BNB-SF bulevard de Berlaimnt 14 BE-1000 BRUXELLES vtre lettre du vs références ns références vtre crrespndant date EX/2007-4805/F H. Schllaert 2007-09-26 HS/MT Gestin des accès CSSR tél. + 32 2 221 49 39 fax + 32 2 221 32 99 e-mail: access.cssr@nbb.be Nuveaux certificats - CSSR (Central Server fr Statistical Reprting) Madame, Mnsieur, Par cette lettre, nus vus infrmns que la Banque natinale de Belgique (BNB) a apprté des mdificatins imprtantes à sn infrastructure de gestin des certificats électrniques (PKI). Le remplacement de l'infrastructure PKI nus permet d'utiliser au maximum des slutins standard ffrant un meilleur service. Ainsi, il sera pssible de charger des fichiers nn-encryptés dans le CSSR. A cet effet, une ptin supplémentaire sera prévue dans le menu. L'envi des fichiers encryptés et signés cmme annexe d'un e-mail reste parallèlement dispnible, ainsi que le chargement de ces fichiers dans le CSSR. De plus, le changement est une étape nécessaire en vue de permettre l'utilisatin de certificats émis par une tierce partie. Nus suhaitns également vus infrmer que l'envi des fichiers zip est pssible, aussi bien les fichiers encryptés (ù la cmpressin se prduit avant l'encryptage) que les nn-encryptés. Ces mdificatins nt tutefis un impact pur les établissements de crédit et les rganismes de placement cllectif à caractère mnétaire qui cnsultent et alimentent le CSSR, étant dnné que les messages échangés entre les déclarants et le CSSR snt signés par des certificats électrniques qui utilisent l'infrastructure PKI. En cnséquence, tus les certificats existants devrnt être remplacés par des certificats générés par la nuvelle infrastructure PKI de la BNB. Cette pératin nécessite vtre cllabratin. Vus puvez dès maintenant cnvertir vs certificats existants. Pur ce faire, vus ne devez pas vus rendre à la BNB, il suffit d exécuter la prcédure de cnversin mise à vtre dispsitin sur un site Internet spécifique. En annexe, vus truverez la dcumentatin nécessaire pur cnvertir le certificat actuel et pur utiliser le nuveau certificat dans les cmmunicatins avec le CSSR. En cas de prblème, ntre Helpdesk technique se tient à vtre dispsitin du lundi au vendredi de 7h45 à 17h15 (02 221 40 60 u helpdesk@ nbb.be). Statistiques financières Banque natinale de Belgique s.a. bulevard de Berlaimnt 14 BE-1000 BRUXELLES tél. + 32 2 221 43 73 fax + 32 2 221 31 97 www.nbb.be TVA BE 0203.201.340 RPM Bruxelles
Page 2/2 2007-09-26 Le planning à respecter est le suivant: Cnversin du certificat actuel: à effectuer jusqu'au 15 nvembre 2007 au plus tard. Utilisatin du nuveau certificat dans l'envirnnement de test (nuvel URL: https://cssr-test.nbb.be/dqs ): pssible à partir du 17 septembre 2007 - bligatire à partir du 16 nvembre 2007. Utilisatin du nuveau certificat dans l'envirnnement de prductin (nuvel URL: https://cssr.nbb.be/dqs ): pssible à partir du 1 ctbre 2007 - bligatire à partir du 16 nvembre 2007. Utilisatin du certificat actuel dans les envirnnements de test et de prductin: pssible en parallèle jusqu'au 15 nvembre 2007 au plus tard. Enfin, nus insistns sur l'imprtance pur vus d une réalisatin crrecte de vtre part de cette pératin. En effet, à partir du 16 nvembre 2007, la cmmunicatin avec le CSSR ne sera plus pssible qu'avec le nuveau certificat u, si suhaité, via un certificat furni par une tierce partie. Si au sein de vtre entreprise, vus dispsez d'un service IT, nus vus cnseillns de lui transmettre ce currier afin qu'il puisse vus assister si nécessaire. Nus restns à vtre dispsitin pur tut renseignement cmplémentaire et vus remercins d'avance pur vtre cllabratin. Veuillez agréer, Madame, Mnsieur, l assurance de ntre cnsidératin distinguée. A. Peters R. Acx Respnsable du prjet CSSR Chef du Département Statistique générale
Annexe 1 1. Infrmatin générale Lisez attentivement la dcumentatin et les instructins jintes. L'autrisatin d'utiliser des certificats électrniques pur vs cmmunicatins avec le CSSR est subrdnnée à l'acceptatin des dcuments "Certificate Plicy" (CP) et "Certificate Practice Statement fr external cunterparties" (CPS). Suite à la mdificatin de l'infrastructure PKI de la Banque natinale de Belgique, une nuvelle versin de ces dcuments a été rédigée (versin 2.0). Cette nuvelle versin peut être téléchargée sur le nuveau site d enregistrement (enrllment site) à l adresse https://ssl.nbb.be/nbbxenrll. Vus devez marquer explicitement vtre accrd avec la versin 2.0 de ces dcuments. A cet effet, nus vus demandns de nus renvyer, avant le 16 nvembre 2007, le frmulaire en annexe dûment signé. Pur réaliser avec succès la prcédure de cnversin de vs certificats électrniques, vus devez dispser : d'un pc avec la cnfiguratin minimale suivante : système d'explitatin Windws 2000 SP2 (u plus récent) ; Internet Explrer versin 6 (u supérieure) ; attentin : les autres systèmes d'explitatin et d'internet brwsers ne snt pas supprtés actuellement. des drits d'administrateur sur ce pc. Si ce n'est pas le cas, vus recevrez un message d'erreur. Veuillez alrs cntacter le service IT de vtre sciété pur assistance. Vus aurez également besin des manuels suivants, téléchargeables depuis le site d enregistrement (enrllment site) à l adresse https://ssl.nbb.be/nbbxenrll : "Gestin d'un certificat BNB" (-> Dwnlads ->Enrllment prcedure) "Gestin des certificats en Internet Explrer" (-> Dwnlads -> Certificate management) Si vus dispsez de plusieurs certificats, vus devrez exécuter la prcédure décrite ci-dessus pur chaque certificat. Vus devez successivement exécuter les étapes suivantes: cnversin du certificat actuel en nuveau certificat et installatin du nuveau certificat dans l'internet brwser (cf. pint 2 ci-après) exprtatin du nuveau certificat (cf. pint 3 ci-après) cnnexin à l'applicatin Internet de le CSSR (cf. pint 4 ci-après) 2. Cnversin du certificat actuel en nuveau certificat et installatin du nuveau certificat dans l'internet brwser Aller sur l'enrllment site en intrduisant l'adresse suivante dans vtre Internet brwser: https://ssl.nbb.be/nbbxenrll. Pur éviter de devir réintrduire cette adresse à l'avenir, nus vus cnseillns de l'ajuter à vs "Favris". Intrduire vtre Username (= numér NUIN u NBB Unique Identificatin Number) que vus avez reçu, à l'rigine, de la BNB dans une envelppe fermée afin de créer le certificat actuel. Ensuite, intrduire le mt de passe qui était dans la même envelppe et que vus avez mdifié. Si vus avez ublié vtre Username et/u le Passwrd et que vus ne dispsez plus des dcuments riginaux, veuillez cntacter le gestinnaire des accès du CSSR du lundi au vendredi de 8h30 à 16h45 au numér 02 221 49 39. Lrsque vus aurez intrduit ces dnnées, un écran reprenant ntamment la dernière adresse e-mail que vus avez cmmuniquée lrs de vtre demande riginale du certificat, apparaîtra. Cette adresse e-mail sera enregistrée dans le nuveau certificat. Si elle n'est plus crrecte, elle dit être mdifiée par le gestinnaire des accès CSSR. A cette fin, la prcédure est la suivante:
2. Interrmpre la prcédure de transfrmatin du certificat en cliquant sur "Lg ut". Avertir le gestinnaire des accès CSSR au myen d un e-mail adressé à access.cssr@nbb.be. Dans cet e-mail, mentinner explicitement que lrs de la cnversin d un certificat sur l'enrllment site, l'adresse e-mail mentinnée n'est plus crrecte et que vus suhaitez la mdifier. Il est abslument indispensable de nus cmmuniquer la nuvelle adresse e-mail, vtre cde participant et vtre Username (NUIN). Le gestinnaire des accès CSSR apprtera les mdificatins nécessaires et vus le cnfirmera via e-mail. Le jur uvrable suivant, vus purrez cnvertir le certificat actuel en nuveau certificat. La suite de la prcédure de cnversin du certificat est décrite dans le dcument "Gestin d'un certificat BNB". Suivez attentivement les instructins à partir du chapitre 4 (Prcédure de génératin et installatin d'un certificat BNB), pint 5 (installer le Rt CA Certificate). 3. Exprtatin du nuveau certificat Le nuveau certificat que vus avez créé est installé dans l Internet brwser de vtre pc. Le but de l'pératin d exprtatin est de créer un fichier qui cntient ce certificat et qui peut être cnservé sur un supprt au chix. Si vus utilisez l Offline Signing Tl (OST) il est indispensable d'exprter le nuveau certificat que vus avez installé dans vtre Internet brwser. Même si vus n'utilisez pas l OST, nus vus cnseillns de réaliser une exprtatin du nuveau certificat afin de dispser d une cpie de sécurité (back-up) Si vus suhaitez installer le nuveau certificat sur un autre pc, il est également indispensable que vus exprtiez le certificat afin de puvir l'imprtez dans l'internet brwser de l'autre pc (cf. pint 4 ci-après). La prcédure pur exprter un certificat est décrite dans le dcument "Gestin des certificats en Internet Explrer". Suivez attentivement les instructins de ce manuel (chapitres 1 et 2). Si le butn «Certificat» (vir chapitre 2, 5ème bullet de ce manuel) n'est pas activé, vus devez prendre cntact avec le service IT de vtre sciété pur assistance. Cchez tutes les mentins cmme indiqué sur les print screens dans le manuel. Attentin: ce n'est pas la cnfiguratin standard. Cnservez signeusement et dans un endrit sécurisé le mt de passe que l'n vus demande d'intrduire lrs de l pératin d exprtatin. Vus avez besin de ce mt de passe pur imprter le certificat dans l'internet brwser d'un autre pc, pur utiliser l Offline Signing Tl et éventuellement pur imprter le backup du certificat dans vtre Internet brwser. Si par la suite, vus ne retruvez plus ce mt de passe, vus devrez exécuter à nuveau la prcédure d exprtatin dans laquelle n vus demandera d'intrduire un nuveau mt de passe. 4. Imprtatin du nuveau certificat Vus devez effectuer cette prcédure uniquement si vus devez à nuveau installer le back-up d'un certificat dans vtre Internet brwser u si vus suhaitez installer le certificat dans l'internet brwser d'un autre pc (cf. pint 3 ci-avant). La prcédure pur imprter un certificat est décrite dans le dcument "Gestin des certificats en Internet Explrer". Suivez attentivement ce manuel (chapitre 3). Attentin, le mt de passe demandé est celui que vus avez défini lrs de l'exprtatin du certificat (cf. pint 3 ci-avant). Si vus ne retruvez plus ce mt de passe, vus devrez effectuer une nuvelle exprtatin dans laquelle n vus demandera d'intrduire un (nuveau) mt de passe suivie d'une nuvelle imprtatin.
3. Remarque: à la page 11 du manuel, la pssibilité vus est fferte de ccher "Enable strng private key prtectin. Yu will be prmpted every time the private key is used by an applicatin if yu enable this ptin". Ceci n'est pas bligatire. Si vus le faites, vus devrez, à chaque cnnexin à l'applicatin infrmatique du CSSR, intrduire un deuxième mt de passe supplémentaire. 5. Se cnnecter à l'applicatin CSSR Tant l'envirnnement de test que l'envirnnement de prductin reçivent une nuvelle adresse internet. La nuvelle adresse Internet pur l'envirnnement de test est: https://cssr-test.nbb.be/dqs. La nuvelle adresse Internet pur l'envirnnement de prductin est: https://cssr.nbb.be/dqs. Pur éviter de devir réintrduire ces adresses à l'avenir, nus vus cnseillns de les ajuter à vs "Favris". Vus puvez évidemment aussi accéder à l'envirnnement de test u de prductin en naviguant via le site Internet général de la Banque natinale. Dans ce cas, vus ne puvez vus cnnecter qu'avec le certificat actuel. L'envi (u le chargement) des fichiers, sit avec l'ancien sit avec le nuveau certificat, reste parallèlement pssible jusqu'au 16 nvembre 2007. Attentin : dès la cnversin de l'ancien certificat via les prcédures décrites ci-dessus, les fichiers renvyés par le CSSR, ù l'ptin d'encryptage a été activée, sernt encryptés à l'aide du nuveau certificat. Si vus utilisez les nuvelles adresses internet, une fenêtre s'uvre avec les certificats installés dans vtre Internet brwser. Effectuez ensuite les étapes suivantes: Chisir le certificat adéquat et cliquez sur "OK". Uniquement d'applicatin si vus avez chisi l'ptin "Enable strng private key prtectin. Yu will be prmpted every time the private key is used by an applicatin if yu enable this ptin" lrs de l'imprtatin du certificat (manuel "Gestin des certificats en Internet Explrer" - page 11 - remarque): une fenêtre s'uvre dans laquelle il vus est demandé d'intrduire la CryptAPI Private Key-paswrd que vus avez définie lrs de l'imprtatin du certificat (vir ci-dessus, pint 4). Une fenêtre s'uvre. Intrduire le mt de passe lié à vtre certificat. Attentin, ce n'est pas le mt de passe que vus avez défini lrs de l'exprtatin du certificat, mais le mt de passe avec lequel vus vus êtes cnnecté sur l'enrllment-site (cf. pint 2 ci-avant). Cliquez sur "Lg in". L'applicatin CSSR s'uvre. Lrsque vus vus cnnectez pur la première fis il est pssible que: une fenêtre apparaisse dans laquelle il vus est demandé si vus suhaitez installer un Truepassapplet. Vus devez répndre psitivement en cliquant sur "Install". un message d'avertissement apparaisse dans lequel il vus est demandé si vus acceptez le certificat BNB. Vus devez répndre psitivement en cliquant sur "Yes". Si vus recevez un message d'erreur, il est pssible que cela prvienne du fait que vus ne dispsez pas des drits d'administratin sur vtre pc. Dans ce cas, veuillez cntacter le service IT de vtre sciété pur assistance. 6. Offline Signing Tl (OST) Ce paragraphe est uniquement imprtant pur les déclarants qui utilisent l'ost pur signer les fichiers envyés vers le CSSR. Une nuvelle versin de l'ost (versin 2.2) est dispnible ainsi qu'une dcumentatin adaptée. Elle se truve sur l'enrllment site (-> Dwnlads). Les certificats publics pur l'utilisatin de l'ost se truvent à
4. l'endrit habituel sur le site de la BNB, http://www.nbb.be/cssr, "Demande d'un nm d'utilisateur et questins fréquemment psées (FAQ)", "Accès à l'aide d'un certificat électrnique de la BNB". Si vus utilisez actuellement l'ost, nus vus cnseillns vivement de passer à la nuvelle versin. Attentin, à la page 13 du dssier d'instructins l'ost, n vus demande d'intrduire une passphrase. C'est le mt de passe que vus avez défini lrs de l'exprtatin de certificat (cf. pint 3 ci-avant). Si vus ne retruvez plus ce mt de passe, vus devez effectuer une nuvelle exprtatin ù il vus sera demandé d'intrduire à nuveau un (nuveau) mt de passe. Avec les nuveaux certificats, il sera pssible de charger des fichiers nn-encryptés dans le CSSR (les fnctinnalités restent inchangées, mais le message acknwledgement disparaît). A cet effet, une ptin supplémentaire sera prévue dans le menu. La sécurisatin est, ici, garantie par le fait que la sessin entre le client (brwser) et le serveur est encryptée via SSL et qu'une applet, qui est chargée dans le brwser, fait en srte qu'une signature digitale sit inclue dans le fichier. L'envi des fichiers encryptés et signés cmme annexe d'un e-mail reste parallèlement dispnible, ainsi que le chargement de ces fichiers dans le CSSR.
Annexe 2 Frmulaire à renvyer à : BANQUE NATIONALE DE BELGIQUE - Service SX Gestinnaire des accès CSSR bulevard de Berlaimnt 14 1000 BRUXELLES ACCEPTATION DES DOCUMENTS "CERTIFICATE POLICY" (versin 2.0) ET "CERTIFICATE POLICY STATEMENT" (versin 2.0) DE LA BANQUE NATIONALE DE BELGIQUE Je sussigné Nm:... Prénm:... Fnctin:... Valablement qualifié pur engager et représenter la sciété: BIC-cde:... Nm :... Adresse du siège scial:... atteste par la présente que ladite sciété: a) a reçu les dcuments "Certificate Plicy" (versin 2.0) et "Certificate Plicy Statement" (versin 2.0) relatifs à l'utilisatin des certificats électrniques délivrés par la Banque Natinale de Belgique; b) en accepte tutes les dispsitins sans la mindre réserve; c) s'engage à en respecter scrupuleusement tutes les prcédures, bligatins et respnsabilité; d) recnnaît et accepte en cnséquence que l'utilisatin des clés liées au certificat électrnique qui lui a été cmmuniqué par la Banque Natinale de Belgique, pur signer tute transmissin d'infrmatin par vie électrnique, équivaut à l'appsitin d'une signature digitale de frce et de valeur équivalente à celle d'une signature manuscrite, entraînant l'irréversibilité de ce message et l'impssibilité de répudier sn cntenu. Fait à..., le... Signature autrisée : Nm du signataire :... (qualité)