Configurer les certificats AS2
Les certificats numériques proposent une sécurité à plusieurs niveaux différents au cours du processus d'échange de message AS2. Dans le contexte des communications AS2, les certificats peuvent être utilisés pour (mais ne se limitent pas à) les buts suivants :
•Chiffrage de message AS2
•Signature de messages AS2
•Vérification de signature AS2
FlowForce Server dispose d'un store de certificat indépendant du store de certificat du système d'exploitation dans lequel FlowForce Server est exécuté. Dans FlowForce Server, les certificats sont stockés dans des conteneurs (et bénéficient donc du même mécanisme d'accès d'utilisateur que d'autres objets sur FlowForce, voir Comment fonctionnent les permissions). Tous les certificats privé ou public dont vous avez besoin pour le processus AS2 doit être importé dans FlowForce Server (vous pouvez décider ce que les conteneurs cibles doivent être et quels utilisateurs doivent pouvoir les accès).
Pour le chiffrage de message AS2 et vérification de signature, les étapes de configuration sont comme suit :
1.Obtenir de la part de votre partenaire commercial le certificat public utilisé pour le chiffrage ou la vérification de signature. Cela sera souvent le même certificat.
2.Importer le certificat dans le store de certificat FlowForce Server, comme indiqué ci-dessous. Vous devrez vous référer à ce certificat lors de la création des détails de partenaire dans FlowForce (voir Configurer les partenaires AS2).
Pour la signature et le déchiffrage du message AS2, les étapes de configuration sont les suivantes :
1.Créer le certificat public de votre entreprise, et la clé privée (dans un programme externe à FlowForce Server). Si le certificat à signer de votre entreprise existe déjà dans le store de certificat du système d'exploitation, il faut l'exporter dans un fichier (le fichier doit contenir aussi bien certificat public et la clé privée). Pour obtenir des instructions pour procéder sur Windows, voir https://technet.microsoft.com/en-us/library/cc754329(v=ws.11).aspx. Pour Linux, les fichiers de certificat doivent être copiés depuis le répertoire qui fonctionne en tant que store de certificat, par exemple /etc/ssl/private or /etc/ssl/certs sur Ubuntu. Pour macOS, voir https://support.apple.com/kb/PH20122?locale=en_US.
2.Envoyer le certificat public (sans la clé privée) vers le partenaire. La clé privée ne doit être partagée avec personne qui est étrangère à votre entreprise.
3.Importer le certificat (avec la clé privée) dans le store de certificat de FlowForce Server, comme indiqué ci-dessous.
Si le partenaire enverra des MDNs signés, le certificat public du partenaire (requis pour vérifier la signature MDN) doit aussi être importé dans FlowForce. À nouveau, vous devrez vous référer à ce certificat lors de la création de l'objet du partenaire, voir Configurer les partenaires AS2.
Pour importer un certificat dans FlowForce Server :
1.Se connecter sur l'Interface d'administration Web FlowForce Server.
2.Cliquer sur Configuration, puis naviguer vers le conteneur dans lequel vous souhaitez créer le certificat.
Note : | Par défaut, le conteneur "Public" est accessible à tous les utilisateurs authentifiés de FlowForce Server, il ne convient donc pas nécessairement au stockage d'informations sensibles. Nous vous recommandons soit de limiter l'accès au conteneur "Public", soit de définir les objets sensibles dans un conteneur séparé auquel seul les utilisateurs autorisés ont la permission d'accès, voir Permissions et conteneurs. |
3.Cliquer sur Créer, puis sur Créer certificat.
4.Saisir un nom, et en option, une description pour la certificat. Choisissez un nom descriptif pour identifier plus facilement le certificat plus tard. La description peut être changée ultérieurement.
5.Cliquer sur Chercher et choisir le fichier de certificat.
Le fichier importé doit être dans le format PEM, DER ou PKCS#12 (à ne pas confondre avec l'extension de fichier). L'extension de fichier peut avoir une des extensions suivante : .pem, .der, .cer, .crt, pfx, p12. FlowForce traitera le fichier comme suit :
•Le fichier est traité comme format PEM si l’extension est .pem, .cer, .crt, et que le fichier contient une ligne qui commence par "-----BEGIN " ou "---- BEGIN ". •Le fichier est traité en tant que format DER si l'extension est .der, .cer, .crt et le fichier ne contient pas la ligne ci-dessus. •Le fichier est traité comme PKCS#12 si l’extension est .p12 ou .pfx.
Les fichiers qui contiennent uniquement une clé privée (mais pas le certificat) ne peuvent pas être importés. |
6.Si le fichier de certificat contient une clé privée qui requiert un mot de passe, saisir le mot de passe dans le champ correspondant. Si le fichier de certificat contient une clé privée non protégée, cliquez sur Supprimer pour omettre ce champ.
7.Cliquez sur Enregistrer.
Si le certificat a été importé avec succès, ses détails sont affichés dans la page, par exemple :
Puisque les certificats expirent au bout d'un certain temps vous devrez également régulièrement les remplacer depuis l'interface d'administration Web de FlowForce Server. Cela s'applique aussi bien aux certificats créés par votre entreprise que ceux que vous avez reçu de la part de votre partenaire commercial. (Nous partons du principe que votre partenaire principal vous informera lorsque leur certificat public expire, et vous envoie le nouveau certificat. De même, vous devriez informer le partenaire commercial lorsque votre certificat public expire et lui envoyer le nouveau.) Cette date d’expiration du certificat et les autres informations pertinentes peuvent être vues depuis l’interface d’administration Web (après avoir importé le certificat dans FlowForce Server).
Lorsque vous remplacez un certificat dans FlowForce Server, le changement touchera les partenaires utilisant ce certificat. Afin d'assurer l'intégrité de vos opérations AS2, pensez à toujours coordonner les modifications des certificats de votre entreprise avec vos partenaires commerciaux à l'avance. |
Pour remplacer un certificat :
1.Une fois s'être connecté à FlowForce Server, cliquez sur Configuration, puis se rendre dans le conteneur dans lequel se trouve le certificat.
2.Cliquer sur l'entrée du certificat. La page de détail du certificat charge.
3.Cliquer sur Importer certificat.
4.Cliquer sur Chercher et choisir le nouveau certificat.
5.Cliquez sur Enregistrer. Ceci remplace d’ancien certificat avec le nouveau.
Les certificats précédemment importés dans FlowForce Server peuvent être supprimés comme d’autres objets FlowForce Server (sélectionnez la case à cocher à côté de ‘enregistrement spécifique, puis cliquez Supprimer). Il n'est pas possible de cloner ou d'exporter des certificats.
Pour voir un exemple d'un échange AS2 comprenant deux partenaires commerciaux qui échangent des certificats pour signature et pour cryptage, voir Exemple : Échange de message AS2 complet (Avancé).