Gestion des certificats

Gestion des certificats de l’IGC santé pour l’authentification indirecte

Afin d’utiliser le connecteur DevBox-Santé DMP en mode authentification indirecte, il vous faut obtenir des certificats serveurs provenant de cette autorité. Pour celà après avoir commandé des cartes CPS vous pouvez faire une demande à partir d’un téléservice dont la procédure est décrite ici.

Procédure Administrative

Industriel pour les tests

Pour l’industriel la liste des formulaires de gestion des certificats sont ici : https://esante.gouv.fr/index-des-formulaires#23241

Le formulaire de commande de cartes et certificats de test est le F414 : https://esante.gouv.fr/sites/default/files/media_entity/documents/F414.pdf

Il est possible de faire la démarche en ligne : https://www.demarches-simplifiees.fr/commencer/f414

En production

Pour obtenir, les certificats et clés nécessaires pour la connexion au DMP en authentification indirecte, il faut que votre établissement soit enregistré au FINESS (Fichier National des Établissements Sanitaires es Sociaux) : https://finess.esante.gouv.fr/

Depuis le SEGUR santé, les guides de commandes de certificats sont spécifiques à chaque couloir :

Les principes généraux sont les suivants :

Lors du raccordement au DMP, chaque site géographique d’un établissement de santé s’authentifie et s’identifie via son numéro de FINESS géographique/juridique.

  • Ainsi, chaque site doit générer des certificats d’organisation sur son numéro de FINESS géographique/juridique.
  • L’administrateur technique est une personne de confiance à qui le représentant légal de l’établissement délègue le droit de gérer le cycle de vie des certificats logiciels commandés.

Il est également possible pour le représentant légal d’une structure de désigner un ou plusieurs mandataires pour sa structure.

Quels certificats ?

Pour accéder au DMP en authentification indirecte (création/gestion administrative et alimentation), vous avez besoin de déployer les certificats suivants :

  • un certificat client de type ORG AUTH_CLI pour s’authentifier au DMP ;
  • un certificat client de type ORG SIGN pour signer les lots de documents soumis au DMP

ANS_certificats_segur.png

Procédure Technique

Il est possible de commander ces certificats sur le site web mis à disposition par l’ANS. Il s’agit d’un service permettant la commande de certificats et cartes :

https://pfc.eservices.esante.gouv.fr

Pour pouvoir y accéder il faut se connecter avec un lecteur de cartes configuré muni d’une carte CPA autorisée au préalable :

pfcngAccueil.png

Certificats et clés d’authentification

Demander

Étape 1:

pfcng

Étape 2:

RAS, il s’agit d’un écran de recherche pour les demandes antérieures. Cliquer sur “Demander un nouveau produit”

Étape 3:

Il faut renseigner :

  • l’usage : AUTH_CLI
  • le nom du service (nom du logiciel) qui va accéder au DMP,
  • son adresse email (utiliser plus tard pour envoyer une confirmation)

pfcng

Étape 4 :

Pour cette étape le plus simple est de générer la CSR sur le site, mais pas obligatoire.

  • Saisir un mot de passe assez fort pour convenir au service, et sauvegarder le car il sera demandé lors de la récupération du certificats P12, ainsi que pour configurer la DevBox-Santé DMP.
  • Cliquer sur “Générer la CSR”, puis “Finaliser”

pfcng

Étape 5 :

Vous recevez un email de confirmation de la demande à l’email saisie à l’étape 3 :

Retirer

Depuis l’étape 5 de la demande vous pouvez accéder au retrait du certificat commandé. Sinon vous pouvez y accéder par le menu Retirer

Étape 1:

Cette étape consiste à choisir le produit à retirer

pfcng

Étape 2:

Dans cette étape, il faut saisir un nouveau mot de passe pour les révocations (identique ou pas de celui de la CSR). Il n’est pas utilisé dans l’API mais peut servir à l’administrateur technique.

pfcng

Étape 3: Finalisation

Dans cette étape, il faut saisir le mot de passe de réconciliation celui qui a permis de générer la CSR.

pfcng

Le certificat/clé (p12) a un nom qui doit ressembler à asip-p12-EL-TEST-ORG-AUTH_CLI-20170603-173116.p12

Certificats et clés de signature

Pour la signature, il faut faire une autre demande avec le même process, à l’exception de l’étape 3 ou il faudra demander un certificat de signature : Usage SIGN

pfcng

Configuration de la DevBox-Santé DMP

Le paramètrage de ces certificats pour la DevBox-Santé DMP se trouve dans le application.yml

  • dmpc.url.prefix
  • dmpc.smime.p12.path
  • dmpc.smime.p12.password
  • dmpc.ssl.p12.path
  • dmpc.ssl.p12.password
  • dmpc.ssl.trust.path

Exemple de configuration à fournir :

dmpc:
   # informations relatives au certificat smime
    smime:
        p12: 
            path:
                #./smime.p12
                A_renseigner 
            password:
                A_renseigner
    # informations relatives au certificat ssl
    ssl:
        p12:
            path:
                #ssl.p12
                A_renseigner
            password:
                A_renseigner
        # Contient les certificats serveurs autorisés pour authentification mutuelle         
        trust:
            path:
                truststoreIgcSante-EL-ORG.jks