Ce document s’adresse aux entités mettant en œuvre un raccordement technique en EDI. A la différence des raccordements en API, les raccordements en EDI imposent l’utilisation de certificats électroniques. Cette page présente les contraintes à respecter en la matière.

 

 

 

Un certificat électronique est un document sous forme électronique attestant du lien entre une clef publique et l’identité de son propriétaire (personne physique dans le cas d’un certificat personnel ou service applicatif dans le cas d’un certificat serveur).

 

Cette attestation prend la forme d’une signature électronique réalisée par un prestataire de service de certification électronique (PSCE). Il est délivré par une Autorité de Certification. Un certificat reste valide pendant une durée limitée, indiquée à l’intérieur du certificat.

 

 

 

Dans le cas d’un raccordement en EDI, le certificat permet d’identifier les instances échangeant les données et de sécuriser leurs flux.

L’utilisation d’un certificat n’est requise que pour les raccordements en EDI. Le raccordement en API en mode Oauth2 via la plateforme Piste ne nécessite pas de certificat.

 

2.1        Raccordement à Chorus Pro (EDI)

 

Les prérequis s’appliquant aux certificats sont identiques pour le raccordement en production et le raccordement en qualification.

 

2.1.1       Type de certificat attendu par protocole de raccordement :

 

• PESIT : Certificat d’authentification Serveur ET Certificat d’authentification Serveur de type Client,
• SFTP : Certificat d’authentification Serveur de type Client (SSL Client),
• AS2 : Certificat d’authentification Serveur ou Serveur de type Client (SSL Serveur – SSL Client).

 

2.1.2       Niveau de certification :

 

Les niveaux de certification attendus sont précisés suivant :

• La norme française : RGS* (RGS une étoile)
• Ou la norme européenne équivalente (eIDAS) : QWAC (Qualified Website Authentication Certificate)

Le certificat utilisé pour son raccordement doit répondre à au moins un de ces niveaux de certification.

 

2.1.3       Format de transmission de la clef publique

 

Un certificat est composé d’une partie privée et d’une partie publique. Seule la partie publique est attendue. Elle doit être présentée au format pkcs7.

 

2.1.4       Validité du certificat

 

Le certificat doit être valide au moment du raccordement. L’expiration de validité du certificat impose son renouvellement comme prérequis à la poursuite des échanges de données. Il est donc conseillé de ne pas se raccorder avec un certificat arrivant prochainement à expiration.

 

2.2       Raccordements au PPF (pour les PDP uniquement)

 

Les prérequis s’appliquant aux certificats sont identiques pour le raccordement en production et le raccordement en qualification.

 

2.2.1       Type de certificat attendu par protocole de raccordement :

 

• SFTP : Certificat d’authentification Serveur de type Client (SSL Client),
• AS2 : Certificat d’authentification Serveur ou Serveur de type Client (SSL Serveur – SSL Client).

 

2.2.2      Niveau de certification :

 

Les niveaux de certification attendus sont précisés suivant :

• La norme française : RGS* (RGS une étoile)
• Ou la norme européenne équivalente (eIDAS) : QWAC (Qualified Website Authentication Certificate)

 

Le certificat utilisé pour son raccordement doit répondre à au moins un de ces niveaux de certification.

 

2.2.3      Format de transmission de la clef publique

 

Un certificat est composé d’une partie privée et d’une partie publique. Seule la partie publique est attendue. Elle doit être présenée au format pkcs7.

 

2.2.4      Validité du certificat

 

Le certificat doit être valide au moment du raccordement et être valide plus de 6 mois à compter de ce dernier.

 

 

 

3.1        Liste des autorités de certification délivrant le niveau RGS*

 

La liste des autorités de certification proposant des certificats RGS* est disponible sur le site LSTI.

Cette liste contient une colonne « Niveau RGS » permettant d’identifier les entités habilitées à délivrer des certificats de niveau RGS une étoile, deux étoiles ou trois étoiles.

Attention, pour une même autorité, plusieurs lignes peuvent être recensées dans ce tableau, chacune correspondant à un niveau de certification (et à l’OID ou « identifiant d’objet » correspondant. Il s’agit d’un code numérique qui figurera dans le détail de votre certificat).

 

3.2       Liste des autorités de certification délivrant le niveau QWAC

 

La liste des autorités de certification proposant des certificats de niveau QWAC est disponible sur le site de l’eIDAS (le lien proposé est préfiltré sur les autorités proposant le QWAC).

Il s’agit d’une liste établie à l’échelle européenne.

 

3.3       Comparer les offres de certificats

 

Il est également possible de retrouver une autorité de certification dans un moteur de recherche en utilisant des mots clefs relatifs au niveau de certification attendu (« RGS* ») ou au système à raccorder (« Chorus Pro »). Ce type de recherche permet d’accéder directement aux sites des autorités de certification et de comparer leurs offres commerciales.

Dans tous les cas, un moteur de recherche ne se substitue pas au référencement sur les listes officielles d’autorités habilitées. Il sera donc toujours nécessaire de consulter ces listes d’autorités pour s’assurer qu’on commande bien auprès d’une autorité compétente.

 

Il est parfois possible de demander un certificat de tests gratuits à une autorité de certification pour son environnement de tests (et uniquement pour l’environnement de tests).

Attention, toutefois, pour les raccordements au PPF (raccordement des PDP), les certificats de test ne sont pas acceptés, même pour la qualification. On attend des certificats standards, valides pour au moins 6 mois.

 

3.4       Démarche d’acquisition

 

Pour l'acquisition du ou de vos certificats, nous vous recommandons l'approche suivante :

1. pour l'authentification, faites le choix du protocole ;
2. pour la signature, faites le choix de travailler en flux signé ou non ;
3. prendre contact avec votre fournisseur de certificat :
   • transmettez-lui les contraintes liées à l'autorité de certification et au format;
   • transmettez-lui les contraintes correspondant au choix de votre protocole;
4. si (et UNIQUEMENT si) vous avez opté pour des flux signés, précisez-lui que vous voulez un Certificat de cachet serveur sans heure;
5. le fournisseur dispose des informations qui lui permettront de vous proposer le (ou les) bons certificats.

 

 

Pour importer un certificat sur un navigateur EDGE :

 

1. Ouvrir le navigateur
2. Cliquer sur les trois petits points en haut à droite puis sélectionner « Paramètres »

 

 

3. Taper « certificat » dans la barre de rechercher puis cliquer sur « Gérer les certificats »

 

 

4. Cliquer sur « Importer ». L’assistant d’importation du certificat s’ouvre. Indiquer l'emplacement des fichiers et cliquer sur "Suivant"

 

 

5. Indiquer le mot de passe de la clef privée

 

 

6. Cliquer sur « suivant » puis « terminer » pour valider l’importation du certificat
7. Le message d’information « l’importation s’est terminée correctement » indique que le certificat est maintenant présent dans le magasin de certificats du navigateur.

 

 

 

Il est possible de vérifier manuellement la conformité d’un certificat aux prérequis :

 

Afficher le contenu du certificat en l’ouvrant directement sous Windows ou bien en l’important dans un navigateur web puis en allant consulter la section Certificats de ce navigateur. Dans l’exemple ci-dessous est illustré le premier niveau d’affichage d’un certificat sous navigateur Edge. Sélectionner le certificat à examiner puis cliquer sur le bouton « Affichage » permet d’accéder aux détails du certificat.

 

 

L’onglet « Général » des détails du certificat permet de repérer immédiatement l’autorité émettrice et sa validité temporelle : dans l’exemple ci-dessous, on constate que le certificat n’est plus valide suite à expiration le 25/10/2024. Il ne pourrait donc pas être utilisé pour un raccordement en 2025.

 

 

L’onglet détail de cette fenêtre permet d’afficher davantage d’informations utiles :

 

 

 

Il est par exemple utile de consulter les champs :

1. « Utilisation avancée » (Extended KeyUsage) : pour un raccordement au PPF ou à Chorus Pro, ce champ doit contenir Authentification SERVEUR (SSL Serveur) ou Authentification CLIENT (SSL client).

 

 

2. « Utilisation de la clef » : L’utilisation de la clé (Key usage) doit indiquer

• Pour un certificat serveur = Signature numérique, chiffrement de la clé
• Pour un certificat client = Signature numérique

 

 

3. « Stratégie de certificat » : contient l’OID (« identifiant objet » de votre certificat) et l’autorité de certification associée. On peut vérifier l’adéquation du couple OID / autorité dans la liste LSTI indiquée plus haut dans le document afin de s’assurer du niveau RGS* de la stratégie.

 

 

Ci-dessous une vue de la ligne de référencement dans la liste LSTI correspondant à l’exemple étudié, où on retrouve bien l’autorité de certification et l’OID (1.2.250.1.177.2.5.1.1.1) associés à un niveau RGS*

 

 

Attention, cette consultation de certificat ne vous indiquera pas s’il est déjà utilisé sur un raccordement ou pas. On ne peut en effet pas utiliser deux fois le même certificat pour se raccorder sous le même identifiant (par exemple en QUAL puis en PROD). Il y a contrôle des doublons.

 

 

 

Pour exporter un certificat au format PKCS7 sur un navigateur EDGE :

 

1. Ouvrir le navigateur
2. Cliquer sur les trois petits points en haut à droite puis sélectionner « Paramètres »

 

 

3. Taper « certificat » dans la barre de rechercher puis cliquer sur « Gérer les certificats »

 

 

4. Cliquer sur « Exporter ». L’assistant d’importation du certificat s’ouvre.
5. Sélectionner l’option « Non. Ne pas exporter la clef privée » puis cliquer sur suivant.

 

 

6. Sélectionner le format #PKCS7 et cocher la case « Inclure tous les certificats dans le chemin d’accès de certification si possible », puis cliquer sur Suivant.

 

 

7. Indiquer l’emplacement de sauvegarde de son certificat au format #PKCS7 et cliquer sur Suivant, puis « Terminer » pour valider l’export du certificat. Un message de confirmation de réussite de l’export apparait.

 

 

 

Quel que soit le protocole choisi, vous devrez fournir des certificats d'authentification serveur. Attention, il existe deux types de certificats d'authentification : serveur et personnes. N'utilisez pas de certificats d'authentification de personnes, car ils ne seront pas acceptés.

 

Si vous souhaitez échanger des flux signés, vous devrez fournir un certificat supplémentaire dédié à la signature.

 

7.1        Certificats utilisés pour la signature des flux

 

Vous devrez fournir ce certificat UNIQUEMENT si vous avez opté pour échanger des flux signés. Ce certificat est indépendant du protocole choisi et doit répondre à la caractéristique suivante :  Certificat Cachet serveur sans heure

 

 

 

Cliquer ici pour télécharger les certificats AIFE

 

Un certificat ayant une durée de validité limitée, il importe de le renouveler périodiquement, pour pouvoir maintenir actif son raccordement. Pour ce faire, à l’approche de l’expiration de son certificat, l’organisme ayant assuré le raccordement (l’entité raccordée ou bien son prestataire de raccordement) doit acquérir un nouveau certificat, puis se rendre sur le portail de services Chorus Pro, dans le domaine « Raccordements » puis l’application « EDI ».

 

Ensuite, il convient de sélectionner « Rechercher fiche EDI» et de lancer une recherche pour retrouver la fiche initialement réalisée pour son raccordement : dans le bloc " Critères de recherche ", dans le champ " Période de raccordement ", effacer la date pré-remplie puis cliquer sur le bouton " Rechercher " en bas de page.

 

 

Dans le bloc " Résultats de la recherche ", colonne " Actions ", cliquer sur le " crayon ".

Sur la nouvelle page, dans le bloc " Certificat ", cliquer sur " Mettre à jour le certificat ".

 

Cliquer ensuite sur le bouton dans le champ " Choix du fichier à importer " afin de rechercher sur votre ordinateur le certificat à jour au format PKCS#7. Cliquer ensuite sur " Valider ". Il est nécessaire d’attendre entre 2h et 24h pour que la mise à jour soit prise en compte. La fiche repasse alors au statut « active ».