Configurer les certificats AS2

www.altova.com Imprimer cette rubrique Page précédente Un niveau supérieur Page suivante

Accueil >  Intégration AS2  >

Configurer les certificats AS2

Les certificats numériques proposent une sécurité à plusieurs niveaux différents au cours du processus d'échange de message AS2. Dans le contexte des communications AS2, les certificats peuvent être utilisés pour (mais ne se limitent pas à) les buts suivants :

 

Chiffrage de message AS2
Signature de messages AS2
Vérification de signature AS2

 

FlowForce Server dispose d'un store de certificat indépendant du store de certificat du système d'exploitation dans lequel FlowForce Server est exécuté. Dans FlowForce Server, les certificats sont stockés dans des conteneurs (et bénéficient donc du même mécanisme d'accès d'utilisateur que d'autres objets sur FlowForce, voir Comment fonctionnent les permissions). Tous les certificats privé ou public dont vous avez besoin pour le processus AS2 doit être importé dans FlowForce Server (vous pouvez décider ce que les conteneurs cibles doivent être et quels utilisateurs doivent pouvoir les accès).

 

Pour le chiffrage de message AS2 et vérification de signature, les étapes de configuration sont comme suit :

 

1.Obtenir de la part de votre partenaire commercial le certificat public utilisé pour le chiffrage ou la vérification de signature. Cela sera souvent le même certificat.
2.Importer le certificat dans le store de certificat FlowForce Server, comme indiqué ci-dessous. Vous devrez vous référer à ce certificat lors de la création des détails de partenaire dans FlowForce (voir Configurer les partenaires AS2).

 

Pour la signature de message AS2, les étapes de configuration sont les suivantes :

 

1.Créer le certificat public de votre entreprise, et la clé privée (dans un programme externe à FlowForce Server). Si le certificat à signer de votre entreprise existe déjà dans le store de certificat du système d'exploitation, il faut l'exporter dans un fichier (le fichier doit contenir aussi bien certificat public et la clé privée). Pour obtenir des instructions pour procéder sur Windows, voir https://technet.microsoft.com/en-us/library/cc754329(v=ws.11).aspx. Pour Linux, les fichiers de certificat doivent être copiés depuis le répertoire qui fonctionne en tant que store de certificat, par exemple /etc/ssl/private or /etc/ssl/certs sur Ubuntu. Pour macOS, voir https://support.apple.com/kb/PH20122?locale=en_US.
2.Envoyer le certificat public (sans la clé privée) vers le partenaire. La clé privée ne doit être partagée avec personne étrangère à votre entreprise.
3.Importer le certificat (avec la clé privée) dans le store de certificat de FlowForce Server, comme indiqué ci-dessous.

 

Si le partenaire enverra des MDNs signés, le certificat public du partenaire (requis pour vérifier la signature MDN) doit aussi être importé dans FlowForce. À nouveau, vous devrez vous référer à ce certificat lors de la création de l'objet du partenaire, voir Configurer les partenaires AS2.

 

 

Pour importer un certificat dans FlowForce Server :

1.Se connecter sur Interface d'Administration Web de FlowForce Server.
2.Cliquer sur Configuration, puis naviguer vers le conteneur dans lequel vous souhaitez créer le certificat.

 

Note :Par défaut, le conteneur "Public" est accessible à tous les utilisateurs authentifiés de FlowForce Server, il ne convient donc pas nécessairement au stockage d'informations sensibles. Nous vous recommandons soit de limiter l'accès au conteneur "Public", soit de définir les objets sensibles dans un conteneur séparé auquel seul les utilisateurs autorisés ont la permission d'accès, voir Permissions et conteneurs.

 

3.Cliquer sur Créer, puis sur Créer certificat.

ff_as2_import_certificate_1

4.Saisir un nom et, en option, une description du certificat (choisir un nom descriptif pour identifier aisément le certificat ultérieurement).
5.Cliquer sur Parcourir et choisir le fichier de certificat.

 

Le fichier importé doit être dans le format PEM, DER ou PKCS#12 (à ne pas confondre avec l'extension de fichier). L'extension de fichier peut avoir une des extensions suivante : .pem, .der, .cer, .crt, pfx, p12. FlowForce traitera le fichier comme suit :

 

Le fichier est traité en tant que format PEM si l'extension est .pem, .cer, .crt, et le fichier contient une ligne qui commence avec "-----BEGIN " or "---- BEGIN ".
Le fichier est traité en tant que format DER si l'extension est .der, .cer, .crt et le fichier ne contient pas la ligne ci-dessus.
Le fichier est traité en tant que PKCS#12 si l'extension est .p12 ou .pfx.

 

Les fichiers qui contiennent uniquement une clé privée (mais pas le certificat) ne peut pas être importé.

 

6.Si le fichier de certificat contient une clé privée qui requiert un mot de passe, saisir le mot de passe dans le champ correspondant. Si le fichier de certificat contient une clé privée non protégée, cliquer sur Supprimer delete pour omettre ce champ.
7.Cliquer sur Enregistrer.

 

Si le certificat a été importé correctement, ses détails sont affichés dans la page, par exemple :

ff_as2_import_certificate_2

 

Puisque les certificats expirent au bout d'un certain temps vous devrez également régulièrement les remplacer depuis l'interface d'administration Web de FlowForce Server. Cela s'applique aussi bien aux certificats créés par votre entreprise que ceux que vous avez reçu de la part de votre partenaire commercial. (Nous partons du principe que votre partenaire principal vous informera lorsque leur certificat public expire, et vous envoie le nouveau certificat. De même, vous devriez informer le partenaire commercial lorsque votre certificat public expire et lui envoyer le nouveau.) La date d'expiration du certificat et les autres informations y touchant peuvent être consultées depuis l'interface d'administration Web (après avoir importé le certificat dans FlowForce Server).

 

Lorsque vous remplacez un certificat dans FlowForce Server, le changement touchera les partenaires utilisant ce certificat. Afin d'assurer l'intégrité de vos opérations AS2, pensez à toujours coordonner les modifications des certificats de votre entreprise avec vos partenaires commerciaux à l'avance.

 

Pour remplacer un certificat :

1.Une fois s'être connecté à FlowForce Server, cliquer sur Configuration, puis se rendre dans le conteneur dans lequel se trouve le certificat.
2.Cliquer sur l'entrée du certificat. La page de détail du certificat charge.
3.Cliquer sur Changer.
4.Cliquer sur Parcourir et suivre les mêmes étapes que ci-dessus pour l'importation des certificats.

 

Les certificats qui ont été importés précédemment dans FlowForce Server peuvent être supprimés comme tous les autres objets FlowForce Server (choisir la case à cocher se trouvant à côté de l'entrée spécifique, puis cliquer sur Supprimer). Il n'est pas possible de cloner ou d'exporter des certificats.

 

Pour voir un exemple d'un échange AS2 comprenant deux partenaires commerciaux qui échangent des certificats pour signature et pour cryptage, voir Exemple : Échange de message AS2 complet (Avancé).


© 2019 Altova GmbH