MANUEL D UTILISATEUR Créer le fichier de signature (FS) avec la carte d identité électronique avec l aide de l outil Cryptonit. Version 2
Table des matières 1. But...3 2. Présence du signataire exigée...3 3. Ce dont vous avez besoin?...3 4. Configuration de Cryptonit...4 4.1 Ajouter le fichier pkcs11...4 4.2 Ajoutez les détails de l autorité de certification (CA)...7 5. Créer votre fichier de signature....16 5.1. Signer votre fichier de déclaration en format DER...16 5.2 Transformer le fichier de signature vers le format PEM...19 5.3 Réglage manuel pour votre fichier de signature...20 6.Clause de sauvegarde...20 2
1. But Ce document explique comment créer un fichier de signature (FS) avec les logiciels Cryptonit et OpenSSL sur la base du certificat «signature» d une carte d identité électronique (eid). Un fichier de signature (FS) est un fichier qui, sur la base du certificat qualifié qui a été chargé sur votre canal d envoi de messages structurés, sert à garantir l authenticité d un fichier de déclaration (FI) lors de l envoi de déclarations pour la sécurité sociale (DRS, Dimona, DmfA, Chômage temporaire, Déclaration unique de chantier ) sous forme structurée au moyen des canaux SFTP, FTP et MQLink. 2. Présence du signataire exigée La procédure décrite dans ce document exige la présence du titulaire de l eid. Pour chaque fichier de signature, l eid devra être insérée dans le lecteur de carte et le titulaire de l eid devra saisir son code PIN. Par conséquent, si le titulaire de l eid est absent et que vous devez créer un fichier de signature pour l envoi d un message structuré, vous devrez utiliser une autre eid. Avant l envoi, votre gestionnaire local ou co-gestionnaire local devra alors charger la clé publique de l autre eid dans les paramètres de votre canal sur le site portail. 3. Ce dont vous avez besoin? Une carte d identité électronique Un lecteur de carte eid middleware Ce (eid Quick Install) vous pouvez le télécharger sur le site http://eid.belgium.be/fr/ OpenSSL Vous pouvez choisir la version de votre choix. Si vous utilisez Windows, vous pouvez par exemple utiliser la version Win32 OpenSSL v1.0.0c Light qui est téléchargeable sur le site http://www.slproweb.com/products/win32openssl.html Cryptonit Vous pouvez télécharger la version Cryptonit-0.9.7.exe sur le site http://sourceforge.net/projects/cryptonit/files/cryptonit/0.9.7/ 3
Remarque : les emplacements présentés dans les captures d écran de ce document pour les différents fichiers peuvent différer selon votre système d exploitation. 4. Configuration de Cryptonit 4.1 Ajouter le fichier pkcs11 Lancez Cryptonit via Cryptonit-0.9.7.exe Cliquez sur Configuration. 4
L écran Configuration/Properties. Cliquez sur l icône Matériel/Device dans le menu. 5
Cliquez sur Charger pour ajouter le fichier pkcs11. Trouvez le fichier beidpkcs11.dll dans le répertoire syteme32 qui se trouve sur C:\WINDOWS\system32\ et cliquez sur Open. Ensuite le fichier pkcs11 est ajouté. 6
4.2 Ajoutez les détails de l autorité de certification (CA) Afin de s avoir quel CA vous devez choisir, voici les différentes étapes à franchir: Introduisez votre carte eid dans son lecteur. Cliquez sur le fichier pkcs11 que vous venez de charger. Notez le serialnumber du Citizen CA. Suivant votre carte d identité, apparait soit le Belgium Root CA ou Belgium Root CA2. Cette distinction est importante pour charger le CA. 7
Vous trouvez dans cet exemple le Belgium Root CA et le serial number: 200803. Dans cet exemple vous trouverez le Belgium Root CA2 et le serial number: 200909. 8
Cliquez sur Autorités /Authorities dans le menu. 9
Cliquez sur Ajouter une autorité/add a new authority. 10
La première autorité qui doit être ajoutée dépendra de votre carte d identité, ce sera soit Belgium Root CA, ou Belgium Root CA2. Cela se trouve sur : C:\Program Files\BelgiumIdentity Card\eidstore\certs\ Pour Belgium Root CA : Sélectionnez beid-certbelgiumrca.der. Cliquez sur Open et le Root CA va s ajouter. Pour Belgium Root CA2 : Sélectionnez beid-certbelgiumrca2.der. Cliquez sur Open et le Root CA va s ajouter. 11
La deuxième autorité qui doit être ajoutée est Citizen CA. Ici, il est important de bien choisir le bon Citizen CA. 12
Vous pouvez le faire à partir de votre navigateur ou à partir du site: http://certs.eid.belgium.be/ où vous devez télécharger celui qui correspond à votre serialnumber. 13
Ce fichier Citizen CA est un format.cer qui doit être ajouté dans l outil Cryptonit. Cliquez sur Autorités /Authorities, ensuite sur Ajouter une autorité/add a new authority. 14
Choisissez sur le.cer Citizen CA et cliquez sur Open. Le Citizen CA est maintenant ajouté. 15
5. Créer votre fichier de signature. 5.1. Signer votre fichier de déclaration en format DER. Insérez votre carte d identité dans le lecteur. Dans Cryptonit cliquez sur Fichier/File. Sélectionnez le fichier de déclaration (FI) pour pouvoir créer votre fichier de signature (FS) Cliquez sur Signer/Sign 16
Cliquez sur Détaché/detached. Choisissez le certificat de signature: Vous devez introduire 2f fois votre code PIN La première fois pour avoir accès à votre carte eid. 17
La deuxième fois pour le signer le fichier (C est un écran qui correspond à votre programme eid). Cet écran peut varié d un programme à un autre. Le fichier de signature est le fichier avec l extension.pkcs7. Il est sauvé dans le même répertoire que le fichier de déclaration (FI). 18
5.2 Transformer le fichier de signature vers le format PEM. Avec l aide de OpenSSL, vous devez ensuite changer le format du fichier en base64 (DER PEM) Ouvrez une fenêtre DOS. Cliquez sur Start et ensuite Run Tapez cmd et cliquez sur OK. La fenêtre DOS est ouverte. Ensuite vous devez aller vers le répertoire où OpenSSL a été installé. Dans cet exemple OpenSSL a été installé dans le répertoire C. Dans cet exemple vous pouvez donc aller vers OpenSSL avec la commande cd C:\openssl\bin suivi par [ENTER] > cd C:\openssl\bin 19
Tapez la commande suivante, suivi de la touche [ENTER] C:\OpenSSL\bin>openssl pkcs7 -in LOCALISATION DE VOTRE RÉPERTOIRE\NOM DE VOTRE FICHIER FS.pkcs7 -out LOCALISATION DE VOTRE RÉPERTOIRE\NOM DE VOTRE FICHIER FS.fs -inform der -outform pem Exemple: C:\OpenSSL\bin>openssl pkcs7 in C:\DEMOSIGN\demodcl.pkcs7 -out C:\DEMOSIGN\demodcl.fs -inform der -outform pem 5.3 Réglage manuel pour votre fichier de signature. Avant d utiliser votre fichier de signature, vous devez l ajuster manuellement pour qu il soit correctement utilisable. Pour accéder au fichier de signature, vous pouvez l ouvrir avec un éditeur de texte comme Textpad, Notepad ou Wordpad et supprimer le premier (-----BEGIN PKCS7----- ) y compris les lignes vides causés par le ENTER Après ces ajustements, enregistrer le nom correct du fichier de signature en utilisant la combinaison [CTRL]+[S]. 6.Clause de sauvegarde Ce document est purement informatif. Bien que le plus grand soin ait été accordé à la rédaction de ce document, il n est donné aucune garantie quant à son actualité, sa précision, son exactitude, son exhaustivité ou sa pertinence. Ni l ONSS ni autre instance éventuelle responsable du contenu du portail ne peuvent être tenus responsables de quelque manière que ce soit des éventuelles conséquences de la consultation ou de l utilisation des informations qu il contient. 20