administrateur technique désigné réalise les opérations suivantes :
- génération d’une bi-clé RSA (clé privée et clé publique) et de sa protection (la longueur de la clé à générer et à certifier est de 1.024 bits);
- génération d’une demande de certificat. Cette requête que l’on nomme « CSR » ou « PKCS#10 » est l'élément nécessaire à la fabrication du Certificat Serveur. Elle doit contenir les informations qui ont été communiquées par courriel
« objet = Déclaration administrateur de serveur CSA pour [ nom de votre structure ].
Le "Country" : le code pays doit être valorisé à "FR" pour la France.
L' "Organization" (O) a pour valeur "GIP-CPS"
Le "Country" : le code pays doit être valorisé à "FR" pour la France.
L' "Organization" (O) a pour valeur "GIP-CPS"
La "Locality" (L) est le département de localisation de la structure.
L' "organizationalUnitName" (OU) est l'identification nationale de structure dans laquelle le serveur est déclaré.
Le "Common Name" (CN) est l’identifiant du serveur qui va être sécurisé. Il est recommandée recommandé de le fournir sous la forme xxx.yyy. xxx est le nom d'hôte du serveur et yyy est le nom de domaine appartenant à votre organisation ;
L’extension "subjectAltName", présente uniquement dans une demande de certificat de type S/MIME, spécifie l'adresse courriel du serveur
3. signe le PKCS#10 avec sa carte CPS.
4. chiffre le tout avec la clé publique du serveur auquel l’inscription du certificat dans l’Annuaire de l’ASIP Santé va être demandée. Le certificat du serveur d’inscription est récupérable et téléchargeable dans l’Annuaire (http://annuaire.gip-cps.fr/). Rechercher Identifiant = ‘ inscription.certif.gip-cps.fr’ pour type = ‘serveur’.
L’ASIP Santé offre un support technique en cas de besoin : certificat.classe4@asipsante.fr
Cas particulier des certificats pour les centres de régulation
Pour les demandes concernant spécifiquement les centres de régulation, il est demandé aux établissements de déclarer l’usage de ce certificat pour un centre de régulation sur le formulaire de demande de certificat :
Cas particulier des certificats pour les centres de régulation
Pour les demandes concernant spécifiquement les centres de régulation, il est demandé aux établissements de déclarer l’usage de ce certificat pour un centre de régulation sur le formulaire de demande de certificat :
- En précisant l’usage « CENTRE-15» dans la première colonne « Précisions sur l’usage du certificat » du formulaire.
- En rajoutant le mot clé « centre-15. » au début du nom de serveur.
| Exemple : DN du centre 15 du CHU de la ville de Nantes CN = centre-15.c1.chu-nantes.fr OU = 1440000289 L = Loire-Atlantique (44) O = GIP-CPS C = FR avec nom de serveur : « centre-15.c1 » et nom de domaine : « chu-nantes.fr »
|
Concernant les certificats de test, le mot clé « test- » est introduit au début du nom de serveur. Par exemple, pour le CHU de Nantes :
c=FR,o=TEST,l=Loire-Atlantique(44),ou=1440000289,cn=centre15.c1-test.chu-nantes .
Envoi de la requête au Serveur d'Inscription et retour
- l’administrateur adresse au serveur d’inscription le CSR/PKCS#10 signé/chiffré à l’adresse suivante : inscription@certif.gip-cps.fr.
- La réponse par courriel à l'adresse de messagerie de l'émetteur du message, revient de l’Autorité de Certification (autorite@certif.gip-cps.fr), en principe dans les minutes qui suivent l’envoi de la requête. Si la demande est rejetée, un message indique le motif du rejet.
- Si la demande a été traitée avec succès, une pièce jointe, nommée ‘smime.p7c’ est attachée au courriel. Le certificat sera publié dans l’Annuaire à J+1.
REMARQUE : il n’est pas rare que le message et/ou la pièce jointe soit rejeté par un processus sécuritaire mis en place par votre établissement, de type anti-spam (type de contenu « p7c » inconnu par exemple). Il appartient à la structure de paramétrer l’acceptation de ce type de fichier par l’outil de messagerie… ou de récupérer le message/fichier écarté.
Assistance pour l’obtention des certificats serveur
contacter le service d’assistance technique
