IGC-Santé - Etapes 1 et 2

Transcription

1 IGC-Santé - Etapes 1 et 2 Les gabarits des certificats X.509 et des CRLs Certificats logiciels et Certificats embarqués dans les cartes CPx Identification du document Référence ASIPSanté - IGC-Santé - Certificats X.509 et CRL - Etape 1 et 2 - V1.0.0.docx Date de création 18/04/2016 Date de dernière mise à jour 21/10/2016 Etat Validé Rédaction (R) ASIP Santé / PTS / PSCE Version V Vérification ASIP Santé / PTS / PSCE Validation finale (A) ASIP Santé / PTS / PSCE Classification Non sensible - public Nombre de pages 67

2 Documents de référence ASIP-Santé [1] Politiques de Certification (PC) de l IGC-Santé Dernières versions publiées sur : [2] Annuaire CPS Schéma DIT Version du 30/07/2014 (ou supérieure) Standards applicables [3] RFC Internet X.509 Public Key Infrastructure Certificate and CRL Profile Mai 2008 (Ce document annule et remplace les RFC-2459 et 3280) [4] RFC LDAP - String presentation of Distinguished Names Juin 2006 (Ce document annule et remplace les RFC-2253) Classification : Document public 2 / 67

3 Sommaire 1 Introduction L architecture de l IGC-Santé Schéma de nommage des Autorités de Certification Gamme Elémentaire Gamme Standard Gamme Fort Schéma de nommage des porteurs dans les certificats Schéma de nommage des personnes physiques Schéma de nommage des certificats d organisation Représentation d un DN sous la forme d une chaîne de texte Les DN des certificats utilisateur et l Annuaire CPS Les gabarits des certificats de l IGC-Santé La structure d'un certificat X.509 version Les champs de base Les extensions de certificat Les différents types d extension Conventions de notation pour les gabarits des certificats Les certificats Racine de l IGC-Santé Les certificats des AC Intermédiaires de l IGC-Santé Les certificats OCSP des AC Intermédiaires Les certificats logiciels pour personnes physiques Certificats de signature et d authentification d une personne physique Certificat de chiffrement d une personne physique Les certificats embarqués dans le volet IAS des cartes CPx Certificats de signature et d authentification embarqués dans une CPx Certificat d authentification CPx sans contact Les certificats logiciels pour des organisations Certificats de cachet et d authentification d une structure Certificats d authentification serveur et de chiffrement d une structure Certificat S/MIME d une structure Les structures des CRLs de l IGC-Santé La structure d'une CRL X.509 version Les champs de base Extensions d entrée de CRL Extensions de CRL Les structures des CRL de l IGC-Santé La structure des CRL La structure des delta-crl L IGC-Santé de Test Schéma de nommage des AC de Test Différences entre les certificats de Production des certificats de Test Comment distinguer les certificats de Production des certificats de Test? Annexe 1 Conventions, Abréviations et définitions A 1.1 Conventions de notation Classification : Document public 3 / 67

4 A 1.2 Définitions A 1.3 Abréviations Annexe 2 La syntaxe des certificats et CRL de l IGC-Santé A 2.1 La syntaxe des Certificats X.509 v3 de l IGC-Santé A Extensions standards utilisées dans les certificats de l IGC-Santé A Extensions privées utilisées dans les certificats de l IGC-Santé A 2.2 La syntaxe des CRL de l IGC-Santé A crlentryextensions A crlextensions Annexe 3 Les identifiants d objet (OID) A 3.1 Les identifiants d'objet standards utilisés dans l IGC-Santé A 3.2 Les identifiants d'objets privés utilisés dans l IGC-Santé A Les identifiants d'objets attribués par le GIP-CPS A Les identifiants d'objets attribués par l ASIP-Santé Annexe 4 Les URL référencés dans les certificats de l IGC-Santé A 4.1 Les URL dans les certificats de Production A Production : Les URL pointant vers les certificats ACR et ACI A Production : Les URL des CRL (crldistribitionpoints) A Production : Les URL des delta-crl (freshestcrl) A Production : Les URL divers A 4.2 Les URL dans les certificats de Test A Test : Les URL pointant vers les certificats ACR et ACI A Test : Les URL des CRL (crldistribitionpoints) A Test : Les URL des delta-crl (freshestcrl) A Test : Les URL divers Annexe 5 Gestion des objets ASN A 5.1 Les grands principes de l ASN A La notation ASN A Codification des objets en ASN A Codification des tags A Valeurs des TAGs universels A Codification des longueurs des objets A Précisions sur la construction d'objets Annexe 6 Exemples de codage dans les certificats de l IGC-Santé A 6.1 Exemples de codage des DN des porteurs de certificats A Exemples de codage des DN des Personnes physiques A Exemples de codage des DN des Organisations A 6.2 Exemples de codage des extensions privées A Exemple de codage de «productcategory» A Exemple de codage de «producttype» A Exemple de codage de «tokenid» A Exemple de codage de «professioncode» A Exemple de codage de «futureprofessioncode» A Exemple de codage de «oldps_idnat» A Exemple de codage de «specialitesrpps» A Exemple de codage de «tableauxpharmacien» A Exemple de codage de «SubjectAltName» avec UPN pour une CPx Classification : Document public 4 / 67

5 1 Introduction L ASIP-Santé prépare la mise en place de l IGC-Santé dont la nouvelle offre de produits de certification répond aux enjeux suivants : Emettre sous une IGC unique l ensemble des produits de certification de l ASIP Santé ; Offrir, quand l offre produits sera complètement déployée, un recouvrement total avec les usages des IGC actuelles (IGC-CPS2bis et IGC-CPS2ter) ; Offrir des niveaux de confiance adaptés aux contextes d utilisations ; Permettre une modularité des usages en fonction de l utilisateur final ; Offrir des mécanismes cryptographiques au niveau de l état de l art. L IGC-Santé sera mise en place en plusieurs étapes : Etape 1 : Mise en production de l IGC-Santé sur la nouvelle Plateforme de Fourniture de Certificats dite «PFC-NG» (Plateforme de Fourniture de Certificats - Nouvelle Génération) o o reprise du périmètre fonctionnel de l IGC-CPS2bis (certificats logiciels des Classes 4 et 5 à l exception de la Classe-6), extension de l offre actuelle avec des certificats logiciels pour personnes physiques et organisations. Etape 2 : o production de cartes CPS3 avec des certificats IGC-Santé embarqués dans le volet IAS (arrêt de l IGC-CPS2ter - certificats des Classes 0 à 3), Le présent document ne spécifie que l offre de produits correspondant aux étapes 1 et 2 Classification : Document public 5 / 67

6 1.1 L architecture de l IGC-Santé L architecture de l IGC-Santé offre 3 gammes de certificats, correspondant à autant de niveaux de confiance : Gamme «Fort» : o La Gamme Fort ne délivrera que des certificats à embarquer sur des cartes CPx ; o La qualité de l enregistrement des identités est garantie par des référentiels opposables. Gamme «Standard» : o La Gamme Fort ne délivrera que des certificats à embarquer sur des cartes CPx ; o La qualité de l enregistrement des identités n est pas garantie par des référentiels opposables. Gamme «Elémentaire» : o La Gamme Elémentaire ne délivrera que des certificats logiciels et des certificats pour les cartes de service. Chaque gamme dispose de 2 domaines : Domaine «Personnes», pour les personnes physiques. Les certificats peuvent être embarqués dans des cartes CPx ou être «logiciels». Domaine «Organisations», pour les structures. Les certificats sont «logiciels». Le schéma ci-dessus montre l architecture de l IGC-Santé et les potentiels porteurs de certificats. AC Racine «ELEMENTAIRE» AC Racine «STANDARD» AC Racine «FORT» ACI PERSONNES ACI ORGANISATIONS Professionnels réglementés Métier Personnes morales Infrastructure Équipements matériels Personnels de structures Santé/Social Entités organisationnelles Services techniques Personnels d autres structures Entités fonctionnelles Composants techniques L architecture de l IGC-Santé Notes : Les Gammes Standard et Fort émettront uniquement des certificats dans le Domaine Personnes à embarquer dans des cartes CPx ; elles n émettront donc pas de certificats dans le Domaine Organisations. Les certificats de test sont émis par une IGC de test (avec une hiérarchie identique) pour assurer un cloisonnement par rapport à l IGC de production. Classification : Document public 6 / 67

7 2 Schéma de nommage des Autorités de Certification L émetteur (issuer) et le porteur (subject) dans chaque certificat X.509 sont chacun identifiés par un Distinguished Name (DN) qui est unique dans l IGC-Santé. Ce paragraphe traite du nommage des Autorités de Certification Racine (ACR) de chaque gamme et de celui des Autorités de Certification Intermédiaire (ACI) de chaque Domaine. Note : Pour le schéma de nommage de l IGC-Santé de Test, cf. 6 «L IGC-Santé de Test». 2.1 Gamme Elémentaire Nom gabarit EL-ACR EL-PP-ACI EL-ORG-ACI DN des Autorités de Certification DN du certificat racine Elémentaire c= FR o= ASIP-SANTE ou= ou= IGC-SANTE cn= AC RACINE IGC-SANTE ELEMENTAIRE DN du certificat racine intermédiaire - Personnes Physiques c= FR o= ASIP-SANTE ou= ou= IGC-SANTE cn= AC IGC-SANTE ELEMENTAIRE PERSONNES DN du certificat racine intermédiaire - Organisations c= FR o= ASIP-SANTE ou= ou= IGC-SANTE cn= AC IGC-SANTE ELEMENTAIRE ORGANISATIONS Classification : Document public 7 / 67

8 2.2 Gamme Standard Nom gabarit ST-ACR ST-PP-ACI ST-ORG-ACI DN des Autorités de Certification DN du certificat racine Standard c= FR o= ASIP-SANTE ou= ou= IGC-SANTE cn= AC RACINE IGC-SANTE STANDARD DN du certificat racine intermédiaire - Personnes Physiques c= FR o= ASIP-SANTE ou= ou= IGC-SANTE cn= AC IGC-SANTE STANDARD PERSONNES DN du certificat racine intermédiaire - Organisations c= FR o= ASIP-SANTE ou= ou= IGC-SANTE cn= AC IGC-SANTE STANDARD ORGANISATIONS 2.3 Gamme Fort Nom gabarit FO-ACR FO-PP-ACI DN des Autorités de Certification DN du certificat racine Fort c= FR o= ASIP-SANTE ou= ou= IGC-SANTE cn= AC RACINE IGC-SANTE FORT DN du certificat racine intermédiaire - Personnes Physiques c= FR o= ASIP-SANTE ou= ou= IGC-SANTE cn= AC IGC-SANTE FORT PERSONNES Note : Il n y a pas de Domaine Organisations dans la Gamme Fort. Classification : Document public 8 / 67

9 3 Schéma de nommage des porteurs dans les certificats L émetteur (issuer) et le porteur (subject) dans chaque certificat X.509 sont chacun identifiés par un Distinguished Name (DN) qui est unique dans l IGC-Santé. Ce paragraphe traite du nommage des porteurs dans les certificats utilisateur. L IGC-Santé distingue les porteurs de certificats utilisateur suivants : Personnes physiques (Domaines Personnes) : o o o Professionnel de Santé réglementé et Professionnel de Santé en Formation Le DN contient l identité nationale du porteur, il est indépendant de toute activité professionnelle ; Professionnel de Santé réglementé et Professionnel de Santé en Formation rattaché à une structure Le DN contient l identité nationale du porteur ainsi que celle de la structure à laquelle le porteur est rattaché (où il exerce une activité professionnelle) ; Personnel de structure Le DN contient l identité nationale du porteur, employé d une structure, ainsi que celle de la structure de l employeur ; o Carte de service attachée à une structure nouveau, étape 2 Le DN contient l identité nationale d un pseudonyme attribué par la structure (la carte n est pas détenue par une personne nominative) ainsi que celle de la structure elle-même. Organisations (Domaines Organisations) : o Structure Le DN contient l identité nationale de la structure ; o Carte CPx certificat d authentification pour mode sans contact nouveau, étape 2 Le DN est celui d un certificat d authentification sans contact, il est lié à l objet carte et ne contient aucune information concernant son porteur. Notes : L authentification CPx en mode sans contact est considérée comme une fonction liée à une structure (le certificat correspondant contient l identité du support et non celle du porteur de la carte). C est pour cette raison que ces certificats sont émis dans le Domaine Organisations de la Gamme Elémentaire. Dans la suite du présent document on distingue 2 catégories de structures : o Les «structures santé ou social» : ces structures font traditionnellement partie du périmètre où les personnes ont droit aux cartes CPS, CPF, CDE et CPE (nominatives) et aux certificats logiciels de l IGC-Santé. o Les «structures autorisées» : ces structures ne prennent pas en charge des patients. Néanmoins, sur dossier, certaines structures peuvent être autorisées à demander des cartes de type CDA et CPA ainsi que des certificats logiciels de l IGC-Santé. Exemples : les hébergeurs de données de santé agréés et les organisations d Assurance Maladie. Les RDN dans les tableaux ci-après respectent le même ordre que celui dans les certificats. Classification : Document public 9 / 67

10 3.1 Schéma de nommage des personnes physiques Toute personne physique : professionnel de santé, employé ou pseudonyme dispose d une identité nationale unique, désigné par «PS_IdNat». DN de personnes physiques Professionnel de Santé réglementé ou Professionnel de Santé en Formation c= FR title= < Profession ou Future Profession > gn= < prénom usuel > sn= < nom d'exercice > Les RDN gn, sn et cn sont groupés dans un RDN composé cn= < PS_IdNat > Professionnel de Santé réglementé ou Professionnel de Santé en Formation rattaché à une structure c= FR st= < Nom département (N ) > o= < Raison sociale Structure > ou= < Struct_IdNat > title= < Profession > ou < Future Profession > gn= < prénom usuel > sn= < nom d'exercice > Les RDN gn, sn et cn sont groupés dans un RDN composé cn= < PS_IdNat > Personnel de structure c= FR st= < Nom département (N ) > o= < Raison sociale Structure > ou= < Struct_IdNat > title= «Personnel santé ou social» ou «Personnel autorisé» * gn= < prénom usuel > sn= < nom d'exercice > Les RDN gn, sn et cn sont groupés dans un RDN composé cn= < PS_IdNat > Carte de Service attachée à une Structure nouveau, étape 2 c= FR st= < Nom département (N ) > o= < Raison sociale Structure > ou= < Struct_IdNat > title= «Carte de service santé ou social» ou «Carte de service autorisée» * pseudo = < pseudonyme > cn= < PS_IdNat > Les RDN pseudo et cn sont groupés dans un RDN composé * : Le texte dépend de la nature de la structure de rattachement, respectivement une «structure santé ou social» ou une «structure autorisée». Notes : Un RDN composé est encodé en respectant le standard ASN.1 DER 1. Par conséquent, l ordre des attributs peut varier d un certificat à un autre. Pour la codification des RDN composés, se reporter à l Annexe 6 «Exemples de codage dans les certificats de l IGC-Santé». L identifiant du porteur d une Carte de Service n étant pas nominatif, leurs porteurs ne peuvent pas demander des certificats logiciels. 1 DER = Distinguished Encoding Rules, cf. standard ITU-T X cf Classification : Document public 10 / 67

11 3.2 Schéma de nommage des certificats d organisation Toute structure dispose d une identité nationale unique, désigné par «Struct_IdNat». DN des certificats détenus par des organisations DN d un certificat applicatif de structure c= FR st= < Nom département (N )> o= < Raison sociale Structure > ou= < Struct_IdNat > cn= < Nom applicatif > DN d un certificat d authentification CPx pour mode sans contact nouveau, étape 2 c= FR o= ASIP-SANTE cn= < IAS Serial Number > Note : Pour les certificats de type «serveur SSL», le < Nom applicatif > doit contenir un FQDN, pour les autres certificats, ce nom peut être librement défini par son demandeur. 3.3 Représentation d un DN sous la forme d une chaîne de texte Lorsqu on doit renseigner un DN sous la forme d une chaîne de texte, par exemple dans un champ du VIHF pour accéder au DMP d un patient, il faut respecter le standard [4] «RFC LDAP - String presentation of Distinguished Names». Rappel des règles de RFC-4514 : Chaîne de texte en format UTF-8 ; Les RDN (chaînes séparées par des ",") contenant les attributs doivent apparaître dans l'ordre inverse du certificat ; Les attributs à l intérieur d un RDN composé sont séparés par des "+". Dans la chaîne de texte, l ordre des attributs à l'intérieur d'un RDN composé est indifférent. Toutefois pour plus de cohérence, il est conseillé de respecter l ordre inverse comme pour les autres RDN ; En principe, la chaîne ne doit pas contenir d espaces avant et après les séparateurs («,» et «+»). Le DN de médecin Jean DUPONT avec l identifiant RPPS peut donc avoir plusieurs représentations : cn= sn=dupont+gn=jean,titre=médecin,c=fr ou sn=dupont+gn=jean+cn= ,titre=médecin,c=fr ou gn=jean+sn=dupont+cn= ,titre=médecin,c=fr etc. (6 combinaisons possibles) Classification : Document public 11 / 67

12 3.4 Les DN des certificats utilisateur et l Annuaire CPS Les certificats de l IGC-Santé sont publiés dans l Annuaire-CPS dont, à terme, le RASS (Répertoire des Acteurs Santé-Sociale) va prendre la relève. Pour cette raison, les DN (Distinguished Names) des certificats utilisateurs de l IGC-Santé ont été redéfinis afin de mieux respecter les pratiques courantes quant à l usage des RDN (Relative Distinguished Names). Les DN des certificats utilisateur de l IGC-Santé ne correspondent plus au DIT (Directory Information Tree) de l Annuaire-CPS actuel. Il n est donc plus possible de faire des recherches LDAP en utilisant des DN des certificats utilisateur «tels quels». Les clés uniques d accès aux personnes physiques et structures sont leurs identifiants nationaux, respectivement PS_IdNat et Struct_IdNat. Le schéma ci-dessous montre le DIT de l Annuaire-CPS [2] avec des exemples de certificats utilisateur. c=fr o=gip-cps (o=asip-sante) ou=médecin Professions ou=pharmacien Départements locality=ain (01) locality=paris (75) Personnel de Structure Structures dans le département AIN ou=<idnat_struct 1> ou=<idnat_struct 2> cn=<idnat_ps> gn=jean sn=dupont cn=<idnat_ps> gn=<prénom> sn=<nom> cn=<idnat_ps> Pseudo=<pseudo> cn=<idnat_ps> gn=<prénom> sn=<nom> cn=serv1.asipsante.fr c=fr title=médecin cn=<idnat_ps> gn=jean sn=dupont c=fr state=ain (01) o=<raison sociale> ou=<idnat_struct 1> title=personnel Santé Social cn=<idnat_ps> gn=alain sn=decroix c=fr state=ain (01) o=<raison sociale> ou=<idnat_struct 1> title=carte de Service Pseudo=Employé 01 cn=<idnat_ps> c=fr state=ain (01) o=<raison sociale> ou=<idnat_struct 1> title=médecin cn=<idnat_ps> gn=jean sn=dupont c=fr state=ain (01) o=asipsante ou=<idnat_struct 2> cn=serv1.asipsante.fr Certificat de Dr. Jean DUPONT Certificat de Alain DECROIX Personnel de structure Certificat d une carte de service Ces certificats ne sont pas publiés dans l Annuaire-CPS Certificat de Dr. Jean DUPONT Rattaché à une structure Certificat SSL serveur Nom = serv1.asipsante.fr Les textes en rouge mettent en évidence les différences entre le DIT de l Annuaire-CPS et les DN des certificats utilisateur : Les certificats ne contiennent plus le RDN «o=gip-cps» ; Notes : Pour les certificats PS et PF, la < (future) Profession > est dorénavant renseignée dans le RDN «title» ; Pour les certificats des personnes dans les structures et les certificats de structure : o Le < Département (N ) > est dorénavant renseigné dans le RDN «state» ; o Ils contiennent un nouveau RDN «organisation» renseigné avec la < Raison sociale >. Il est déconseillé d utiliser la Raison sociale dans les recherches LDAP ; seul l identifiant national de la structure (Struct_IdNat) est garanti unique et stable dans le temps. Il est déconseillé d utiliser des RDN composés (cn=<ps_idnat>+sn=<nom d exercice>+gn=<prénom usuel>) dans les recherches LDAP ; il est possible d utiliser les RDN cn, sn et gn individuellement. Classification : Document public 12 / 67

13 4 Les gabarits des certificats de l IGC-Santé 4.1 La structure d'un certificat X.509 version 3 Un certificat est composé de 2 parties : Les données à certifier (TBS = To Be Signed). Elles contiennent les champs de base et les extensions. La signature du certificat : sa valeur et les informations sur l algorithme de signature. CERTIFICAT TBS To Be Signed Version 3 Numéro de série du certificat Informations sur l algorithme de signature du certificat Nom de l émetteur du certificat Période de validité du certificat Nom du porteur de certificat Clé publique du porteur de certificat Extensions du Certificat Identifiant du type de l extension Criticité (oui / non) Valeur Identifiant du type de l extension Criticité (oui / non) Valeur Identifiant du type de l extension Criticité (oui / non) Valeur Signature du certificat par l AC Informations sur l algorithme de signature du certificat Valeur de la signature numérique du certificat par l Autorité de Certification Schéma du contenu d'un certificat X.509 version 3 La syntaxe des certificats de l IGC-Santé est spécifiée en Annexe : A 2.1 «La syntaxe des Certificats X.509 v3 de l IGC-Santé» Les champs de base Les champs de base d un certificat renseignent les informations suivantes : la version de la structure du certificat (version = 3), le numéro de série, les informations sur la signature du certificat (algorithmes et paramètres), le nom de l émetteur du certificat, la période de validité du certificat, le nom du porteur de certificat, la clé publique (valeur de la clé publique, algorithme et paramètres). Classification : Document public 13 / 67

14 4.1.2 Les extensions de certificat La possibilité d ajouter des extensions à un certificat a été créée par la version 3 du standard «RFC Internet X.509 Public Key Infrastructure Certificate and CRL Profile» [3]. Une implémentation de la norme choisira parmi les extensions proposées celles qui sont pertinentes pour son application et les ajoutera aux champs de base du certificat. La séquence d extension(s) adjointe aux champs de base du certificat est une collection d éléments dont le cardinal peut être nul. Par conséquent, un certificat X.509 v3 peut ne contenir aucune extension. Si la norme définit plusieurs types d extensions, d autres extensions, dites «privées» peuvent être ajoutées pour correspondre aux besoins d une implémentation particulière. Chaque extension est caractérisée par trois informations : l identifiant de l extension considérée = ObjectIDentifier (OID), le fait que l extension soit critique ou non 2, la valeur de l extension (au format spécifié par l OID). Note : Les applications doivent tenir compte du fait que l ordre des extensions peut changer Les différents types d extension Les extensions de certificat permettent de spécifier plus précisément les caractéristiques suivantes : informations sur les clés, informations sur les politiques de certification, informations complémentaires sur l émetteur et le porteur de certificat, contraintes sur le chemin de certification. Des extensions spécifiques peuvent être définies à travers une recommandation de l ITU-T ou par un organisme qui en exprime le besoin. L identificateur de l objet qui identifie une extension peut alors être défini selon la procédure décrite dans la norme ISO Conventions de notation pour les gabarits des certificats Dans les gabarits des certificats spécifiés dans ce document, le sigle < Gamme > symbolise une des gammes suivantes : Elémentaire, Standard ou Fort. et le sigle < Domaine > symbolise un des domaines suivants : Personnes ou Organisations. Le champ «certpolicyid» dans l extension certificatepolicies est une information composée : en fonction de la gamme, < GG > prend les valeurs suivantes : si gamme = Elémentaire : < GG > = EL si gamme = Standard : < GG > = ST si gamme = Fort : < GG > = FO en fonction du domaine, < DD > prend les valeurs suivantes : si domaine = Personnes : < DD > = PP si domaine = Organisations : < DD > = ORG Une application qui souhaite identifier les certificats de l IGC-Santé d une façon unique peut s appuyer sur la chaîne texte suivante : «<GG>-<DD>-<N série>». (Il est préférable de transcoder le N de série hexadécimal vers de l ASCII.) 2 Quand une extension est critique, le vérificateur du certificat doit traiter l information qu elle contient. S il ne connaît pas sa signification de l extension, il doit systématiquement refuser le certificat. Classification : Document public 14 / 67

15 4.2 Les certificats Racine de l IGC-Santé Il y a 3 certificats racine (ACR) dans l IGC-Santé, un pour chaque gamme. Ces certificats sont auto-signés 3, ils servent : à signer les certificats AC Intermédiaires de ses domaines (Personnes et Organisations), à signer les CRL pour l éventuelle révocation des certificats ACI de ses domaines. Objet Format Données du certificat de l AC RACINE < Gamme > Certificate TbsCertificate version Integer 2 (version 3) serialnumber Integer n de certificat signature OID Sha2-WithRSAencryption PrintString c=fr o=asip-sante issuer ou= UTF8String ou=igc-sante cn=ac RACINE IGC-SANTE < Gamme > NotBefore : mardi 25 juin :00:00 validity UTC-Time NotAfter : samedi 25 juin :00:00 PrintString c=fr o=asip-sante subject ou= UTF8String ou=igc-sante cn=ac RACINE IGC-SANTE < Gamme > subjectpublickeyinfo algorithmidentifier OID RSAencryption + Paramètre (1 caractère à 0) subjectpublickey BitString clé publique de bits + exposant publique ( = 2E16+1) extensions basicconstraints critical Boolean true CA Boolean true pathlenconstraint Integer absent keyusage critical Boolean true value BitString '06' : keycertsign + crlsign certificatepolicies certpolicyid OID any-policy certpolicyqualifier OID subjectkeyid OctString SHA-1 de subjectpublickey authoritykeyid OctString authoritykeyid = subjectkeyid signaturealgorithm OID Sha2-WithRSAencryption signaturevalue BitString Signature par ACR < Gamme > 3 Un certificat "auto-signé" a les caractéristiques suivantes : - DN issuer = DN subject, - l extension authoritykeyid = subjectkeyid. Classification : Document public 15 / 67

16 4.3 Les certificats des AC Intermédiaires de l IGC-Santé Il y a 2 domaines «Personnes» et «Organisations» par gamme, sauf pour la Gamme Forte qui n a pas de Domaine «Organisations». Chaque domaine est matérialisé par un certificat d autorité intermédiaire (ACI). Ces certificats sont signés par le certificat ACR de leur gamme, ils servent : à signer les certificats utilisateur (certificats end-user et OCSP), à signer les CRL pour la révocation des certificats utilisateur. Objet Format Données du certificat de l AC Intermédiaire < Gamme > < Domaine > Certificate TbsCertificate version Integer 2 (version 3) serialnumber Integer n de certificat signature OID Sha2-WithRSAencryption PrintString c=fr o=asip-sante issuer ou= UTF8String ou=igc-sante cn=ac RACINE IGC-SANTE < Gamme > NotBefore : mardi 25 juin :00:00 validity UTC-Time NotAfter : vendredi 24 juin :00:00 PrintString c=fr o=asip-sante subject ou= UTF8String ou=igc-sante cn=ac IGC-SANTE < Gamme > < Domaine > subjectpublickeyinfo algorithmidentifier OID RSAencryption + Paramètre (1 caractère à 0) subjectpublickey BitString clé publique de bits + exposant publique ( = 2E16+1) extensions basicconstraints critical Boolean true CA Boolean true pathlenconstraint Integer 0 : ACI «terminale» keyusage critical Boolean true value BitString '06' : keycertsign + crlsign certificatepolicies certpolicyid OID any-policy certpolicyqualifier OID crldistributionpoint URL CRL ACR < Gamme > (HTTP + LDAP) subjectkeyid OctString SHA-1 de subjectpublickey authoritykeyid OctString subjectkeyid du certificat ACR < Gamme > signaturealgorithm OID Sha2-WithRSAencryption signaturevalue BitString Signature par ACR < Gamme > Classification : Document public 16 / 67

17 4.4 Les certificats OCSP des AC Intermédiaires Les certificats OCSP sont des certificats utilisateur particuliers ; ils servent à signer les réponses des répondeurs OCSP. Il y a une URL unique pour interroger le répondeur OCSP de l IGC-Santé. Toutefois, chaque domaine dispose de son propre certificat OCSP pour signer ses réponses. Objet Format Données du certificat OCSP de l ACI < Gamme > < Domaine > Gabarits : < GG >-< DD >-OCSP Certificate TbsCertificate version Integer 2 (version 3) serialnumber Integer n de certificat signature OID Sha2-WithRSAencryption PrintString c=fr o=asip-sante issuer ou= UTF8String ou=igc-sante cn=ac IGC-SANTE < Gamme > < Domaine > NotBefore : date/heure de génération validity UTC-Time NotAfter : date NotBefore + 3 mois PrintString c=fr o=asip-sante subject ou= UTF8String ou=igc-sante cn=service OCSP IGC-SANTE < Gamme > < Domaine > subjectpublickeyinfo algorithmidentifier OID RSAencryption + Paramètre (1 caractère à 0) subjectpublickey BitString clé publique de bits + exposant publique ( = 2E16+1) extensions authoritykeyid OctString subjectkeyid du certificat ACI < Gamme > < Domaine > subjectkeyid OctString SHA-1 de subjectpublickey keyusage critical Boolean true value BitString '80' : digitalsignature extendedkeyusage id-kp-ocspsigning subjectaltname extension absente certificatepolicies certpolicyid OID PC-< GG >-< DD >-OCSP certpolicyqualifier OID basicconstraints critical Boolean false CA Boolean false pathlenconstraint Integer absent crldistributionpoint extension absente authorityinfoaccess id-pkix-ocsp-nocheck = NULL URL du certificat ACI < Gamme > < Domaine > productcategory OctString '02' : Module de sécurité (production) producttype Integer extension absente tokenid PrintString extension absente signaturealgorithm OID Sha2-WithRSAencryption signaturevalue BitString Signature par ACI < Gamme > < Domaine > Classification : Document public 17 / 67

18 4.5 Les certificats logiciels pour personnes physiques L étape 1 de l IGC-Santé offre dans le Domaine «Personnes» de la Gamme «Elémentaire» les produits suivants : o certificat de signature gabarit : EL-PP-CL-SIGN, o certificat d authentification gabarit : EL-PP-CL-AUTH, o certificat de chiffrement gabarit : EL-PP-CL-CONF. Note : Il n y a pas de recouvrement de clés privées de chiffrement ni en étape 1, ni en étape 2. Classification : Document public 18 / 67

19 4.5.1 Certificats de signature et d authentification d une personne physique Objet Format Certificat de signature gabarit : EL-PP-CL-SIGN Certificat d authentification gabarit : EL-PP-CL-AUTH Certificate TbsCertificate version Integer 2 (version 3) serialnumber Integer n de certificat signature OID Sha2-WithRSAencryption PrintString c=fr o=asip-sante issuer ou= UTF8String ou=igc-sante cn=ac IGC-SANTE ELEMENTAIRE PERSONNES validity NotBefore : date de génération du certificat NotBefore : date de génération du certificat UTC-Time NotAfter : date NotBefore + 3 ans + 1 mois NotAfter : date NotBefore + 3 ans subject PrintString country UTF8String autres RDN DN d'un PS ou PF ou DN d'un PS ou PF rattaché à une structure ou DN d'un Personnel de structure subjectpublickeyinfo algorithmidentifier OID RSAencryption + Paramètre (1 caractère à 0) subjectpublickey BitString clé publique de bits + exposant publique ( = 2E16+1) extensions authoritykeyid OctString subjectkeyid du certificat ACI ELEMENTAIRE PERSONNES subjectkeyid OctString SHA-1 de subjectpublickey keyusage critical Boolean true true value BitString '40' : nonrepudiation '80' : digitalsignature extendedkeyusage id-kp- protection id-kp-clientauth + szoid_kp_smartcard_logon privkeyusageperiod GenTime NotBefore : date de génération du certificat NotAfter : date NotBefore + 3 ans extension absente subjectaltname mail - optionnel rfc822name mail - optionnel othername = UPN - optionnel certificatepolicies certpolicyid OID PC-EL-PP-CL-SIGN PC-EL-PP-CL-AUTH certpolicyqualifier OID basicconstraints critical Boolean false CA Boolean false pathlenconstraint Integer absent crldistributionpoint URL CRL ACI EL-PP (HTTP + LDAP) freshestcrl URL delta-crl ACI EL-PP (LDAP) authorityinfoaccess (répondeur OCSP) URL du certificat ACI EL-PP productcategory OctString '03' : certificat logiciel (production) producttype Integer extension absente tokenid PrintString extension absente professioncode Integer code de la profession - optionnel - que pour les PS futureprofessioncode Integer code de la future profession - optionnel - que pour les PF oldps_idnat PrintString Ancien PS_IdNat - optionnel - que pour les PS avec identifiant RPPS specialiterpps Spécialité RPPS - optionnelle - que pour les Médecins et Chirurgiens-dentistes tableauxpharmacien Tableau(x) pharmacien - optionnel(s) - que pour les Pharmaciens signaturealgorithm OID Sha2-WithRSAencryption signaturevalue BitString Signature par ACI ELEMENTAIRE PERSONNES Notes : Certificat de signature : signature S/MIME possible si subjectaltname contient mail». Certificat d authentification : Windows SC-Logon possible si subjectaltname contient «othername = UPN» et si le certificat est embarqué dans une CPx ou un support compatible PC/SC. Classification : Document public 19 / 67

20 4.5.2 Certificat de chiffrement d une personne physique Objet Format Certificat de chiffrement gabarit : EL-PP-CL-CONF Certificate TbsCertificate version Integer 2 (version 3) serialnumber Integer n de certificat signature OID Sha2-WithRSAencryption PrintString c=fr o=asip-sante issuer ou= UTF8String ou=igc-sante cn=ac IGC-SANTE ELEMENTAIRE PERSONNES validity NotBefore : date de génération du certificat UTC-Time NotAfter : date NotBefore + 3 ans subject PrintString country UTF8String autres RDN DN d'un PS ou PF ou DN d'un PS ou PF rattaché à une structure ou DN d'un Personnel de structure subjectpublickeyinfo algorithmidentifier OID RSAencryption + Paramètre (1 caractère à 0) subjectpublickey BitString clé publique de bits + exposant publique ( = 2E16+1) extensions authoritykeyid OctString subjectkeyid du certificat ACI ELEMENTAIRE PERSONNES subjectkeyid OctString SHA-1 de subjectpublickey keyusage critical Boolean true value BitString '20' : keyencipherment extendedkeyusage id-kp- protection + anyextendedkeyusage privkeyusageperiod GenTime Extension absente subjectaltname mail - optionnel certificatepolicies certpolicyid OID PC-EL-PP-CL-CONF certpolicyqualifier OID basicconstraints critical Boolean false CA Boolean false pathlenconstraint Integer absent crldistributionpoint URL CRL ACI EL-PP (HTTP + LDAP) freshestcrl URL delta-crl ACI EL-PP (LDAP) authorityinfoaccess (répondeur OCSP) URL du certificat ACI EL-PP productcategory OctString '03' : certificat logiciel (production) producttype Integer extension absente tokenid PrintString extension absente professioncode Integer code de la profession - optionnel - que pour les PS futureprofessioncode Integer code de la future profession - optionnel - que pour les PF oldps_idnat PrintString Ancien PS_IdNat - optionnel - que pour les PS avec identifiant RPPS specialiterpps Spécialité RPPS - optionnelle - que pour les Médecins et Chirurgiens-dentistes tableauxpharmacien Tableau(x) pharmacien - optionnel(s) - que pour les Pharmaciens signaturealgorithm OID Sha2-WithRSAencryption signaturevalue BitString Signature par ACI ELEMENTAIRE PERSONNES Note : Certificat de chiffrement : chiffrement S/MIME possible si subjectaltname contient mail». Classification : Document public 20 / 67

21 4.6 Les certificats embarqués dans le volet IAS des cartes CPx L étape 2 de l IGC-Santé offre les produits suivants embarqués dans des cartes CPx : o certificat de signature gabarit : GG-PP-CPx-SIGN, o certificat d authentification gabarit : GG-PP-CPx-AUTH, o certificat d authentification sans contact gabarit : EL-ORG-CPx-AUTH_SS. GG = EL (Elémentaire), ST (Standard) ou FO (Fort) Note : Les gammes des certificats de signature et d authentification dépendent du type de carte CPx : Carte d un professionnel de santé (CPS) et d un professionnel de santé (CPF) : gamme Fort, Carte nominative de personnel d établissement (CDE, CPE, CDA, CPA) : gamme Standard, Carte indirectement nominative, désignée comme «carte de service», (CPE, CPA) : gamme Elémentaire. Attention : Cette répartition des types de cartes sur les différentes gammes peut changer. Les gammes ne doivent donc jamais être utilisées pour en déduire les types de cartes. Classification : Document public 21 / 67

22 4.6.1 Certificats de signature et d authentification embarqués dans une CPx Objet Format Certificat de signature gabarit : GG-PP-CPx-SIGN Certificat d authentification gabarit : GG-PP-CPx-AUTH Certificate TbsCertificate version Integer 2 (version 3) serialnumber Integer n de certificat signature OID Sha2-WithRSAencryption PrintString c=fr o=asip-sante issuer ou= UTF8String ou=igc-sante cn=ac IGC-SANTE «GAMME» PERSONNES (Gamme selon le type de CPx) validity NotBefore : date de génération du certificat UTC-Time NotAfter : date NotBefore + durée de la vie CPx subject PrintString country UTF8String autres RDN DN d'un PS ou PF ou DN d'un Personnel de structure (nominatif ou indirectement nominatif) subjectpublickeyinfo algorithmidentifier OID RSAencryption + Paramètre (1 caractère à 0) subjectpublickey BitString clé publique de bits + exposant publique ( = 2E16+1) extensions authoritykeyid OctString subjectkeyid du certificat ACI ELEMENTAIRE PERSONNES subjectkeyid OctString SHA-1 de subjectpublickey keyusage critical Boolean true true value BitString '40' : nonrepudiation '80' : digitalsignature extendedkeyusage id-kp- protection id-kp-clientauth + szoid_kp_smartcard_logon privkeyusageperiod GenTime NotBefore : date de génération du certificat NotAfter : date NotBefore + durée de la vie CPx extension absente subjectaltname extension absente othername = UPN mail construite avec l IdNat_PS suivi de «@carte-cps.fr» certificatepolicies certpolicyid OID PC-GG-PP-CPx-SIGN PC-GG-PP-CPx-AUTH certpolicyqualifier OID basicconstraints critical Boolean false CA Boolean false pathlenconstraint Integer absent crldistributionpoint URL CRL ACI GG-PP (HTTP + LDAP) freshestcrl URL delta-crl ACI GG-PP (LDAP) authorityinfoaccess (répondeur OCSP) URL du certificat ACI GG-PP productcategory OctString '00' : certificat embarqué dans CPx (production) producttype Integer Selon le type de la CPx '00' : CPS, '01' : CPF, '02' : CDE ou CPE, '03' : CDA ou CPA tokenid PrintString issuerid "/" cardserialnumber professioncode Integer code de la profession - optionnel - que pour les PS futureprofessioncode Integer code de la future profession - optionnel - que pour les PF oldps_idnat PrintString Ancien PS_IdNat - optionnel - que pour les PS avec identifiant RPPS specialiterpps Spécialité RPPS - optionnelle - que pour les Médecins et Chirurgiens-dentistes tableauxpharmacien Tableau(x) pharmacien - optionnel(s) - que pour les Pharmaciens signaturealgorithm OID Sha2-WithRSAencryption signaturevalue BitString Signature par ACI ELEMENTAIRE PERSONNES Classification : Document public 22 / 67

23 4.6.3 Certificat d authentification CPx sans contact Objet Format Certificat d authentification CPX sans contact gabarit : EL-ORG-CPx-AUTH_SS Certificate TbsCertificate version Integer 2 (version 3) serialnumber Integer n de certificat signature OID Sha2-WithRSAencryption PrintString c=fr o=asip-sante issuer ou= UTF8String ou=igc-sante cn=ac IGC-SANTE ELEMENTAIRE ORGANISATIONS validity NotBefore : date de génération du certificat UTC-Time NotAfter : date NotBefore + durée de la vie CPx PrintString country subject DN d un certificat d authentification pour mode sans contact UTF8String autres RDN subjectpublickeyinfo algorithmidentifier OID RSAencryption + Paramètre (1 caractère à 0) subjectpublickey BitString clé publique de bits + exposant publique ( = 2E16+1) extensions authoritykeyid OctString subjectkeyid du certificat ACI ELEMENTAIRE ORGANISATIONS subjectkeyid OctString SHA-1 de subjectpublickey keyusage critical Boolean true value BitString '80' : digitalsignature extendedkeyusage id-kp-clientauth privkeyusageperiod GenTime Extension absente subjectaltname extension absente certificatepolicies certpolicyid OID PC-EL-ORG-CPx-AUTH_SS certpolicyqualifier OID basicconstraints critical Boolean false CA Boolean false pathlenconstraint Integer absent crldistributionpoint URL CRL ACI EL-ORG (HTTP + LDAP) freshestcrl URL delta-crl ACI EL-ORG (LDAP) authorityinfoaccess (répondeur OCSP) URL du certificat ACI EL-ORG productcategory OctString ''00' : certificat embarqué dans CPx (production) producttype Integer extension absente tokenid PrintString extension absente professioncode Integer extension absente futureprofessioncode Integer extension absente oldps_idnat PrintString extension absente specialiterpps extension absente tableauxpharmacien extension absente signaturealgorithm OID Sha2-WithRSAencryption signaturevalue BitString Signature par ACI ELEMENTAIRE PERSONNES Note : Certificat de chiffrement : chiffrement S/MIME possible si subjectaltname contient mail». Classification : Document public 23 / 67

24 4.7 Les certificats logiciels pour des organisations L étape 1 de l IGC-Santé offre dans le Domaine «Organisations» de la Gamme «Elémentaire» les produits suivants : o certificat de cachet (signature par serveur) gabarit : EL-ORG-CL-SIGN, o certificat d authentification client gabarit : EL-ORG-CL-AUTH_CLI, o certificat d authentification serveur et client gabarit : EL-ORG-CL-SSL_SERV, o certificat de chiffrement gabarit : EL-ORG-CL-CONF, o certificat S/MIME (signature + chiffrement) gabarit : EL-ORG-CL-SMIME. Note : Il n y a pas de recouvrement de clés privées de chiffrement ni en étape 1, ni en étape 2. Classification : Document public 24 / 67

25 4.7.1 Certificats de cachet et d authentification d une structure Objet Format Certificat de cachet gabarit : EL-ORG-CL-SIGN Certificat d authentification Client gabarit : EL-ORG-CL-AUTH_CLI Certificate TbsCertificate version Integer 2 (version 3) serialnumber Integer n de certificat signature OID Sha2-WithRSAencryption PrintString c=fr o=asip-sante issuer ou= UTF8String ou=igc-sante cn=ac IGC-SANTE ELEMENTAIRE ORGANISATIONS validity NotBefore : date de génération du certificat NotBefore : date de génération du certificat UTC-Time NotAfter : date NotBefore + 3 ans + 1 mois NotAfter : date NotBefore + 3 ans PrintString country subject DN d'un certificat de structure UTF8String autres RDN subjectpublickeyinfo algorithmidentifier OID RSAencryption + Paramètre (1 caractère à 0) subjectpublickey BitString clé publique de bits + exposant publique ( = 2E16+1) extensions authoritykeyid OctString subjectkeyid du certificat ACI ELEMENTAIRE ORGANISATIONS subjectkeyid OctString SHA-1 de subjectpublickey keyusage critical Boolean true true value BitString 'C0' : digitalsignature + nonrepudiation '80' : digitalsignature extkeyusage id-kp- protection id-kp-clientauth privkeyusageperiod GenTime NotBefore : date de génération du certificat NotAfter : date NotBefore + 3 ans extension absente subjectaltname rfc822name mail - optionnel rfc822name mail - optionnel certificatepolicies certpolicyid OID PC-EL-PP-CL-SIGN PC-EL-PP-CL-AUTH_CLI certpolicyqualifier OID basicconstraints critical Boolean false CA Boolean false pathlenconstraint Integer absent crldistributionpoint URL CRL ACI EL-ORG (HTTP + LDAP) freshestcrl URL delta-crl ACI EL-ORG (LDAP) authorityinfoaccess (répondeur OCSP) URL du certificat ACI EL-ORG productcategory OctString '03' : certificat logiciel (production) producttype Integer extension absente tokenid PrintString extension absente signaturealgorithm OID Sha2-WithRSAencryption signaturevalue BitString Signature par ACI ELEMENTAIRE ORGANISATIONS Note : Certificat de cachet : signature S/MIME possible si subjectaltname contient mail». Classification : Document public 25 / 67

26 4.7.2 Certificats d authentification serveur et de chiffrement d une structure Objet Format Certificat Authentification Serveur gabarit : EL-ORG-CL-SSL_SERV Certificat de chiffrement gabarit : EL-ORG-CL-CONF Certificate TbsCertificate version Integer 2 (version 3) serialnumber Integer n de certificat signature OID Sha2-WithRSAencryption PrintString c=fr o=asip-sante issuer ou= UTF8String ou=igc-sante cn=ac IGC-SANTE ELEMENTAIRE ORGANISATIONS validity NotBefore : date de génération du certificat UTC-Time NotAfter : date NotBefore + 3 ans PrintString country subject UTF8String autres RDN DN d'un certificat de structure (le cn doit contenir un FQDN) DN d'un certificat de structure subjectpublickeyinfo algorithmidentifier OID RSAencryption + Paramètre (1 caractère à 0) subjectpublickey BitString clé publique de bits + exposant publique ( = 2E16+1) extensions authoritykeyid OctString subjectkeyid du certificat ACI ELEMENTAIRE ORGANISATIONS subjectkeyid OctString SHA-1 de subjectpublickey keyusage critical Boolean true true value BitString 'A0' : digitalsignature + keyencipherment '20' : keyencipherment extendedkeyusage id-kp-serverauth + id-kp-clientauth id-kp- protection + anyextendedkeyusage privkeyusageperiod GenTime Extension absente dnsname=fqdn dans cn subjectaltname Le dnsname peut être multi-valué, celui en 1ère mail position doit contenir le FQDN du cn. - optionnel mail - optionnel certificatepolicies certpolicyid OID PC-EL-ORG-CL-SSL_SERV PC-EL-ORG-CL-CONF certpolicyqualifier OID basicconstraints critical Boolean false CA Boolean false pathlenconstraint Integer absent crldistributionpoint URL CRL ACI EL-ORG (HTTP + LDAP) freshestcrl URL delta-crl ACI EL-ORG (LDAP) authorityinfoaccess (répondeur OCSP) URL du certificat ACI EL-ORG productcategory OctString '03' : certificat logiciel (production) producttype Integer extension absente tokenid PrintString extension absente signaturealgorithm OID Sha2-WithRSAencryption signaturevalue BitString Signature par ACI ELEMENTAIRE ORGANISATIONS Note : Certificat de chiffrement : chiffrement S/MIME possible si subjectaltname contient mail». Classification : Document public 26 / 67

27 4.7.3 Certificat S/MIME d une structure Objet Format Certificat S/MIME gabarit : EL-ORG-CL-SMIME Certificate TbsCertificate version Integer 2 (version 3) serialnumber Integer n de certificat signature OID Sha2-WithRSAencryption PrintString c=fr o=asip-sante issuer ou= UTF8String ou=igc-sante cn=ac IGC-SANTE ELEMENTAIRE ORGANISATIONS validity NotBefore : date de génération du certificat UTC-Time NotAfter : date NotBefore + 3 ans + 1 mois PrintString country subject DN d'un certificat de structure UTF8String autres RDN subjectpublickeyinfo algorithmidentifier OID RSAencryption + Paramètre (1 caractère à 0) subjectpublickey BitString clé publique de bits + exposant publique ( = 2E16+1) extensions authoritykeyid OctString subjectkeyid du certificat ACI ELEMENTAIRE ORGANISATIONS subjectkeyid OctString SHA-1 de subjectpublickey keyusage critical Boolean true value BitString '60' : nonrepudiation + keyencipherment extendedkeyusage id-kp- protection privkeyusageperiod GenTime NotBefore : date de génération du certificat NotAfter : date NotBefore + 3 ans subjectaltname rfc822name mail - obligatoire certificatepolicies certpolicyid OID EL-ORG-CL-SMIME certpolicyqualifier OID basicconstraints critical Boolean false CA Boolean false pathlenconstraint Integer absent crldistributionpoint URL CRL ACI EL-ORG (HTTP + LDAP) freshestcrl URL delta-crl ACI EL-ORG (LDAP) authorityinfoaccess (répondeur OCSP) URL du certificat ACI EL-ORG productcategory OctString '03' : certificat logiciel (production) producttype Integer extension absente tokenid PrintString extension absente signaturealgorithm OID Sha2-WithRSAencryption signaturevalue BitString Signature par ACI ELEMENTAIRE ORGANISATIONS Classification : Document public 27 / 67

28 5 Les structures des CRLs de l IGC-Santé 5.1 La structure d'une CRL X.509 version 2 Une CRL est composée de 2 parties : Les données à certifier. Elles contiennent les champs de base, la liste de certificats à révoquer et les extensions. La signature de la CRL : sa valeur et les informations sur l algorithme de signature. CRL (Certification Revocation List) Données de la CRL Version 2 Informations sur la signature de la CRL par l AC (algorithmes et paramètres) Nom de l émetteur de la CRL Date d émission de la CRL Date d émission de la prochaine CRL Liste des certificats révoqués Numéro de série du certificat révoqué Numéro de série du certificat révoqué Extensions du CRL Date de révocation Date de révocation Extensions d entrée de CRL Identifiant du type de l extension Criticité (oui / non) Valeur Identifiant du type de l extension Criticité (oui / non) Valeur Extensions d entrée de CRL Identifiant du type de l extension Criticité (oui / non) Valeur Identifiant du type de l extension Criticité (oui / non) Valeur Identifiant du type de l extension Criticité (oui / non) Valeur Identifiant du type de l extension Criticité (oui / non) Valeur Identifiant du type de l extension Criticité (oui / non) Valeur Signature de la CRL par l AC Informations sur l algorithme de signature de la CRL Valeur de la signature numérique de la CRL par l Autorité de Certification Schéma du contenu d'une CRL version 2 La syntaxe des CRL de l IGC-Santé est spécifiée en Annexe A 2.2 «La syntaxe des CRL de l IGC- Santé». Classification : Document public 28 / 67

29 5.1.1 Les champs de base Les champs de base d une CRL renseignent les informations suivantes : la version de la structure de la CRL (version = 2), les informations sur la signature de la CRL par l AC (algorithmes et paramètres), le nom de l émetteur de la CRL, la date de l émission de la CRL, la date de l émission de la prochaine CRL, la liste de certificats révoqués composée : - du numéro de série du certificat révoqué, - de la date de révocation, - des extensions d entrée de CRL (optionnel) Extensions d entrée de CRL Une extension d entrée de CRL permet de donner plus d information quant aux conditions de la révocation d un certificat, i.e. : Code raison (valeur par défaut = '0' : undefined) Date (supposée) d'incident provoquant la révocation Note : Les extensions d entrée de CRL ne sont pas renseignées dans l IGC-Santé Extensions de CRL Les extensions de CRL permettent de spécifier plus précisément les caractéristiques de la CRL : le numéro de CRL, l indicateur delta-crl, les informations sur la clé du signataire de la CRL, le nom alternatif de l émetteur de la CRL. Note : Les applications doivent tenir compte du fait que l ordre des extensions peut changer. Classification : Document public 29 / 67

30 5.2 Les structures des CRL de l IGC-Santé La structure des CRL Objet Format CRL d une < Gamme > (ACR) CRL d un < Domaine > (ACI) CertificateList TbsCertList Version Integer 1 (version 2) signature OID Sha2-WithRSAencryption PrintString c=fr c=fr o=asip-sante o=asip-sante issuer ou= ou= UTF8String ou=igc-sante ou=igc-sante cn=ac RACINE IGC-SANTE < Gamme > cn=ac IGC-SANTE < Gamme > < Domaine > thisupdate UTC-Time «date / heure d'émission CRL» nextupdate UTC-Time «date / heure d'émission prévue prochaine CRL» Séquence avec liste de certificats révoqués, pour chaque entrée : (séquence absente si vide) revokedcertificates integer Time usercertificate revocationdate crlextensions authoritykeyid OctString subjectkeyid du certificat ACR < Gamme > subjectkeyid du certificat ACI < Gamme > < Domaine > crlnumber Integer n séquentiel de la CRL (la numérotation est indépendante pour toutes les ACR et ACI) deltacrlindicator extension absente signaturealgorithm OID Sha2-WithRSAencryption signaturevalue BitString Signature par ACR < Gamme > Signature par ACI < Gamme > < Domaine > " La structure des delta-crl A chaque publication d une CRL par une ACI, une delta-crl doit être publiée simultanément. Par rapport à la CRL elle contient : le même contenu pour les extensions thisupdate, nextupdate et crlnumber, une extension deltacrlindicator avec le crlnumber de la CRL précédente, la liste des certificats révoqués depuis la publication de la CRL précédente. Objet Format delta-crl d un < Domaine > (ACI) CertificateList TbsCertList Version Integer 1 (version 2) signature OID Sha2-WithRSAencryption PrintString c=fr o=asip-sante issuer ou= UTF8String ou=igc-sante cn=ac IGC-SANTE < Gamme > < Domaine > thisupdate UTC-Time «date / heure d'émission CRL» nextupdate UTC-Time «date / heure d'émission prévue prochaine CRL» revokedcertificates integer Time Séquence avec liste de certificats révoqués, pour chaque entrée : usercertificate revocationdate crlextensions authoritykeyid OctString subjectkeyid du certificat ACI < Gamme > < Domaine > crlnumber Integer n séquentiel de la CRL de référence deltacrlindicator critical Boolean true basecrlnumber BitString n séquentiel de la CRL précédente signaturealgorithm OID Sha2-WithRSAencryption signaturevalue BitString Signature par ACI < Gamme > < Domaine > " (séquence absente si vide) Classification : Document public 30 / 67

31 6 L IGC-Santé de Test Pour des besoins de tests et de recette de l'igc-santé, ainsi pour les tests d'intégration dans les applications terrain, une IGC-Santé de Test est créée avec exactement la même architecture que l IGC-Santé de Production. 6.1 Schéma de nommage des AC de Test Les DN des ACR et ACI de Test se distinguent par les RDN «cn» et «ou» qui contiennent le mot «TEST». Nom gabarit <Gamme>-ACR <Gamme>-PP-ACI <Gamme>-ORG-ACI DN des Autorités de Certification de Test DN du certificat racine <Gamme> c= FR o= ASIP-SANTE ou= ou= IGC-SANTE TEST cn= TEST AC RACINE IGC-SANTE <Gamme> DN du certificat racine intermédiaire - Personnes Physiques c= FR o= ASIP-SANTE ou= ou= IGC-SANTE TEST cn= TEST AC IGC-SANTE <Gamme> PERSONNES DN du certificat racine intermédiaire - Organisations c= FR o= ASIP-SANTE ou= ou= IGC-SANTE TEST cn= TEST AC IGC-SANTE <Gamme> ORGANISATIONS Une application doit détecter les certificats et CRLs de Test en vérifiant si le «cn» de l autorité émettrice commence par «TEST». Classification : Document public 31 / 67

32 6.2 Différences entre les certificats de Production des certificats de Test Les certificats de test se distinguent sur les points suivants : 1. Les DN des autorités émettrices (DN Issuer des ACR et ACI) de Test : Leur 2ème RDN «ou» finit par le mot «TEST» (IGC-SANTE TEST). Leur RDN «cn» commence par le mot «TEST». Cf. 2 «Schéma de nommage des Autorités de Certification» 2. L'extension «certificatepolicies» : Chaque certificat de Production contient un OID spécifique, faisant référence à la PC du gabarit. Tous les certificats de Test contiennent un OID unique. Cet OID fait référence à une PC couvrant l'ensemble des certificats de l'igc. Cf. A «Les identifiants d'objets attribués par l ASIP-Santé». 3. L extension «productcategory» : Cette extension, sur 1 octet hexadécimal, indique la catégorie de produit : CPx, Module de sécurité, Certificat logiciel,... Dans les certificats de Production, le bit de poids fort de sa valeur est égal à '0' (valeurs '00', '02', '03', ). Dans les certificats de Test, le bit de poids fort de sa valeur est égal à '1' (valeurs '80', '82', '83', ). Cf. A «productcategory». 4. Les URL dans les certificats : Tous les URL sont spécifiques par extension, par gabarit et pour les certificats de Production et de Test, sauf pour l'url du serveur OCSP qui est identique pour tous les certificats utilisateurs. Cf. Annexe 4 «Les URL référencés dans les certificats de l IGC-Santé» 6.3 Comment distinguer les certificats de Production des certificats de Test? Un progiciel du marché s'appuie sur les certificats AC stockés dans son coffre-fort. Ces certificats AC doivent tous être de Production. Une application peut s'appuyer sur le DN Issuer pour distinguer un certificat de Production d'un certificat de Test. Attention : Il n'y a rien dans le DN subject qui permet de distinguer les certificats de Production de ceux de Test! Les applications de Production (serveurs et postes de travail) ne doivent jamais charger des certificats AC de Test dans leurs coffres forts. Classification : Document public 32 / 67

33 Annexe 1 Conventions, Abréviations et définitions A 1.1 Conventions de notation ASCII bcd 1 octet hexadécimal contenant un caractère au standard ASCII binary coded decimal quartet (4 bits) pouvant prendre la valeur de 0 à 9 octet 8 bits hexadécimaux pouvant prendre la valeur de 00 à FF (0 à 255 décimal) quartet 4 bits hexadécimaux pouvant prendre la valeur de 0 à F (0 à 15 décimal) printablestring chaîne de caractères ASCII pouvant contenir les caractères suivants : A, B,..., Z a, b,..., z 0, 1,..., 9 espace ' ( ) +, -. / : =? UTF8String octetstring chaîne de caractères internationaux d'unicode chaîne d octets hexadécimaux bool booléen (1 bit) pouvant prendre la valeur 0 ou 1 0 à 9 caractères décimaux '0' à '9' et 'A' à 'F' caractères hexadécimaux 'xxx' chaîne de quartets hexadécimaux "ABC" chaîne de caractères alpha-numériques concaténation différent [ ] paramètre optionnel Classification : Document public 33 / 67

34 A 1.2 Définitions Les définitions formulées dans ce paragraphe adaptées au contexte de l IGC-Santé. IGC : Une Infrastructure de Gestion de Clefs est un ensemble de composants physiques (des ordinateurs, des équipements cryptographiques ou HSM, des cartes à puces), de procédures humaines (vérifications, validations) et de logiciels (systèmes et applications) en vue de gérer le cycle de vie des clés et certificats électroniques. Une IGC est notamment composée d'au moins une autorité de certification et d au moins une autorité d'enregistrement chargée de vérifier les données d'identification des utilisateurs de certificat électronique, et de contrôler les droits liés à l'utilisation des certificats électroniques conformément à la politique de certification. Pour le terrain, une IGC est caractérisée par sa chaîne de confiance, nécessaire pour la validation des certificats utilisateur (vérification que les certificats ont bien été émis par une IGC de confiance). Certificat : c'est une pièce d'identité électronique dont l'objet est de lier une entité physique (personne ou serveur) à une entité numérique. Il est émis par une autorité de certification qui joue le rôle de tiers de confiance et qui atteste du lien entre l'identité physique et l'entité numérique. Un certificat contient, outre l'identité du porteur, sa clé publique et son usage autorisé (signature, chiffrement, ) certificat racine (ACR) : c'est le certificat qui atteste l'identité de l'autorité de certification à l origine de la chaîne de confiance. Il est auto-signé ce qui explique que l'introduction d'un tel certificat dans une base de confiance nécessite une validation explicite par l'administrateur d'un système. certificat intermédiaire (ACI) : c'est le certificat qui atteste l'identité d'une «sous-autorité de certification» responsable de la signature des certificats utilisateur pour un domaine donné. Il est signé par le certificat racine de l'autorité de certification. certificat utilisateur : c'est une identité numérique dont le porteur est une personne, une organisation ou un serveur applicatif. Dans l'igc-santé, un tel certificat est signé par l'autorité intermédiaire responsable du domaine de certificats à laquelle il appartient. Gabarit d un certificat : spécification d un certificat, détaillant sa structure, l ensemble des champs le composant ainsi que son paramétrage. Chaîne de confiance : une chaîne de confiance est constituée d'autorités de certification intermédiaires et du certificat racine d'une autorité de certification. Parenté : la parenté d'un certificat est une chaîne propre à ce certificat constituée du certificat de l'autorité intermédiaire du domaine à lequel il appartient et du certificat racine de l'autorité de certification. Classification : Document public 34 / 67

35 A 1.3 Abréviations AC ACI ACR CRL ARL CDE CPA CPE CPF CPS CPx CPS3 CDA DN IGC KP PC PE PF PFC-NG PS RDN UPN Autorité de Certification Autorité de Certification Intermédiaire Autorité de Certification Racine Certification Revocation List ou Liste de Certificats Révoqués (LCR) Authority Certification Revocation List ou Liste de certificats Autorité Révoqués (LAR) Dans ce document on utilise uniquement le terme CRL. Carte de Directeur d'etablissement de Santé Carte de Personnel Autorisé Carte de Personnel d'etablissement Carte de Professionnel de Santé en Formation Carte de Professionnel de Santé N importe quel type de carte dans la famille CPS Carte de Professionnel de Santé de la 3 ème génération Carte de Directeur d'un Etablissement autre que ES (ou CPA-Responsable) Distinguished Name identifiant unique du porteur d un certificat Infrastructure de Gestion de Clés Clé Publique Politique de Certification Personnel(s) d Etablissement Professionnel(s) de Santé en Formation Plate-Forme de Certification Nouvelle Génération Professionnel(s) de Santé Relative Distinguished Name UserPrincipalName Classification : Document public 35 / 67

36 Annexe 2 La syntaxe des certificats et CRL de l IGC-Santé A 2.1 La syntaxe des Certificats X.509 v3 de l IGC-Santé Certificate ::= SEQUENCE { TbsCertificate TBSCertificate, SignatureAlgorithm AlgorithmIdentifier, SignatureValue BIT STRING } TBSCertificate ::= SEQUENCE { version [0] Version (v3), serialnumber CertificateSerialNumber, signature AlgorithmIdentifier, issuer Name, validity Validity, subject Name, subjectpublickeyinfo SubjectPublicKeyInfo, extensions [3] Extensions } Version ::= INTEGER v3( valeur = 2 ) CertificateSerialNumber ::= INTEGER AlgorithmIdentifier ::= SEQUENCE { Algorithm OBJECT IDENTIFIER, Parameters ANY DEFINED BY Algorithm OPTIONAL } Name ::= CHOICE {RDN } RDN ::= SEQUENCE OF RelativeDistinguishedName RelativeDistinguishedName ::= SET OF AttributeTypeAndValue AttributeTypeAndValue ::= SEQUENCE { type AttributeType, value AttributeValue } AttributeType ::= OBJECT IDENTIFIER AttributeValue ::= ANY DEFINED BY AttributeType Validity ::= SEQUENCE { notbefore UTCTime, notafter UTCTime } 4 SubjectPublicKeyInfo ::= SEQUENCE { algorithm AlgorithmIdentifier, subjectpublickey BIT STRING } Extensions ::= SEQUENCE OF Extension Extension ::= SEQUENCE { extnid OBJECT IDENTIFIER, critical BOOLEAN, (default = FALSE) extnvalue OCTET STRING } 4 Format du champ UTCTime : «YYMMDDMMSS» Classification : Document public 36 / 67

37 A Extensions standards utilisées dans les certificats de l IGC-Santé Les extensions contiennent des informations complémentaires du certificat. Ce paragraphe contient les extensions standards utilisées dans les Certificats X.509 de l IGC-Santé. Sauf mention spécifique, les extensions sont non critiques. A authoritykeyidentifier Cette extension identifie la clé publique à utiliser pour la vérification de la signature du certificat. AuthorityKeyIdentifier ::= SEQUENCE { keyidentifier [0] KeyIdentifier OPTIONAL, authoritycertissuer [1] GeneralNames OPTIONAL, authoritycertserialnumber [2] CertificateSerialNumber OPTIONAL } KeyIdentifier ::= OCTET STRING Dans les certificats de l IGC-Santé, l extension AuthorityKeyIdentifier est le hash (SHA-1) de la séquence complète RSAPublicKey du certificat de l autorité émettrice. A subjectkeyidentifier Cette extension identifie la clé publique qui est certifiée. Elle permet de différencier plusieurs clés d'un porteur identifié par un même DN. SubjectKeyIdentifier ::= KeyIdentifier KeyIdentifier ::= OCTET STRING Dans les certificats de l IGC-Santé, l extension SubjectKeyIdentifier est le hash (SHA-1) de la séquence complète RSAPublicKey. A keyusage - extension critique Cette extension définit la fonction de base autorisée du bi-clé dont la clé publique est certifiée. KeyUsage ::= BIT STRING { digitalsignature (0), '80' authentification nonrepudiation (1), '40' signature électronique keyencipherment (2), '20' chiffrement de clés dataencipherment (3), non utilisée keyagreement (4), non utilisée keycertsign (5), '04' signature de certificats crlsign (6), '02' signature de CRLs encipheronly (7), non utilisée decipheronly (8) } non utilisée Note : Les certificats de signature de l IGC-Santé respectent les bonnes pratiques et diffèrent de ceux émis par les IGC-CPS : Le keyusage d un certificat de signature, gabarit EL-PP-CL-SIGN = '40' (uniquement le bit nonrepudation est positionné) ; Le keyusage d un certificat cachet, gabarit EL-ORG-CL-SIGN = 'C0' (2 bits, nonrepudation et digitalsignature, sont positionnés). Classification : Document public 37 / 67

38 A extendedkeyusage Cette extension définit l'utilisation applicative autorisée du bi-clé dont la clé publique est certifiée. C est un complément d'information à l'extension keyusage. ExtendedKeyUsage ::= SEQUENCE SIZE (1..MAX) OF KeyPurposeId KeyPurposeId ::= OBJECT IDENTIFIER anyextendedkeyusage tout utilisation étendue est autorisée id-kp-serverauth TLS Web authentification serveur id-kp-clientauth TLS Web authentification client id-kp-codesigning signature de code (téléchargeable) id-kp- protection protection messagerie électronique id-kp-timestamping horodatage (signature) id-kp-ocspsigning répondeur OCSP (signature) szoid_kp_smartcard_logon smartcardlogon (Microsoft) Note : L extendedkeyusage SmartCardLogon est présent dans tous les certificats d authentification de personnes physiques. La fonction Windows SmartCardLogon ne peut être mise en œuvre que si le certificat d authentification est embarqué dans une carte CPx ou un autre support compatible PC-SC. A privatekeyusageperiod Cette extension définit la période d'utilisation de la clé privée, dans le cas où cette période peut être différente de celle de validité du certificat. Dans l IGC-Santé, cette extension est uniquement présente dans les certificats utilisateur permettant la signature électronique (certificats avec keyusage = nonrepudiation). Pour les certificats embarqués dans les CPx, cette période est identique à la durée de vie de la CPx. Pour les certificats logiciels, elle réduit l usage de la clé privée de signature d un mois par rapport à la date de fin de validité du certificat. Grâce à ce mécanisme, la «non-révocation» des certificats de signature peut être vérifiée jusqu à un mois après la date de fin de validité ( = date fin de l usage) de la clé privée. PrivateKeyUsagePeriod ::= SEQUENCE { NotBefore [0] GeneralizedTime : 1 st day of validity NotAfter [1] GeneralizedTime : last day of validity } 5 5 Format du champ GeneralizedTime : «YYYYMMDDMMSS» (heure GMT). Classification : Document public 38 / 67

39 A subjectaltname Cette extension peut contenir un ou plusieurs noms alternatifs pour le porteur du certificat. SubjectAltName ::= GeneralNames GeneralNames ::= SEQUENCE SIZE (1..MAX) OF GeneralName GeneralName ::= CHOICE { othername [0] AnotherName, rfc822name [1] IA5String, dnsname [2] IA5String, x400address [3] ORAddress, directoryname [4] Name, edipartyname [5] EDIPartyName, uniformresourceidentifier [6] IA5String, ipaddress [7] OCTET STRING, registeredid [8] OBJECT IDENTIFIER } Cette extension n'est pas utilisée dans les certificats des AC. Dans l IGC-Santé, les extensions suivantes sont utilisées dans les certificats utilisateur : rfc822name (adresse mail) : o obligatoire pour les gabarits S/MIME (messagerie sécurisée), o optionnelle pour les autres gabarits. dnsname (nom de domaine) : o obligatoire pour les gabarits SSL serveur. othername contenant un UserPrincipalName (nom d utilisateur pour Windows SmartCardLogon), o o o obligatoire pour les certificats d authentification embarqués dans des CPx, optionnelle pour les certificats d authentification logiciels de personnes physiques, interdit dans tous les autres certificats. Dans les certificats d authentification logiciels de personnes physiques, UPN est fourni par le demandeur du certificat. L UPN doit être conforme au format : < nom_utilisateur nom_domaine > Dans une carte CPx (Production et Test), l UPN est construit à partir de l identifiant national du porteur de la carte (PS_IdNat), selon les règles énoncées ci-dessous. Pour les PS et PF, le PS_IdNat du porteur de la carte est structuré comme suit : <Type d identifiant><identifiant du registre national> A partir de cet identifiant, leur UPN est construit comme suit : <Type d identifiant>.<identifiant du registre national>@carte-cps.fr Notes : Un point est inséré dans le PS_IdNat entre le type d identifiant et la suite de l identifiant. Le PS_IdNat d un porteur fait au maximum 31 caractères. L UPN fait donc au maximum 46 caractères. Exemples d UPN pour des PS : @carte-cps.fr UPN construit à partir du PS_IdNat : @carte-cps.fr UPN construit à partir du PS_IdNat : Classification : Document public 39 / 67

40 Pour le personnel de structure, le PS_IdNat du porteur de la carte est structuré comme suit : <Type d identifiant><identifiant de la structure>/<identifiant du registre interne> A partir de cet identifiant, leur UPN est construit comme suit : <Type d identifiant>.<identifiant de la structure>.<identifiant du registre interne>@carte-cps.fr Notes : Un point est inséré dans le PS_IdNat entre le type d identifiant et la suite de l identifiant. Le «/» est remplacé par un point. Le PS_IdNat d un porteur fait au maximum 31 caractères. L UPN fait donc au maximum 46 caractères. Exemples d UPN pour du personnel de structure : @carte-cps.fr UPN construit à partir du PS_IdNat : / @carte-cps.fr UPN construit à partir du PS_IdNat : / A certificatepolicies Dans l IGC-Santé, cette extension définit : la Politique de Certification dont le certificat dépend (policyidentifier), un pointeur «Certificate Policy Statement URI» (cpsuri) vers une page web contenant : o des informations génériques sur l'igc-santé de Production, o les PC et les Conditions d'utilisation, o les liens pour télécharger les certificats ACR et ACI ainsi que leurs CRL et delta-crl. Notes : Certificats de production : il y a une PC distincte pour chaque type de certificat de chaque domaine, Certificats de Test : il y une seule PC pour l ensemble des certificats de Test de l IGC-Santé. Le A «Les identifiants d'objets attribués par l ASIP-Santé» donne les OID des PC de l IGC-Santé. CertificatePolicies ::= SEQUENCE OF PolicyInformation PolicyInformation ::= SEQUENCE { policyidentifier CertPolicyId, policyqualifiers SEQUENCE SIZE (1..MAX) OF PolicyQualifierInfo OPTIONAL } CertPolicyId ::= OBJECT IDENTIFIER PolicyQualifierInfo ::= SEQUENCE { policyqualifierid PolicyQualifierId, qualifier ANY DEFINED BY policyqualifierid } PolicyQualifierId ::= OBJECT IDENTIFIER ( id-qt-cps id-qt-unotice ) Qualifier ::= CHOICE { cpsuri CPSuri, usernotice UserNotice } CPSuri ::= IA5String Note : L objet «UserNotice» n est pas utilisé dans l IGC-Santé. Classification : Document public 40 / 67

41 A basicconstraints - extension critique pour les certificats AC Cette extension précise si le certificat appartient à une Autorité de Certification (Racine ou Intermédiaire) ou à un utilisateur final. Dans le premier cas, l extension permet également de spécifier le nombre de niveaux hiérarchiques autorisés. BasicConstraints ::= SEQUENCE { CA BOOLEAN (default = FALSE) pathlenconstraint INTEGER } Dans l IGC-Santé, cette extension est présente dans tous les certificats. Pour les certificats des Autorités de Certification (ACR et ACI) : l extension est critique, CA = "TRUE", pathlenconstraint : o o certificats ACR : valeur absente, indiquant qu il n y a pas de limite sur le nombre de niveaux ACI, certificats ACI : «valeur = 0» indique que le certificat ne peut qu être utilisé pour signer des certificats d utilisateurs finaux. Pour les certificats des utilisateurs finaux : l extension n est pas critique, CA = "FALSE", pathlenconstraint interdit. A crldistributionpoint Cette extension définit l adresse du point de distribution des CRL. CRLDistributionPoints ::= SEQUENCE SIZE (1..MAX) OF DistributionPoint DistributionPoint ::= SEQUENCE { distributionpoint [0] DistributionPointName, OPTIONAL} DistributionPointName ::= CHOICE { fullname [0] GeneralNames, namerelativetocrlissuer [1] RelativeDistinguishedName } Dans l IGC-Santé, les adresses des points de distribution de CRL sont des identifiants de ressource (URI) désignant un point d accès HTTP et un point d accès LDAP. Dans l IGC-Santé, les CRL sont publiées quotidiennement. Classification : Document public 41 / 67

42 A freshestcrl (Delta-CRL Distribution Point) Cette extension définit l adresse du point de distribution de delta-crl. Elle a la même syntaxe ASN.1 que l extension crldistributionpoint. Quand l IGC-Santé publie une CRL, une delta-crl avec le même numéro de séquence est publiée simultanément. Cette dernière contient alors tous les numéros de série des certificats révoqués depuis la publication de la CRL précédente. FreshestCRL ::= CRLDistributionPoints Dans l IGC-Santé, l adresse du point de distribution de delta-crl est un identifiant de ressource (URI) désignant un point d accès LDAP. L IGC-Santé publie avec chaque CRL de domaine (ACI) ses 7 dernières delta-crl. Dans l annuaire-cps, les delta-crl sont multi-valuées ; la réponse à une requête LDAP contient toutes les delta-crl disponibles permettent aux applications de «rattraper» 7 jours sans devoir charger une CRL complète. Les applications doivent tenir compte que ce nombre de 7 delta-crl publiées est susceptible de varier (en plus et en moins). A authorityinfoaccess Cette extension, présente uniquement dans des certificats utilisateur, contient 2 descriptions d accès (type et méthode) fournissant de l information additionnelle sur l autorité ACI émettrice du certificat contenant cette extension : OCSP o o pour les certificats OCSP : cette description d accès contient l indication que ce certificat ne peut être vérifié par un répondeur OCSP (id-pkix-ocsp-nocheck), pour les autres certificats utilisateur, cette description d accès contient l URL du répondeur OCSP, caissuers o cette description contient un URL HTTP pointant sur le certificat de l ACI émettrice. AuthorityInfoAccess ::= SEQUENCE SIZE (1..MAX) OF AccessDescription AccessDescription ::= SEQUENCE { accessmethod OBJECT IDENTIFIER, accesslocation GeneralName } id-ad OBJECT IDENTIFIER ::= { id-pkix 48 } id-ad-ocsp OBJECT IDENTIFIER ::= { id-ad 1 } id-ad-caissuers OBJECT IDENTIFIER ::= { id-ad 2 } Classification : Document public 42 / 67

43 A Extensions privées utilisées dans les certificats de l IGC-Santé Les extensions privées contiennent des informations complémentaires du certificat ; leurs valeurs sont spécifiées dans la nomenclature de référence publiée par l ASIP-Santé sur le site 6. Ce paragraphe spécifie les extensions privées utilisées dans les Certificats X.509 de l IGC-Santé. Aucune extension privée n est critique. A productcategory Cette extension, toujours présente, contient la catégorie de produit qui contient la clé privée. Elle permet également de distinguer les produits de production des produits de Test. productcategory ::= OctetString '00' : Carte de la famille CPS '80' : Carte de la famille CPS de TEST '02' : Module de sécurité physique '82' : Module de sécurité physique de TEST '03' : Certificat logiciel '83' : Certificat logiciel de TEST Nomenclature : Table G01 Catégories produits A producttype Selon la valeur de productcategory, cette extension est présente : toujours dans les certificats embarqués dans des cartes CPS ; optionnellement pour les modules de sécurité physiques ; jamais pour les certificats logiciels des certificats utilisateur de la Gamme Elémentaire. Pour les certificats embarqués dans les cartes CPS (productcategory = 00 ou 80 ), elle contient le type de la carte. producttype ::= Integer '00' : '01' : '02' : '03' : CPS CPF CPE ou CDE CPA ou CDA (CPA-Responsable) Nomenclature : Table G02 Types de cartes CPS Pour les certificats embarqués dans des Modules de sécurité physiques (productcategory = 02 ou 82 ), les valeurs de producttype restent à définir. 6 Fichier ZIP actuellement disponible sur la page désignée par l URL : Classification : Document public 43 / 67

44 A tokenid (extension conditionnelle) Selon la valeur de productcategory, cette extension est présente : toujours dans les certificats embarqués dans des cartes CPS ; optionnellement pour les modules de sécurité physiques ; jamais pour les certificats logiciels des certificats utilisateur de la Gamme Elémentaire. Si présente, cette extension contient l identification de l'émetteur du token et son numéro de série. tokenid ::= PrintableString Pour les cartes CPS, elle contient l'identification de l'émetteur (Issuer Identification Number = IIN), spécifié et le numéro de série de la carte avec un «/» comme séparateur : Format : " / " = l IIN de l ASIP-Santé = N de série de la carte sur 10 chiffres Pour les certificats embarqués dans des Modules de sécurité (productcategory = 02 ou 82 ), les valeurs de tokenid restent à définir. A professioncode (extension conditionnelle) Cette extension contient le code profession du porteur de certificat, elle n est présente que dans les certificats des Professionnels de Santé réglementés. professioncode ::= Integer Nomenclature : Table G15 Professions A futureprofessioncode (extension conditionnelle) Cette extension contient le code de la future profession du porteur de certificat, elle n est présente que dans les certificats des Professionnels de Santé en Formation. futureprofessioncode ::= Integer Nomenclature : Table G16 Futures professions A oldps_idnat (extension conditionnelle) Cette extension peut uniquement être présente dans des certificats des Domaines «Personnes». Elle est présente lorsque l identification nationale du porteur «PS_IdNat» (l attribut CN du DN subject) contient un identifiant basé sur un N RPPS et lorsque le porteur avait un ancien identifiant basé sur un N ADELI. Cela concerne : les PS qui ont migré du répertoire ADELI vers le répertoire RPPS, les employés d un cabinet libéral d un PS qui a migré du répertoire ADELI vers le répertoire RPPS. Si présente, elle contient le dernier identifiant national du porteur «PS_IdNat» basé sur un N ADELI. oldps_idnat ::= PrintableString Classification : Document public 44 / 67

45 A specialitesrpps (extension conditionnelle) Cette extension conditionnelle est présente uniquement si le porteur est un PS et que son Ordre a enregistré une spécialité d exercice RPPS : elle est obligatoire pour les Médecins qui disposent d une spécialité d exercice RPPS (absence dans cas rares) ; elle est facultative pour les Chirurgiens-Dentistes ; elle est absente pour toutes les autres professions. specialitesrpps ::= SEQUENCE SIZE (0..1) OF specialiterpps specialiterpps ::= UTF8String Nomenclature : Table R01 Spécialités RPPS A tableauxpharmacien (extension conditionnelle) Cette extension n est présente que dans les certificats des Pharmaciens. L extension contient les tableaux sur lesquels le Pharmacien est inscrit par le Conseil National de l Ordre des Pharmaciens (CNOP). Le nombre de tableaux dépend du fait que le certificat du Pharmacien est attaché ou non à une structure : certificat non attaché à une structure : tous les tableaux sur lesquels le Pharmacien est inscrit minimum = 0, maximum = 5 tableaux différents, certificat attaché à une structure : le tableau qui correspondant à l activité dans la structure minimum = 0, maximum = 1 tableau. tableauxpharmacien ::= SEQUENCE SIZE (1..5) OF tableaupharmacien tableaupharmacien ::= UTF8String Nomenclature : Table G05 Tableaux des pharmaciens Classification : Document public 45 / 67

46 A 2.2 La syntaxe des CRL de l IGC-Santé CertificateList ::= SEQUENCE { tbscertlist TBSCertList, signaturealgorithm AlgorithmIdentifier, signaturevalue BIT STRING } tbscertlist ::= SEQUENCE { version Version OPTIONAL, if present, shall be v2 signature AlgorithmIdentifier, issuer Name, thisupdate Time, nextupdate Time OPTIONAL, revokedcertificates SEQUENCE OF SEQUENCE { usercertificate CertificateSerialNumber, revocationdate Time, crlentryextensions Extensions OPTIONAL, } OPTIONAL, crlextensions [0] EXPLICIT Extensions OPTIONAL, if present, shall be v2 } Version ::= INTEGER v2(1) AlgorithmIdentifier ::= SEQUENCE { Algorithm OBJECT IDENTIFIER, Parameters ANY DEFINED BY Algorithm OPTIONAL } Name ::= CHOICE {RDN } RDN ::= SEQUENCE OF RelativeDistinguishedName RelativeDistinguishedName ::= SET OF AttributeTypeAndValue AttributeTypeAndValue ::= SEQUENCE { type AttributeType, value AttributeValue } AttributeType ::= OBJECT IDENTIFIER AttributeValue ::= ANY DEFINED BY AttributeType Extensions ::= SEQUENCE OF Extension Extension ::= SEQUENCE { extnid OBJECT IDENTIFIER, critical BOOLEAN, (default = FALSE) extnvalue OCTET STRING } CertificateSerialNumber ::= INTEGER Note : Lorsqu'une (delta)-crl est vide (pas de certificats révoqués) ; la séquence revokedcertificates est absente. Classification : Document public 46 / 67

47 A crlentryextensions Les crlentryextensions peuvent contenir des informations complémentaires concernant le contexte de révocation de chaque certificat. Les crlentryextensions (reasoncode et invalidationdate) ne sont pas utilisées dans l IGC-Santé. A crlextensions Les crlextensions contiennent des informations complémentaires de la CRL, les crlextensions ci-après sont utilisées dans les CRLs de l IGC-Santé. Sauf mention spécifique, les crlextensions sont non critiques. A authoritykeyidentifier Cette extension identifie la clé publique à utiliser pour la vérification de la signature du CRL. AuthorityKeyIdentifier ::= SEQUENCE { keyidentifier [0] KeyIdentifier OPTIONAL, authoritycertissuer [1] GeneralNames OPTIONAL, authoritycertserialnumber [2] CertificateSerialNumber OPTIONAL } KeyIdentifier ::= OCTET STRING A crlnumber Cette extension donne un numéro croissant séquentiel pour chaque (delta)-crl émise par une Autorité de Certification. Les crlnumbers sont gérés de façon indépendante pour chaque émetteur de CRL (les ACR et les ACI). crlnumber ::= INTEGER A deltacrlindicator - extension critique Cette extension identifie la CRL comme étant une delta-crl. L émission d une delta-crl se fait obligatoirement en même temps qu'une CRL complète (les deux ont le même crlnumber). Une delta-crl ne contient que les changements intervenus depuis la dernière CRL dont le numéro apparaît dans le champ basecrlnumber. deltacrlindicator ::= BaseCRLNumber BaseCRLNumber ::= crlnumber Classification : Document public 47 / 67

48 Annexe 3 Les identifiants d objet (OID) A l'intérieur des certificats, les objets sont identifiés par des identifiants d objet (Object Identifier : OID). Ces OID sont organisés au niveau international sous la forme d un arbre. Chaque pays ou organisation (telle que la France ou l ISO) se voit attribuer une branche. Un identifiant est attribué définitivement et peut identifier n importe quel type d objet. L AFNOR a attribué les identifiants suivants : au GIP-CPS (sa gestion a été reprise par l ASIP-Santé), à l ASIP-Santé. Racine itu-t (0) iso (1) joint iso/itu-t (2) member-body(2) usa (840) France (250) type-org (1) GIP-CPS (71) ASIP-Santé (213) Les détenteurs de ces identifiants peuvent donc affecter des identifiants aux objets de leur choix dans leur propre sous-branche. Classification : Document public 48 / 67

49 A 3.1 Les identifiants d'objet standards utilisés dans l IGC-Santé Object Object Identifier (OID) Object Identifier (hex) id-at : AttributeType { joint iso/itu-t(2) directoryx500(5) AttributeType(4) } commonname { id-at 3 } surname { id-at 4 } serialnumber { id-at 5 } countryname { id-at 6 } localityname { id-at 7 } stateorprovincename { id-at 8 } organizationname { id-at 10 } A organizationalunitname { id-at 11 } B title { id-at 12 } C givenname { id-at 42 } A pseudonyme { id-at 65 } id-ce : extensions { joint iso/itu-t(2) directoryx500(5) extension(29) } 55 1D subjectkeyidentifier { id-ce 14} 55 1D 0E keyusage { id-ce 15} 55 1D 0F privatekeyusageperiod { id-ce 16} 55 1D 10 subjectaltname { id-ce 17} 55 1D 11 basicconstraints { id-ce 19} 55 1D 13 crlnumber { id-ce 20} 55 1D 14 deltacrlindicator { id-ce 27} 55 1D 1B CRLDistributionPoints { id-ce 31} 55 1D 1F certificatepolicies { id-ce 32} 55 1D 20 anypolicy { id-ce 32 00} 55 1D authoritykeyidentifier { id-ce 35} 55 1D 23 extendedkeyusage { id-ce 37} 55 1D 25 anykeypurpose { id-ce 37 00} 55 1D freshestcrl { id-ce 46} 55 1D 2E PKCS-1 { iso(1) member-body(2) US(840) rsadsi(113549) pkcs(1) 1 } 2A F7 0D RsaEncryption { PKCS-1 1 } 2A F7 0D sha-1withrsaencryption { PKCS-1 5 } 2A F7 0D sha-256withrsaencryption { PKCS-1 11 } 2A F7 0D B id-pkix { iso(1) identified-organization(3) dod(6) internet(1) security(5) 2B mechanisms(5) pkix(7) } id-pe (private extensions) { id-pkix 1} 2B authorityinfoaccess { id-pe 1} 2B id-kp (extended keypurposes) { id-pkix 3} 2B id-kp-serverauth { id-kp 1} 2B id-kp-clientauth { id-kp 2} 2B id-kp-codesigning { id-kp 3} 2B id-kp- protection { id-kp 4} 2B id-kp-timestamping { id-kp 8} 2B id-kp-ocspsigning { id-kp 9} 2B id-ad (access descriptors) { id-pkix 48} 2B id-ad-caissuers { id-ad 1} 2B id-ad-ocsp { id-ad 2} 2B id-pkix-ocsp-nocheck { id-ad 5} 2B Microsoft Enrollment Infrastructure { iso(1) identified-organization(3) dod(6) internet(1) private(4) IANA registred private entreprises(1) microsoft(311) enrollment infrastructure(20) } 2B enroll_certype_extension { microsoft_enrollment_infrastructure enroll_certype (2) } 2B szoid_kp_smartcard_logon { enroll_certype_extension(2) } 2B Classification : Document public 49 / 67

50 A 3.2 Les identifiants d'objets privés utilisés dans l IGC-Santé A Les identifiants d'objets attribués par le GIP-CPS Les OID attribués par le GIP-CPS et utilisés dans les certificats de l IGC-Santé sont listés dans le tableau cidessous. Object Object Identifier (OID) Object Identifier (hex) id-gip { iso(1) member-body(2) France(250) type-org(1) gip-cps(71) } 2A 81 7A id-gip-carte { id-gip 1 } 2A 81 7A id-gip-carte-at (attribute) { id-gip-carte 2 } 2A 81 7A obsolète { id-gip-carte-at 1 } 2A 81 7A producttype { id-gip-carte-at 2 } 2A 81 7A (ex gipcardtype) tokenid { id-gip-carte-at 3 } 2A 81 7A (ex gipcardid) obsolète { id-gip-carte-at 4 } 2A 81 7A productcategory { id-gip-carte-at 5 } 2A 81 7A (ex gipcardcategory) obsolète { id-gip-carte-at 6 } 2A 81 7A professioncode { id-gip-carte-at 7 } 2A 81 7A futureprofessioncode { id-gip-carte-at 8 } 2A 81 7A obsolète { id-gip-carte-at 9 } 2A 81 7A id-gip-ext { id-gip 4 } 2A 81 7A id-gip-ext-at (attribute) { id-gip-ext 2 } 2A 81 7A oldps_idnat { id-gip-ext-at 3 } 2A 81 7A specialitesrpps { id-gip-ext-at 5 } 2A 81 7A tableauxpharmacien { id-gip-ext-at 6 } 2A 81 7A Classification : Document public 50 / 67

51 A Les identifiants d'objets attribués par l ASIP-Santé Les OID attribués par l ASIP-Santé et utilisés dans les certificats de l IGC-Santé sont listés dans le tableau ci-dessous (ne concerne que les OID des Politiques de Certification). Les OID des Politiques de Certification sont structurés comme suit : id-asipsante-pc Racine OID des Politiques de certification IGC-Santé { id-asipsante 1 7 } Construction de l OID d une PC { id-asipsante-pc a b c d v } a : b : c : 1 = Branche Production 2 = Branche de Test (les index b, c et d sont alors non significatifs) (leurs valeurs sont égales à 01) 1 = Branche Gamme Elémentaire 2 = Branche Gamme Standard 3 = Branche Gamme Fort 1 = Branche ACI Personnes Physiques 2 = Branche ACI Organisations 3 = Gabarits de niveau Racines (ACR) d : Référence gabarit dans la branche (non significatif pour le PC des ACR : d = 01) v : N de version de la PC Dans le tableau ci-dessous, les valeurs de v sont égales à 01 désignant les premières versions des PC. Object Object Identifier (OID) Object Identifier (hex) id-asipsante { iso(1) member-body(2) France(250) type-org(1) asip-sante(213) } 2A 81 7A 01 D5 id-asipsante-pc { id-asipsante 1 7 } 2A 81 7A 01 D id-asipsante-pc-prod { id-asipsante-pc 1 } 2A 81 7A 01 D id-asipsante-pc-prod-el-acr { id-asipsante-pc-prod-el 3 } 2A 81 7A 01 D PC-EL-ACR v1 { id-asipsante-pc-prod-el-acr 1 1} 2A 81 7A 01 D id-asipsante-pc-prod-el-pp { id-asipsante-pc-prod-el 1} 2A 81 7A 01 D PC-EL-PP-OCSP v1 { id-asipsante-pc-prod-el-pp 1 1} 2A 81 7A 01 D PC-EL-PP-CPx-SIGN v1 { id-asipsante-pc-prod-el-pp 2 1} 2A 81 7A 01 D PC-EL-PP-CPx-AUTH v1 { id-asipsante-pc-prod-el-pp 3 1} 2A 81 7A 01 D PC-EL-PP-CL-SIGN v1 { id-asipsante-pc-prod-el-pp 4 1} 2A 81 7A 01 D PC-EL-PP-CL-AUTH v1 { id-asipsante-pc-prod-el-pp 5 1} 2A 81 7A 01 D PC-EL-PP-CL-CONF v1 { id-asipsante-pc-prod-el-pp 6 1} 2A 81 7A 01 D id-asipsante-pc-prod-el-org { id-asipsante-pc-prod-el 2} 2A 81 7A 01 D PC-EL-ORG-OCSP v1 { id-asipsante-pc-prod-el-org 1 1} 2A 81 7A 01 D PC-EL-ORG-CPx-AUTH_SS v1 { id-asipsante-pc-prod-el-org 2 1} 2A 81 7A 01 D PC-EL-ORG-CL-SIGN v1 { id-asipsante-pc-prod-el-org 3 1} 2A 81 7A 01 D PC-EL-ORG-CL-AUTH_CLI v1 { id-asipsante-pc-prod-el-org 4 1} 2A 81 7A 01 D PC-EL-ORG-CL-SSL_SERV v1 { id-asipsante-pc-prod-el-org 5 1} 2A 81 7A 01 D PC-EL-ORG-CL-CONF v1 { id-asipsante-pc-prod-el-org 6 1} 2A 81 7A 01 D PC-EL-ORG-CL-SMIME v1 { id-asipsante-pc-prod-el-org 8 1} 2A 81 7A 01 D id-asipsante-pc-prod-st-acr { id-asipsante-pc-prod-st 3 } 2A 81 7A 01 D PC-ST-ACR v1 { id-asipsante-pc-prod-st-acr 1 1} 2A 81 7A 01 D id-asipsante-pc-prod-st-pp { id-asipsante-pc-prod-st 1} 2A 81 7A 01 D PC-ST-PP-OCSP v1 { id-asipsante-pc-prod-st-pp 1 1} 2A 81 7A 01 D PC-ST-PP-CPx-SIGN v1 { id-asipsante-pc-prod-st-pp 2 1} 2A 81 7A 01 D PC-ST-PP-CPx-AUTH v1 { id-asipsante-pc-prod-st-pp 3 1} 2A 81 7A 01 D id-asipsante-pc-prod-fo-acr { id-asipsante-pc-prod-fo 3 } 2A 81 7A 01 D PC-FO-ACR v1 { id-asipsante-pc-prod-fo-acr 1 1} 2A 81 7A 01 D id-asipsante-pc-prod-fo-pp { id-asipsante-pc-prod-fo 1} 2A 81 7A 01 D PC-FO-PP-OCSP v1 { id-asipsante-pc-prod-fo-pp 1 1} 2A 81 7A 01 D PC-FO-PP-CPx-SIGN v1 { id-asipsante-pc-prod-fo-pp 2 1} 2A 81 7A 01 D PC-FO-PP-CPx-AUTH v1 { id-asipsante-pc-prod-fo-pp 3 1} 2A 81 7A 01 D Classification : Document public 51 / 67

52 Object Object Identifier (OID) Object Identifier (hex) id-asipsante-pc-test { id-asipsante-pc 2 } 2A 81 7A 01 D PC-Test v1 { id-asipsante-pc-test } 2A 81 7A 01 D Il y a une seule PC pour l'igc-santé de Test. L OID unique correspondant est renseigné dans tous les certificats utilisateur de test. Classification : Document public 52 / 67

53 Annexe 4 Les URL référencés dans les certificats de l IGC-Santé Notes génériques concernant les URL de Production et de Test : Les espaces dans les URL HTTP sont remplacés par la chaîne "%20" dans les certificats. Le sous-domaine "annuaire-igc.esante.gouv.fr" est rerouté sur "annuaire.gip-cps.fr". A 4.1 Les URL dans les certificats de Production A Production : Les URL pointant vers les certificats ACR et ACI Noms dans gabarits certificat ACR EL certificat ACI EL-PP certificat ACI EL-ORG certificat ACR ST certificat ACI ST-PP certificat ACI ST-ORG certificat ACR FO certificat ACI FO-PP URL dans les certificats de Production A Production : Les URL des CRL (crldistribitionpoints) Noms dans gabarits CRL ACR EL CRL ACI EL-PP CRL ACI EL-ORG CRL ACR ST CRL ACI ST-PP CRL ACI ST-ORG CRL ACR FO CRL ACI FO-PP URL dans les certificats de Production ldap://annuaire-igc.esante.gouv.fr/cn=ac RACINE IGC-SANTE ELEMENTAIRE, ou=igc-sante,ou= ,o=ASIP-SANTE,c=FR?certificaterevocationlist;binary?base?objectClass=pkiCA ldap://annuaire-igc.esante.gouv.fr/cn=ac IGC-SANTE ELEMENTAIRE PERSONNES, ou=ac RACINE IGC-SANTE ELEMENTAIRE,ou=IGC-SANTE,ou= , o=asip-sante,c=fr?certificaterevocationlist;binary?base?objectclass=pkica ldap://annuaire-igc.esante.gouv.fr/cn=ac IGC-SANTE ELEMENTAIRE ORGANISATIONS, ou=ac RACINE IGC-SANTE ELEMENTAIRE,ou=IGC-SANTE,ou= , o=asip-sante,c=fr?certificaterevocationlist;binary?base?objectclass=pkica ldap://annuaire-igc.esante.gouv.fr/cn=ac RACINE IGC-SANTE STANDARD, ou=igc-sante,ou= ,o=ASIP-SANTE,c=FR?certificaterevocationlist;binary?base?objectClass=pkiCA ldap://annuaire-igc.esante.gouv.fr/cn=ac IGC-SANTE STANDARD PERSONNES, ou=ac RACINE IGC-SANTE STANDARD,ou=IGC-SANTE,ou= , o=asip-sante,c=fr?certificaterevocationlist;binary?base?objectclass=pkica ldap://annuaire-igc.esante.gouv.fr/cn=ac IGC-SANTE STANDARD ORGANISATIONS, ou=ac RACINE IGC-SANTE STANDARD,ou=IGC-SANTE,ou= , o=asip-sante,c=fr?certificaterevocationlist;binary?base?objectclass=pkica ldap://annuaire-igc.esante.gouv.fr/cn=ac RACINE IGC-SANTE FORT, ou=igc-sante,ou= ,o=ASIP-SANTE,c=FR?certificaterevocationlist;binary?base?objectClass=pkiCA ldap://annuaire-igc.esante.gouv.fr/cn=ac IGC-SANTE FORT PERSONNES, ou=ac RACINE IGC-SANTE FORT,ou=IGC-SANTE,ou= , o=asip-sante,c=fr?certificaterevocationlist;binary?base?objectclass=pkica Classification : Document public 53 / 67

54 A Production : Les URL des delta-crl (freshestcrl) Les delta-crl sont uniquement émises par les AC Intermédiaires. Noms dans gabarits delta-crl ACI EL-PP delta-crl ACI EL-ORG delta-crl ACI ST-PP delta-crl ACI ST-ORG delta-crl ACI FO-PP URL dans les certificats de Production ldap://annuaire-igc.esante.gouv.fr/cn=ac IGC-SANTE ELEMENTAIRE PERSONNES, ou=ac RACINE IGC-SANTE ELEMENTAIRE,ou=IGC-SANTE,ou= , o=asip-sante,c=fr?deltarevocationlist;binary?base?objectclass=pkica ldap://annuaire-igc.esante.gouv.fr/cn=ac IGC-SANTE ELEMENTAIRE ORGANISATIONS, ou=ac RACINE IGC-SANTE ELEMENTAIRE,ou=IGC-SANTE,ou= , o=asip-sante,c=fr?deltarevocationlist;binary?base?objectclass=pkica ldap://annuaire-igc.esante.gouv.fr/cn=ac IGC-SANTE STANDARD PERSONNES, ou=ac RACINE IGC-SANTE STANDARD,ou=IGC-SANTE,ou= , o=asip-sante,c=fr?deltarevocationlist;binary?base?objectclass=pkica ldap://annuaire-igc.esante.gouv.fr/cn=ac IGC-SANTE STANDARD ORGANISATIONS, ou=ac RACINE IGC-SANTE STANDARD,ou=IGC-SANTE,ou= , o=asip-sante,c=fr?deltarevocationlist;binary?base?objectclass=pkica ldap://annuaire-igc.esante.gouv.fr/cn=ac IGC-SANTE FORT PERSONNES, ou=ac RACINE IGC-SANTE FORT,ou=IGC-SANTE,ou= , o=asip-sante,c=fr?deltarevocationlist;binary?base?objectclass=pkica A Production : Les URL divers Noms dans gabarits URL dans les certificats de Production certpolicyqualifier Répondeur OCSP Il y a un seul répondeur OCSP pour tous les certificats utilisateur (Production et Test) Classification : Document public 54 / 67

55 A 4.2 Les URL dans les certificats de Test A Test : Les URL pointant vers les certificats ACR et ACI Noms dans gabarits certificat ACR EL certificat ACI EL-PP certificat ACI EL-ORG certificat ACR ST certificat ACI ST-PP certificat ACI ST-ORG certificat ACR FO certificat ACI FO-PP URL dans les certificats de Test TEST/ACR-EL-TEST.cer TEST /ACI-EL-PP-TEST.cer TEST /ACI-EL-ORG-TEST.cer TEST /ACR-ST-TEST.cer TEST /ACI-ST-PP-TEST.cer TEST /ACI-ST-ORG-TEST.cer TEST /ACR-FO-TEST.cer TEST /ACI-FO-PP-TEST.cer A Test : Les URL des CRL (crldistribitionpoints) Noms dans gabarits CRL ACR EL CRL ACI EL-PP CRL ACI EL-ORG CRL ACR ST CRL ACI ST-PP CRL ACI ST-ORG CRL ACR FO CRL ACI FO-PP URL dans les certificats de Test ldap://annuaire-igc.esante.gouv.fr/cn=test AC RACINE IGC-SANTE ELEMENTAIRE,ou=IGC-SANTE TEST, ou= ,o=ASIP-SANTE,c=FR?certificaterevocationlist;binary?base?objectClass=pkiCA ldap://annuaire-igc.esante.gouv.fr/cn=test AC IGC-SANTE ELEMENTAIRE PERSONNES, ou=test AC RACINE IGC-SANTE ELEMENTAIRE,ou=IGC-SANTE TEST,ou= , o=asip-sante,c=fr?certificaterevocationlist;binary?base?objectclass=pkica ldap://annuaire-igc.esante.gouv.fr/cn=test AC IGC-SANTE ELEMENTAIRE ORGANISATIONS, ou=test AC RACINE IGC-SANTE ELEMENTAIRE,ou=IGC-SANTE TEST,ou= , o=asip-sante,c=fr?certificaterevocationlist;binary?base?objectclass=pkica ldap://annuaire-igc.esante.gouv.fr/cn=test AC RACINE IGC-SANTE STANDARD,ou=IGC-SANTE TEST, ou= ,o=ASIP-SANTE,c=FR?certificaterevocationlist;binary?base?objectClass=pkiCA ldap://annuaire-igc.esante.gouv.fr/cn=test AC IGC-SANTE STANDARD PERSONNES, ou=test AC RACINE IGC-SANTE STANDARD,ou=IGC-SANTE TEST, ou= ,o=ASIP-SANTE,c=FR?certificaterevocationlist;binary?base?objectClass=pkiCA ldap://annuaire-igc.esante.gouv.fr/cn=test AC IGC-SANTE STANDARD ORGANISATIONS, ou=test AC RACINE IGC-SANTE STANDARD,ou=IGC-SANTE TEST, ou= ,o=ASIP-SANTE,c=FR?certificaterevocationlist;binary?base?objectClass=pkiCA ldap://annuaire-igc.esante.gouv.fr/cn=test AC RACINE IGC-SANTE FORT,ou=IGC-SANTE TEST, ou= ,o=ASIP-SANTE,c=FR?certificaterevocationlist;binary?base?objectClass=pkiCA ldap://annuaire-igc.esante.gouv.fr/cn=test AC IGC-SANTE FORT PERSONNES, ou=test AC RACINE IGC-SANTE FORT,ou=IGC-SANTE TEST, ou= ,o=ASIP-SANTE,c=FR?certificaterevocationlist;binary?base?objectClass=pkiCA Classification : Document public 55 / 67

56 A Test : Les URL des delta-crl (freshestcrl) Les delta-crl sont uniquement émises par les AC Intermédiaires. Noms dans gabarits delta-crl ACI EL-PP delta-crl ACI EL-ORG delta-crl ACI ST-PP delta-crl ACI ST-ORG delta-crl ACI FO-PP URL dans les certificats de Test ldap://annuaire-igc.esante.gouv.fr/cn=test AC IGC-SANTE ELEMENTAIRE PERSONNES, ou=test AC RACINE IGC-SANTE ELEMENTAIRE,ou=IGC-SANTE TEST, ou= ,o=ASIP-SANTE,c=FR?deltarevocationlist;binary?base?objectClass=pkiCA ldap://annuaire-igc.esante.gouv.fr/cn=test AC IGC-SANTE ELEMENTAIRE ORGANISATIONS, ou=test AC RACINE IGC-SANTE ELEMENTAIRE,ou=IGC-SANTE TEST, ou= ,o=ASIP-SANTE,c=FR?deltarevocationlist;binary?base?objectClass=pkiCA ldap://annuaire-igc.esante.gouv.fr/cn=test AC IGC-SANTE STANDARD PERSONNES, ou=test AC RACINE IGC-SANTE STANDARD,ou=IGC-SANTE TEST, ou= ,o=ASIP-SANTE,c=FR?deltarevocationlist;binary?base?objectClass=pkiCA ldap://annuaire-igc.esante.gouv.fr/cn=test AC IGC-SANTE STANDARD ORGANISATIONS, ou=test AC RACINE IGC-SANTE STANDARD,ou=IGC-SANTE TEST, ou= ,o=ASIP-SANTE,c=FR?deltarevocationlist;binary?base?objectClass=pkiCA ldap://annuaire-igc.esante.gouv.fr/cn=test AC IGC-SANTE FORT PERSONNES, ou=test AC RACINE IGC-SANTE FORT,ou=IGC-SANTE TEST, ou= ,o=ASIP-SANTE,c=FR?deltarevocationlist;binary?base?objectClass=pkiCA A Test : Les URL divers Noms dans gabarits URL dans les certificats de Test certpolicyqualifier TEST Répondeur OCSP Il y a un seul répondeur OCSP pour tous les certificats utilisateur (Production et Test) Classification : Document public 56 / 67

57 Annexe 5 Gestion des objets ASN.1 A 5.1 Les grands principes de l ASN.1 A La notation ASN.1 L ISO décrit à travers le modèle OSI (Open Systems Interconnection) une architecture standardisée régissant les interconnections de systèmes informatiques. La description de ce système complexe nécessite un haut niveau d abstraction. La méthode utilisée dans le cadre de l OSI pour spécifier des objets abstraits est appelée ASN.1 (Abstract Syntax Notation One). Chaque objet est identifié par un code qui lui est attribué de manière définitive. A Codification des objets en ASN.1 Chaque objet a le format TLV (Tag Length Value) : le champ Tag indique le type d'objet, le champ Length indique la longueur de l'objet, le champ Value contient la valeur de l'objet. A Codification des tags Les bits 8 et 7 indiquent la classe. Le bit 6 indique si le tag est construit (bit 6 = 1) ou simple (bit 6 = 0) ; un objet construit contient un ou plusieurs autres objets. Les bits 5 à 1 donnent le numéro de tag. Classe Bit 8 Bit 7 Bit 6 Bit 5 Bit 4 Bit 3 Bit 2 Bit 1 Universal 0 0 X Application 0 1 X Context-specific 1 0 X Private 1 1 X Numéro du tag Note : Le terme «template» désigne des objets construits (bit 6 = 1). Classification : Document public 57 / 67

58 A Valeurs des TAGs universels Type d'objet Tag number (hexa) End-of-contents (length = 0) 00 BOOLEAN 01 INTEGER 02 BIT STRING 03 OCTET STRING 04 NULL 05 OBJECT IDENTIFIER 06 SEQUENCE and SEQUENCE OF (simple) 10 SEQUENCE and SEQUENCE OF (constructed) 30 ( ) SET and SET OF (simple) 11 SET and SET OF (constructed) 31 ( ) UTF8String 0C PrintableString 13 T61String 14 IA5String 16 UTCTime 17 Generalised-time 18 A Codification des longueurs des objets Longeur L 1 er octet 2 ème octet 3 ème octet 4 ème octet L 7F L 7F < L FF 81 L FF < L FF FF 82 L1 L2 FF FF < L FF FF FF 83 L1 L2 L3 Note : «L= '80'» indique une longueur indéfinie (non utilisée dans le contexte de l IGC-Santé). A Précisions sur la construction d'objets Les "INTEGER" sont codés sur n octets signés, exemples : Valeur à coder Format de l'objet F FF 7F Note : Dans l'encodage "DER" utilisé dans les certificats, la taille de l'objet doit être optimisée : tous les octets de poids fort à 0 inutiles doivent être supprimés. La valeur de l'objet ne peut que commencer avec un 0 pour éviter qu'un integer positif soit interprété comme une valeur négative (cf. exemple pour la valeur 128). Classification : Document public 58 / 67

59 Une "BIT STRING" commence par un octet donnant le nombre de bits non utilisés à la fin de la chaîne des octets. Valeur à coder Format de l'objet 1 bit à '1' bits à '1' FE Un "BOOLEAN" est codé comme suit : Valeur à coder Format de l'objet TRUE FF FALSE Classification : Document public 59 / 67

60 Annexe 6 Exemples de codage dans les certificats de l IGC-Santé Le codage ASN.1 des certificats de l IGC-Santé respecte le RFC 5280 [3]. Le A «Extensions standards utilisées dans les certificats de l IGC-Santé» donne un rappel de la syntaxe et spécifie, si besoin, les options retenues pour l IGC-Santé. La présente annexe donne des exemples de codage en ASN.1 des DN des porteurs de certificats ainsi que des extensions privées de l IGC-Santé. Notez que les RDN composés respectent le standard ASN.1 DER. A 6.1 Exemples de codage des DN des porteurs de certificats A Exemples de codage des DN des Personnes physiques A DN d un professionnel de santé (non attaché à une structure) Professionnel de Santé réglementé c= FR title= Médecin gn= MARIE sn= DUPONT Les RDN gn, sn et cn sont groupés dans un RDN composé cn= SEQUENCE OF (RelDistName) 31 0B -- SET OF (AttributeTypeAndValue) SEQUENCE country PRINTABLE STRING «FR» SET OF (AttributeTypeAndValue) 30 0E -- SEQUENCE C -- title 0C UTF8String 4D E E -- «Médecin» SET OF (AttributeTypeAndValue) 30 0C -- SEQUENCE A -- givenname 0C UTF8String 4D «MARIE» 30 0F -- SEQUENCE surname 0C UTF8String F 4E «DUPONT» SEQUENCE commonname 0C 0C -- UTF8String PS_IdNat = RPPS « » Classification : Document public 60 / 67

61 A DN d un professionnel de santé rattaché à une structure Professionnel de Santé en Formation rattaché à une structure c= FR st= Ain (01) o= PHARMACIE DU PARC ou= (FINESS) title= Pharmacien en formation gn= JEAN sn= LEGRAND Les RDN gn, sn et cn sont groupés dans un RDN composé cn= A4 -- SEQUENCE OF (RelDistName) 31 0B -- SET OF (AttributeTypeAndValue) SEQUENCE country PRINTABLE STRING «FR» SET OF (AttributeTypeAndValue) 30 0E -- SEQUENCE stateorprovincename 0C UTF8String E «Ain (01)» 31 1A -- SET OF (AttributeTypeAndValue) SEQUENCE A -- organisation 0C UTF8String D «PHARMACIE DU PARC» SET OF (AttributeTypeAndValue) SEQUENCE B -- organisationalunit 0C 0A -- UTF8String Struct_IdNat = « » SET OF (AttributeTypeAndValue) 30 1E -- SEQUENCE C -- title 0C UTF8String D E E F 72 6D F 6E -- «Pharmacien en formation» SET OF (AttributeTypeAndValue) 30 0B -- SEQUENCE A -- givenname 0C UTF8String 4A E -- «JEAN» 30 0E -- SEQUENCE surname 0C UTF8String 4C E «LEGRAND» SEQUENCE commonname 0C 0C -- UTF8String PS_IdNat = N Etudiant « » Classification : Document public 61 / 67

62 A DN d un Personnel de structure Personnel de structure c= FR st= Orne (61) o= DMP REGIONAL ou= (SIRET) title= Personnel autorisé gn= PIERRE sn= MARTIN Les RDN gn, sn et cn sont groupés dans un RDN composé cn= /PMA SEQUENCE OF (RelDistName) 31 0B -- SET OF (AttributeTypeAndValue) SEQUENCE country PRINTABLE STRING «FR» SET OF (AttributeTypeAndValue) SEQUENCE stateorprovincename 0C UTF8String 4F 72 6E «Orne (61)» SET OF (AttributeTypeAndValue) SEQUENCE A -- organisation 0C 0A -- UTF8String 44 4D F 4E 41 4C -- «DMP REGIONAL» SET OF (AttributeTypeAndValue) SEQUENCE B -- organisationalunit 0C 0E -- UTF8String Struct_IdNat = « » 31 1A -- SET OF (AttributeTypeAndValue) SEQUENCE C -- title 0C UTF8String F 6E 65 6C F E9 -- «Personnel autorisé» 31 3E -- SET OF (AttributeTypeAndValue) 30 0F -- SEQUENCE surname 0C UTF8String 4D E -- «MARTIN» 30 0F -- SEQUENCE A -- givenname 0C UTF8String «PIERRE» 30 1A -- SEQUENCE commonname 0C UTF8String F 50 4D PS_IdNat = « /PMA» Classification : Document public 62 / 67

63 A DN d une Carte de Service attachée à une Structure Carte de Service attachée à une Structure c= FR st= Lot (46) o= LABORATOIRE DE LA GARE ou= (FINESS) title= Carte de service santé ou social pseudo = EMPLOYE 01 cn= /0023 Les RDN pseudo et cn sont groupés dans un RDN composé SEQUENCE OF (RelDistName) 31 0B -- SET OF (AttributeTypeAndValue) SEQUENCE country PRINTABLE STRING «FR» SET OF (AttributeTypeAndValue) 30 0F -- SEQUENCE stateorprovincename 0C UTF8String 4C 6F «Lot (46)» 31 1D -- SET OF (AttributeTypeAndValue) 30 1B -- SEQUENCE A -- organisation 0C UTF8String 4C F F C «LABORATOIRE DE LA GARE» SET OF (AttributeTypeAndValue) SEQUENCE B -- organisationalunit 0C 0A -- UTF8String Struct_IdNat = « » 31 2B -- SET OF (AttributeTypeAndValue) SEQUENCE pseudonyme 0C 0A -- UTF8String 45 4D 50 4C 4F «EMPLOYE 01» SEQUENCE commonname 0C 0F -- UTF8String F PS_IdNat = « /0023» Classification : Document public 63 / 67

64 A A Exemples de codage des DN des Organisations DN d un certificat applicatif de structure DN d un certificat applicatif de structure c= FR st= Jura (39) o= HOPITAL REGIONAL ou= (FINESS) cn= PROXY DMP SEQUENCE OF (RelDistName) 31 0B -- SET OF (AttributeTypeAndValue) SEQUENCE country PRINTABLE STRING «FR» SET OF (AttributeTypeAndValue) SEQUENCE stateorprovincename 0C UTF8String 4A «Jura (39)» SET OF (AttributeTypeAndValue) SEQUENCE A -- organisation 0C UTF8String 48 4F C F 4E 41 4C -- «HOPITAL REGIONAL» SET OF (AttributeTypeAndValue) SEQUENCE B -- organisationalunit 0C 0A UTF8String -- Struct_IdNat = « » SET OF (AttributeTypeAndValue) SEQUENCE commonname 0C UTF8String F D Nom applicatif = «PROXY DMP» Classification : Document public 64 / 67

65 A DN d un certificat d authentification CPX pour mode sans contact DN d un certificat d authentification CPx pour mode sans contact nouveau, étape 2 c= FR o= ASIP-SANTE cn= F (IAS Serial Number) SEQUENCE OF (RelDistName) 31 0B -- SET OF (AttributeTypeAndValue) SEQUENCE country PRINTABLE STRING «FR» SET OF (AttributeTypeAndValue) SEQUENCE A -- organisation 0C 0A -- UTF8String D E «ASIP-SANTE» 31 1D -- SET OF (AttributeTypeAndValue) 30 1B -- SEQUENCE commonname 0C UTF8String IAS Serial Number: « F» Classification : Document public 65 / 67

66 A 6.2 Exemples de codage des extensions privées Ci-dessous quelques exemples de codage des extensions privées absentes dans l exemple ci-dessus. A Exemple de codage de «productcategory» Exemple de codage de l extension productcategory avec la valeur 00 pour désigner une carte de la famille CPS : 30 0F -- SEQUENCE OBJECT IDENTIFIER 2A 81 7A productcategory OCTET STRING OCTET STRING = Carte PS A Exemple de codage de «producttype» Exemple de codage de l extension producttype avec la valeur 00 pour désigner une carte CPS : 30 0F -- SEQUENCE OBJECT IDENTIFIER 2A 81 7A producttype OCTET STRING INTEGER = CPS A Exemple de codage de «tokenid» Exemple de codage de l extension tokenid d une carte de la famille CPS, émis par l ASIP-Santé, identifié par « » avec un numéro de série « » : SEQUENCE OBJECT IDENTIFIER 2A 81 7A tokenid OCTET STRING: issuerid/cardserialn PRINTABLE STRING F « / » A Exemple de codage de «professioncode» Exemple de codage de l extension professioncode d un certificat dont le porteur est «Médecin». 30 0F -- SEQUENCE OBJECT IDENTIFIER 2A 81 7A professioncode OCTET STRING INTEGER 0A = Médecin A Exemple de codage de «futureprofessioncode» Exemple de codage de l extension futureprofessioncode d un certificat dont le porteur est «Future Chirurgien-dentiste» : 30 0F -- SEQUENCE OBJECT IDENTIFIER 2A 81 7A futureprofessioncode OCTET STRING INTEGER = Chirurgien-Dentiste en formation Classification : Document public 66 / 67

67 A Exemple de codage de «oldps_idnat» Exemple de codage de l extension oldps_idnat d un PS, registré dans le RPPS, dont l ancienne identité était le N Adeli « » : SEQUENCE OBJECT IDENTIFIER 2A 81 7A oldinatps 04 0C -- OCTET STRING: 13 0A -- printable string PS_IdNat Adeli = « » A Exemple de codage de «specialitesrpps» Exemple de codage de l extension specialitesrpps d un Médecin dont la spécialité d exercice est «SM26» (Qualifié en Médecine Générale) : SEQUENCE OBJECT IDENTIFIER 2A 81 7A specialitesrpps OCTET STRING SEQUENCE 0C UTF-8 string 53 4D Spécialite RPPS = «SM26» A Exemple de codage de «tableauxpharmacien» Exemple de codage de l extension tableauxpharmacien d un Pharmacien qui est inscrit sur les tableaux A (Pharmacien titulaire d'officine) et C (Pharmacien d'une entreprise - Distribution en gros) : 30 1C -- SEQUENCE OBJECT IDENTIFIER 2A 81 7A tableauxpharmacien OCTET STRING SEQUENCE 0C UTF-8 string: Tableau Pharmacien 1 : «A» 0C UTF-8 string: Tableau Pharmacien 2 : «C» A CPx Exemple de codage de «SubjectAltName» avec UPN pour une Exemple de codage de l extension subjectaltname dans le certificat d authentification d une carte CPx contenant un UPN construit à partir d un identifiant RPPS « » : SEQUENCE 55 1D subjectaltname 04 2E -- OCTET STRING 30 2C -- sequence of generalname A0 2A -- Other Name 06 0A -- OID 2B Microsoft UPN A0 1C -- SEQUENCE 0C 1A - UTF-8 string 38 2E D E « @carte-cps.fr» Classification : Document public 67 / 67