CRYPTOLIB-CPS Sur lecteurs PC/SC Manuel utilisateur

Transcription

Référence :
ManuelUtilisateurCryptolibCPS_PCSC_V1.07.doc
CRYPTOLIB-CPS
Sur lecteurs PC/SC
Manuel utilisateur
20 Janvier 2010
Version 1.07
20 Janvier 2010
Document GIP-CPS
© GIP-CPS : Ce document est la propriété du Groupement d'intérêt Public CPS.
Il ne peut être reproduit sans autorisation écrite.
Page 1 / 34
GIP-CPS
CRYPTOLIB-CPS
Version 1.07
Manuel utilisateur
SOMMAIRE
1.
INTRODUCTION......................................................................................................... 4
2.
PRESENTATION TECHNIQUE .................................................................................. 5
2.1.
CRYPTOLIB-CPS-PCSC : BIBLIOTHEQUES CRYPTOGRAPHIQUES DE LA CARTE CPS SUR PC/SC ......... 5
2.2.
ARCHITECTURE DES COMPOSANTS CRYPTOLIB-CPS-PCSC ET API-CPS .............................................. 7
2.3.
WINDOWS : LE PROGRAMME CPS_CCM_PCSC ASSOCIE A LA BIBLIOTHEQUE CSP-CPS_PCSC ........... 8
2.4.
MACINTOSH : SPECIFICITES DE L’ARCHITECTURE CDSA / TOKEND ........................................................... 9
2.5.
LES CERTIFICATS X.509 DE LA CARTE CPS................................................................................................. 11
2.6.
CHAINES DE CONFIANCE DES CERTIFICATS X.509 DE LA CARTE CPS........................................................ 12
3.
GUIDE D’INSTALLATION DE CRYPTOLIB-CPS PC/SC ........................................ 13
3.1.
LES PRE REQUIS AVANT TOUTE INSTALLATION ........................................................................................... 13
3.2.
L’INSTALLATION ........................................................................................................................................... 13
4.
GUIDE D’UTILISATION DE CRYPTOLIB-CPS PC/SC............................................ 16
4.1.
4.2.
4.3.
5.
CONNEXION HTTPS PAR INTERNET EXPLORER (WINDOWS) .................................................................... 17
4.1.1.
Contrôles sur l’utilitaire CPS_CCM_PCSC ......................................................................................... 17
4.1.2.
Connexion HTTPS ............................................................................................................................... 18
CONNEXION HTTPS PAR SAFARI (MACINTOSH) ........................................................................................ 20
4.2.1.
Contrôles visuels de l’installation......................................................................................................... 20
4.2.2.
Connexion HTTPS ............................................................................................................................... 22
CONNEXION HTTPS PAR MOZILLA FIREFOX (WINDOWS, LINUX, MAC-OSX) ........................................ 24
4.3.1.
Ajout du périphérique PKCS#11-CPS dans Firefox............................................................................. 24
4.3.2.
Connexion HTTPS ............................................................................................................................... 26
AIDES AUX DIAGNOSTICS ..................................................................................... 28
5.1.
AIDES AUX DIAGNOSTICS .............................................................................................................................. 28
5.1.1.
Test par le programme de gestion de la CPS........................................................................................ 28
5.1.2.
Vérification de la détection de la carte CPS ......................................................................................... 28
5.1.3.
Contrôles des fichiers logiciels installés............................................................................................... 29
5.1.4.
Particularités Windows : utilisation de la « registry » (base de registres)............................................. 31
5.1.5.
Paramétrisation..................................................................................................................................... 32
20 Janvier 2010
Document GIP-CPS
Page 2 / 34
GIP-CPS
CRYPTOLIB-CPS
Version 1.07
Manuel utilisateur
5.2.
LISTE DES CERTIFICATS INSTALLES ............................................................................................................. 33
ILLUSTRATIONS
Figure 1 Architecture des composants CRYPTOLIB-CPS-PCSC et API-CPS .................................. 7
Figure 2 Exemple d’un certificat X.509 d’authentification d’une CPS2ter (CPA) ........................... 11
Figure 3 Exemples de chaînes de confiance de CPS ......................................................................... 12
20 Janvier 2010
Document GIP-CPS
Page 3 / 34
GIP-CPS
CRYPTOLIB-CPS
Version 1.07
Manuel utilisateur
1. INTRODUCTION
Ce document constitue le manuel utilisateur des bibliothèques cryptographiques sur lecteurs PC/SC
de la carte CPS.
Avertissement :
Ces bibliothèques sont strictement destinées aux usagers de machines PC ou Mac équipées d’un
lecteur de carte uniquement de type PC/SC. Elles ne gèrent pas les lecteurs bi-fentes SESAM-Vitale
ou mono-fente NF-CPS pilotés par des logiciels de l'
architecture GALSS1.
Les systèmes d’exploitation (OS) de ces machines peuvent être :
• Windows (98, NT, 2000, XP, Vista, Seven).
• Mac OS-X à processeur PowerPC (à partir de la version 10.3).
• Mac OS-X à processeur Intel (à partir de la version 10.4)
• Linux (toute distribution).
Le lecteur de ce document est supposé avoir reçu le programme d’installation de ces bibliothèques
sous la forme d’un package logiciel ou « setup » (type MSI sous Windows, MPKG sous Mac, RPM
sous Linux).
Il trouvera dans ce document quatre parties principales :
• Une présentation technique de ces bibliothèques cryptographiques pour comprendre ce que va
réaliser le programme d’installation.
• Un guide d’installation pour aider l’opérateur sur ses manipulations et s’assurer du bon
fonctionnement ultérieur.
• Un guide de première utilisation simple par connexion sécurisée par CPS sur un serveur de test
du GIP-CPS.
• Une aide aux diagnostics sous forme de liste de contrôles de cette installation si des problèmes
sont rencontrés.
Pour un lecteur « pressé », l’installation se résume en trois points :
1.
Disposer d’une machine Windows, Mac OS-X ou Linux déjà équipée physiquement d’un
lecteur PC/SC (le lecteur n’est pas obligatoire pendant l’installation).
2.
Exécuter l’installation du package logiciel…
3.
Tester l’installation sur un navigateur.
1
Si le poste est équipé d’un lecteur PC/SC piloté par l’architecture GALSS, il faut désinstaller celle-ci.
20 Janvier 2010
Document GIP-CPS
Page 4 / 34
GIP-CPS
CRYPTOLIB-CPS
Version 1.07
Manuel utilisateur
2. PRESENTATION TECHNIQUE
2.1.
CRYPTOLIB-CPS-PCSC : BIBLIOTHEQUES CRYPTOGRAPHIQUES DE LA CARTE
CPS SUR PC/SC
La carte CPS contient dans sa puce électronique les moyens d’effectuer des calculs
cryptographiques de signature2 ou d’authentification3.
En première approximation, appelons ces moyens les « certificats X.5094 ».
De plus en plus de logiciels comme les navigateurs (Internet Explorer sur Windows, Safari sur Mac
OS-X ou Mozilla FireFox, etc…) ou les messageries savent manipuler et exploiter des certificats
X.509. Ils le font en respectant un langage parmi les trois standards reconnus : Microsoft CryptoAPI
(dans le monde Windows), Common Data Security Architecture (CDSA) d’Apple (dans le monde
Macintosh), ou RSA PKCS#11 (universel).
Cryptographic Application Program Interface. CAPI est une API développée par Microsoft qui
définit un jeu de fonctions cryptographiques utilisables par les applications Windows. Un module
logiciel qui implémente ces fonctions se nomme un CSP pour " Cryptographic Service Provider".
Un CSP doit être signé par Microsoft avant d'
être utilisable.
CDSA est une architecture développée par Apple qui définit un jeu de fonctions cryptographiques
utilisables par les applications Macintosh. Un module logiciel qui implémente ces fonctions se
nomme un Tokend.
!!
Crypto-système à clé publique.
PKCS#11 est une API spécifiée par RSA Labs qui définit un jeu de fonctions cryptographiques
utilisables par les applications locales. Un module logiciel qui offre des fonctions PKCS#11 se
nomme CRYPTOKI. PKCS#11.
CRYPTOLIB-CPS-PCSC est le nom donné à un composant logiciel qui sait répondre à ces trois
langages en utilisant la carte CPS.
Ce composant présente donc les trois interfaces :
• La bibliothèque CryptoAPI : CSP-CPS
(environnements Windows).
• Le Tokend CDSA :
GIP-CPS.tokend (environnements Macintosh).
• La bibliothèque PKCS#11 : PKCS#11-CPS (environnements Windows, MacOSX et Linux).
2
Signature = garantie d’intégrité du message et d’authentification de son signataire (non répudiation).
Authentification = garantie sur l’identité de l’émetteur.
4 Dans le détail, il faudrait ajouter les Bi-Clés RSA et les fonctions cryptographiques RSA…
3
20 Janvier 2010
Document GIP-CPS
Page 5 / 34
GIP-CPS
CRYPTOLIB-CPS
Version 1.07
Manuel utilisateur
En complément, CRYPTOLIB-CPS-PCSC s’appuie sur :
• Le standard PC/SC pour accéder au lecteur de cartes de type PC/SC.
Et propose également l’ancienne bibliothèque d’interface d’accès à la carte CPS :
• Bibliothèque API-CPS de gestion de la carte CPS dans un lecteur5.
5
Cette bibliothèque est maintenue pour assurer la compatibilité avec des applications basées sur l’interface API-CPS.
20 Janvier 2010
Document GIP-CPS
Page 6 / 34
GIP-CPS
CRYPTOLIB-CPS
Version 1.07
Manuel utilisateur
2.2.
ARCHITECTURE DES COMPOSANTS CRYPTOLIB-CPS-PCSC ET API-CPS
Le composant, CRYPTOLIB-CPS-PCSC (constitué des trois bibliothèques CSP-CPS, GIPCPS.tokend, et PKCS#11-CPS) et complété de l’API-CPS s’articulent suivant ce schéma de
principe :
SmartCardLogon
Navigateurs, Messageries ou autres
applications
(Windows uniquement)
Bibliothèque CSP-CPS
Applications
GIP-CPS.tokend
(Mac uniquement)
Bibliothèque PKCS#11-CPS-PCSC
Bibliothèque API-CPS
Ressource Manager PC/SC (intégré à l’OS)
Lecteur PC/SC
Figure 1 Architecture des composants CRYPTOLIB-CPS-PCSC et API-CPS
Remarques :
• Le SmartCardLogon est le mécanisme d’ouverture de session Windows en standard par
carte à puce et reposant sur PC/SC. CRYPTOLIB-CPS-PCSC est compatible avec ce
mécanisme et utilisable avec des cartes CPS adaptées.
• La bibliothèque CSP-CPS n’existe que pour les O.S. Windows.
• La bibliothèque GIP-CPS.tokend n’existe que pour les O.S. Macintosh.
• La bibliothèque PKCS#11-CPS-PCSC est implémentée pour les trois O.S. : Windows,
Mac-OSX et Linux.
• La bibliothèque API-CPS est utilisée par certaines applications à accès CPS (agent RSS,
lecture vitale, OSM, etc…)
20 Janvier 2010
Document GIP-CPS
Page 7 / 34
GIP-CPS
CRYPTOLIB-CPS
Version 1.07
Manuel utilisateur
2.3.
WINDOWS : LE PROGRAMME CPS_CCM_PCSC ASSOCIE A LA BIBLIOTHEQUE
CSP-CPS_PCSC
Si les deux bibliothèques CSP-CPS et PKCS#11-CPS offrent les mêmes fonctionnalités, leurs
modes de fonctionnement diffèrent.
Chacun des deux modes induit une logique particulière de gestion des certificats X.509 situés dans
la carte CPS.
Schématiquement, ces logiques sont :
• La bibliothèque PKCS#11-CPS renvoie ses certificats X.509 aux applications quand celles-ci la
sollicitent.
C’est donc à ce moment que la bibliothèque PKCS#11-CPS va rechercher les certificats X.509
dans la carte CPS.
• La bibliothèque CSP-CPS_PCSC doit remonter ses certificats X.509 vers les applications (en
fait, dans le magasin des certificats) pour que celles-ci la sollicitent…
La bibliothèque CSP-CPS_PCSC doit donc régulièrement rechercher les certificats X.509 dans
la carte CPS (ou tout au moins s’assurer de la présence de la carte CPS dans le lecteur et qu’elle
n’a pas été changée par une autre).
Cette fonction de surveillance de la présence d’une carte CPS dans le lecteur pour la bibliothèque
CSP-CPS est assurée par un utilitaire, noté CPS_CCM_PCSC 6 qui fonctionne en tâche de fond sur
le poste Windows et est complètement invisible pour l’utilisateur.
(Seul le processus cps_ccm_pcsc.exe est visible dans la liste des processus du gestionnaire des
tâches)
6
Comme pour la bibliothèque CSP-CPS-PCSC, ce CPS_CCM_PCSC n’existe que pour les OS Windows. Il se met en
attente d’évènement PC/SC d’insertion ou d’arrachage de la carte.
20 Janvier 2010
Document GIP-CPS
Page 8 / 34
GIP-CPS
CRYPTOLIB-CPS
Version 1.07
Manuel utilisateur
2.4.
MACINTOSH : SPECIFICITES DE L’ARCHITECTURE CDSA / TOKEND
CDSA (Common Data Security Architecture) est un standard d’architecture de sécurité conçu par
Intel et implémenté par Apple dans son système d’exploitation Mac OS-X.
Le cœur de CDSA est le module « serveur de sécurité » (SecurityD), qui s’appuie à la fois sur le
protocole PC/SC (démon PCSCD) pour la gestion des lecteurs, et sur des modules appelés Tokend
fournis par chaque organisme émetteur de cartes à puces pour la gestion de celles-ci :
Applications
SecurityD
TokenD
TokenD
CPS Tokend
CPS PKCS#11
APIs CPS
PCSCD
Lecteur PC/SC
Le serveur de sécurité, avec l’aide du gestionnaire de ressources PC/SC, détecte l’insertion d’une
carte dans un lecteur. A ce moment là, le serveur de sécurité interroge les différents Tokend existant
afin d’identifier celui qui gère cette carte. Le Tokend identifié et chargé, il est en mesure d’effectuer
des opérations cryptographiques et de récupérer des objets (certificats, clés publiques…), à travers la
carte.
Certaines applications Macintosh (ex : le navigateur Safari) se basent sur cette architecture et ne
connaissent que celle-ci.
20 Janvier 2010
Document GIP-CPS
Page 9 / 34
GIP-CPS
CRYPTOLIB-CPS
Version 1.07
Manuel utilisateur
Les bibliothèques cryptographiques du GIP-CPS doivent donc s’intégrer dans CDSA pour que ces
applications soient capables de fonctionner avec la carte CPS. Pour cela, le GIP fournit le
composant CPS Tokend : module au standard Tokend d’Apple, qui permet de s’interfacer dans
CDSA afin d’offrir le support de la carte CPS comme module cryptographique. Le Tokend est fondé
sur l’architecture PC/SC pour la détection des cartes CPS et sur le module CPS PKCS#11 pour
réaliser les opérations cryptographiques.
20 Janvier 2010
Document GIP-CPS
Page 10 / 34
GIP-CPS
CRYPTOLIB-CPS
Version 1.07
Manuel utilisateur
2.5.
LES CERTIFICATS X.509 DE LA CARTE CPS
Un certificat X.509 est un message (binaire) électronique, écrit suivant une syntaxe définie par la
norme X.509, et signé par une autorité pour en garantir l’intégrité et la véracité de ses informations.
Les informations principales certifiées portent sur :
• L’identification de l’autorité ou émetteur, qui a signé ce certificat.
• Les dates de début et de fin de validité du certificat.
• L’identification du sujet ou objet, pour qui a été délivré ce certificat.
• La clé publique RSA 7.
Figure 2 Exemple d’un certificat X.509 d’authentification d’une CPS2ter (CPA)
7
L’algorithme cryptographique RSA utilise une clé en deux parties (bi-clé) : l’une est publique (diffusée dans le
certificat X.509) et l’autre est privée (gardée secrète dans un coffre-fort logiciel ou dans une carte comme la CPS).
Il existe deux certificats X.509 (donc deux bi-clés) dans une CPS : l’un d’authentification et l’autre de signature.
20 Janvier 2010
Document GIP-CPS
Page 11 / 34
GIP-CPS
CRYPTOLIB-CPS
Version 1.07
Manuel utilisateur
2.6.
CHAINES DE CONFIANCE DES CERTIFICATS X.509 DE LA CARTE CPS
Si un certificat X.509 est signé par une autorité, celle-ci a elle-même un certificat, lui aussi signé par
une autorité, et ainsi de suite jusqu’à rencontrer en tête de chaîne un certificat auto-signé (dit Racine
ou Root) pour lequel ce sera bel et bien à l’utilisateur de manifester explicitement sa confiance.
Dans le cas du GIP-CPS, les certificats racines sont publiés sur le site WEB du GIP-CPS8.
Toutes ces informations peuvent être vérifiées avant d’accorder sa confiance à ces certificats.
Figure 3 Exemples de chaînes de confiance de CPS
a) d’une CPS2ter (CPS et CPF)
8
b) d’une CPS2ter (CDE)
Le site WEB du GIP-CPS est lui-même authentifié afin de garantir l’exactitude des informations publiées.
20 Janvier 2010
Document GIP-CPS
Page 12 / 34
GIP-CPS
CRYPTOLIB-CPS
Version 1.07
Manuel utilisateur
3. GUIDE D’INSTALLATION DE CRYPTOLIB-CPS PC/SC
Nous remercions l’utilisateur de suivre scrupuleusement ce guide…
3.1.
LES PRE REQUIS AVANT TOUTE INSTALLATION
1. Le système d’exploitation (O.S.) de votre machine doit être l’un des trois :
• Windows (98, NT, 2000, XP, Vista, Seven).
• Mac OS-X (à partir de la version 10.3 pour les processeurs PowerPC, 10.4 pour les Intel).
• Linux (toute distribution).
Et vous devez avoir les droits d’Administrateur sur cet O.S.
Sinon, abandonnez l’installation !
2. Il est conseillé d’avoir de connecté, et en état de bon fonctionnement, un lecteur de type
« PC/SC » quelque soit son type de connexion.
(Mais ce n’est pas indispensable pour l’installation, le lecteur peut être installé par la suite.)
3. Cas particulier : si vous aviez déjà effectué précédemment une installation de CRYPTOLIBCPS-PCSC sur votre machine Windows :
3.2.
•
Soit, vous supprimez d’abord cette installation par : « Démarrer » ; « Paramètres » ;
« Panneau de configuration » ; « Ajout/Suppression de programmes » ; « Composants
cryptographiques CPS PC/SC» ; « Supprimer ».
•
Soit, lorsque vous lancez le nouveau programme d’installation, vous choisissez d’abord
l’option : « Supprimer composants Cryptographiques CPS PC/SC »
L’INSTALLATION
4. Lancez le package d’installation de CRYPTOLIB-CPS-PCSC.
• Windows :
Lancez le programme « SetupCryptoCpsPcsc.vN.NN.msi ».
• Linux :
Lancez le programme « CryptoCpsPcsc-N.N.N-N.i386.rpm »
• Mac OSX : Lancez le programme « CryptoCpsPcsc.vN.NN.pkg »
5. L’installation de CRYPTOLIB-CPS-PCSC doit s’effectuer automatiquement
• Validez, après lecture, les différents écrans.
20 Janvier 2010
Document GIP-CPS
Page 13 / 34
GIP-CPS
CRYPTOLIB-CPS
Version 1.07
Manuel utilisateur
20 Janvier 2010
Document GIP-CPS
Page 14 / 34
GIP-CPS
CRYPTOLIB-CPS
Version 1.07
Manuel utilisateur
6.
Remarque concernant l’environnement Windows : si la personne qui va utiliser CRYPTOLIBCPS-PCSC sur ce poste ne possède pas les droits d’Administrateur, l’opérateur doit s’assurer
que les répertoires Coffre et Log du dossier “[CommonAppDataFolder]santesocial\cps”
possèdent bien les droits de lecture et d’écriture pour cet utilisateur.
Si l’installation s’est bien terminée, les composants logiciels sont maintenant disponibles sur votre
machine.
Pour la version Windows : les chaînes de confiance du GIP-CPS sont maintenant installées sur le
poste.
Aucun élément visible n’est à contrôler…
Il reste maintenant à vérifier que leur utilisation rend bien le service attendu.
Vous allez effectuer ce test à partir de votre navigateur usuel (et le plus récent possible) tel que
décrit dans la partie guide d’utilisation de ce manuel : par une connexion en HTTPS.
20 Janvier 2010
Document GIP-CPS
Page 15 / 34
GIP-CPS
CRYPTOLIB-CPS
Version 1.07
Manuel utilisateur
4. GUIDE D’UTILISATION DE CRYPTOLIB-CPS PC/SC
Les trois exemples qui suivent montrent une connexion HTTPS sécurisée par CPS sur un site de test
du GIP-CPS (testssl.gip-cps.fr).
Ce serveur demande au poste client de s’authentifier par un certificat X.509 explicitement reconnu
comme appartenant à l’Infrastructure de Gestion des Clés (IGC) du GIP-CPS.
La connexion HTTPS se fera par un navigateur :
1. Internet Explorer montre une utilisation de la bibliothèque CSP-CPS-PCSC de CRYPTOLIBCPS-PCSC
Si cette connexion réussit, alors toute autre connexion sécurisée par CPS sur d’autres sites doit
aussi fonctionner ; ainsi que toute application développée sur ce standard Microsoft CryptoAPI.
2. Safari montre une utilisation de la bibliothèque GIP-CPS.tokend de CRYPTOLIB-CPS-PCSC.
aussi fonctionner ; ainsi que toute application développée sur ce standard Apple CDSA.
3. Mozilla FireFox montre une utilisation de la bibliothèque PKCS#11-CPS de CRYPTOLIBCPS-PCSC
aussi fonctionner ; ainsi que toute application développée sur ce standard RSA PKCS#11.
Le premier et le troisième exemple sont effectués sur l’environnement Windows. Mais celui de
Mozilla FireFox peut être transposé sur les deux autres environnements Linux et Mac-OSX car ce
navigateur existe pour les trois environnements. Le deuxième exemple est lui effectué sur
l’environnement Mac-OSX, car il concerne le navigateur Safari livré avec cet OS.
Attention : suivant la version de Windows (98, NT, XP, 2000, Vista ou Seven) il faut effectuer la
transposition suivante :
Exemple Windows 98
Exemple Windows 2000
%WINDIR% à changer en… C:\Windows
C:\Winnt
%WINSYS% à changer en… C:\Windows\System
C:\Winnt\System32
20 Janvier 2010
Document GIP-CPS
Page 16 / 34
GIP-CPS
CRYPTOLIB-CPS
Version 1.07
Manuel utilisateur
4.1.
CONNEXION HTTPS PAR INTERNET EXPLORER (WINDOWS)
4.1.1. Contrôles sur l’utilitaire CPS_CCM_PCSC
Avant de travailler avec le navigateur, il faut s’assurer que l’utilitaire CPS_CCM_PCSC a bien
détecté la carte CPS dans le lecteur.
Cet utilitaire CPS_CCM_PCSC, tournant en fond de tâche, est invisible pour l’utilisateur. Il assure
la synchronisation entre le magasin Microsoft des certificats utilisateur et la carte CPS. Ce
programme n’existe que sous Windows.
Pour visualiser ce magasin de certificats, lancez Internet Explorer, sélectionnez le menu « Outils »,
puis « Options internet… », dans l’onglet « Contenu » cliquez sur le bouton « Certificats ». La
fenêtre qui apparaît affiche le magasin des certificats personnels de l’utilisateur.
• Si une carte CPS est introduite dans un lecteur connecté sur le poste, le CPS_CCM_PCSC
ajoute les certificats associés à cette carte au magasin de certificats personnel.
• Si une carte CPS est retirée d’un lecteur connecté sur le poste, le CPS_CCM_PCSC retire les
certificats associés à cette carte du magasin de certificats personnels.
Ce processus est indispensable si vous voulez utiliser votre carte CPS avec Internet Explorer,
OUTLOOK ou OUTLOOK Express.
Lors de l’installation, le programme cps_ccm_pcsc.exe est ajouté à la liste des programmes devant
être lancées au démarrage du poste.
20 Janvier 2010
Document GIP-CPS
Page 17 / 34
GIP-CPS
CRYPTOLIB-CPS
Version 1.07
Manuel utilisateur
4.1.2. Connexion HTTPS
Lancez Internet Explorer et saisissez dans la zone adresse : https://testssl.gip-cps.fr (ou
http://testssl.gip-cps.fr puis cliquez sur la proposition de https://testssl.gip-cps.fr)
Acceptez et validez les différents messages (POP-UP) jusqu’à voir celui-ci…
…qui correspond au certificat X.509 d’authentification de votre carte CPS (vous pouvez l’afficher).
Validez le message.
Attention sur cette invite suivante :
Il vous est demandé de saisir les 4 chiffres du code porteur de la carte CPS.
20 Janvier 2010
Document GIP-CPS
Page 18 / 34
GIP-CPS
CRYPTOLIB-CPS
Version 1.07
Manuel utilisateur
Jusqu’au succès de l’authentification qui se manifeste par ce type de fenêtre d’accueil du serveur9 :
9
Cette recopie d’écran est donnée à titre indicatif. La page réelle affichée sur le site de test du GIP-CPS peut être
différente.
20 Janvier 2010
Document GIP-CPS
Page 19 / 34
GIP-CPS
CRYPTOLIB-CPS
Version 1.07
Manuel utilisateur
4.2.
CONNEXION HTTPS PAR SAFARI (MACINTOSH)
4.2.1. Contrôles visuels de l’installation
Une fois l’installation effectuée il est possible de vérifier le bon fonctionnement du Tokend CDSA
(et donc de l’ensemble des éléments installés) à l’aide du programme de visualisation des clés et des
certificats inclus dans l’OS.
Insérez une carte CPS dans votre lecteur, puis lancez ce programme, nommé Trousseau d’accès, et
qui se trouve dans le dossier /Applications/Utilitaires/ :
20 Janvier 2010
Document GIP-CPS
Page 20 / 34
GIP-CPS
CRYPTOLIB-CPS
Version 1.07
Manuel utilisateur
Une fois cette application lancée, vous pouvez voir la liste des « Trousseaux » au dessus de la zone
« Catégorie ». Si cette liste n’est pas affichée, cliquez sur le bouton « Afficher les trousseaux » (en
bas à gauche de la fenêtre).
Vérifiez alors que le nom de votre carte s’affiche bien dans cette liste, sous la forme CPxNuméroDeCarte10, ainsi que le montre l’exemple suivant :
La présence de ce trousseau indique la bonne installation et le bon fonctionnement de l’ensemble
des composants du GIP-CPS : la carte a été lue correctement et elle est bien vue comme un Tokend
par le système.
10
NuméroDeCarte = numéro à 10 chiffres inscrit sous le patronyme sur le visuel de la carte.
20 Janvier 2010
Document GIP-CPS
Page 21 / 34
GIP-CPS
CRYPTOLIB-CPS
Version 1.07
Manuel utilisateur
Lancez Safari et saisissez dans la zone adresse : https://testssl.gip-cps.fr (ou http://testssl.gip-cps.fr
puis cliquez sur la proposition de https://testssl.gip-cps.fr).
Attention sur cette invite suivante :
Il vous est demandé de saisir les 4 chiffres du code porteur de la carte CPS.
20 Janvier 2010
Document GIP-CPS
Page 22 / 34
GIP-CPS
CRYPTOLIB-CPS
Version 1.07
Manuel utilisateur
11
différente.
20 Janvier 2010
Document GIP-CPS
Page 23 / 34
GIP-CPS
CRYPTOLIB-CPS
Version 1.07
Manuel utilisateur
4.3.
CONNEXION HTTPS PAR MOZILLA FIREFOX (WINDOWS, LINUX, MAC-OSX)
4.3.1. Ajout du périphérique PKCS#11-CPS dans Firefox
Après avoir lancé le navigateur Firefox, il faut le paramétrer (dans menu : « outils » ; « options » ;
« Avancé » ; éventuellement onglet « Chiffrement » selon votre version de Firefox) afin qu’il
connaisse la bibliothèque CRYPTOLIB-CPS-PCSC.
Cliquez sur « Gérer les périphériques de sécurité… » et demandez à « charger » un périphérique
PKCS#11 …
20 Janvier 2010
Document GIP-CPS
Page 24 / 34
GIP-CPS
CRYPTOLIB-CPS
Version 1.07
Manuel utilisateur
Entrez les informations sur le module à ajouter :
Entrez :
Nom du module :
PKCS#11-CPS-PCSC
Nom du fichier du module : %WINDIR%\System32\cps_pkcs11_pcsc_w32.dll
Et validez…
Remarque : vous devez alors voir le(s) lecteur(s) de CPS (ici 2 lecteurs ont été détectés).
Validez les fenêtres ouvertes jusqu’à fermer la fenêtre « options »… L’ajout est terminé, le test de la
connexion peut se faire…
20 Janvier 2010
Document GIP-CPS
Page 25 / 34
GIP-CPS
CRYPTOLIB-CPS
Version 1.07
Manuel utilisateur
Vous pouvez maintenant saisir dans la zone adresse : https://testssl.gip-cps.fr (ou http://testssl.gipcps.fr puis cliquez sur la proposition de https://testssl.gip-cps.fr).
Attention sur cette invite suivante12 :
Il vous est en fait demandé de saisir les 4 chiffres du code porteur de la carte CPS.
Acceptez et validez les différents messages (POP-UP) jusqu’à voir celui-ci…
…qui correspond au certificat X.509 d’authentification de votre carte CPS.
12
Ce message, peu clair, est affiché par l’application Firefox qui ne sait pas qu’elle travaille avec une carte CPS…
20 Janvier 2010
Document GIP-CPS
Page 26 / 34
GIP-CPS
CRYPTOLIB-CPS
Version 1.07
Manuel utilisateur
13
différente.
20 Janvier 2010
Document GIP-CPS
Page 27 / 34
GIP-CPS
CRYPTOLIB-CPS
Version 1.07
Manuel utilisateur
5. AIDES AUX DIAGNOSTICS
5.1.
AIDES AUX DIAGNOSTICS
En cas de dysfonctionnement, il faut différencier si le problème (ou sa source) vient des
bibliothèques CRYPTOLIB-CPS-PCSC ou des couches en dessous (PC/SC ; lecteur ; carte).
5.1.1. Test par le programme de gestion de la CPS
Une première approche consiste à lancer le programme de gestion de la CPS :
Exemple Windows : menu « Démarrer » ; « Programmes » ; « santesocial » ; « cps » ; « CPS gestion
» ou « double-click » sur cpgesw32.exe dans %ProgramFiles%\santesocial\cps
Si ce programme de gestion de la CPS parvient à afficher les données de votre carte CPS, les
couches (PC/SC ; lecteur ; carte) sont en bon état. Sinon, ce programme et son fichier de traces
CPS-TRAC.TXT permettront d’affiner le diagnostic (cf. son manuel utilisateur).
5.1.2. Vérification de la détection de la carte CPS
Si les connexions HTTPS décrites aux chapitres 4.1 et 4.3 ne fonctionnent pas, on peut vérifier si
les bibliothèques CRYPTOLIB-CPS-PCSC détectent bien la carte CPS et lisent bien les certificats
X.509. Si ce test est positif, l’anomalie vient plutôt d’un problème entre le serveur auquel vous vous
connectez et votre carte CPS.
Exemples :
a) Sous Internet Explorer, les menus « Outils » ; « Options Internet… » ; « Contenu » ;
« Certificats » doivent visualiser vos deux certificats de votre CPS :
b) Sous Firefox, les menus « outils » ; « options » ; « Avancé » ; « Certificats » ; « Gérer les
certificats » doivent visualiser vos deux certificats de votre CPS :
20 Janvier 2010
Document GIP-CPS
Page 28 / 34
GIP-CPS
CRYPTOLIB-CPS
Version 1.07
Manuel utilisateur
En cas d’échec, un diagnostic avancé consistera à vérifier les logiciels installés sur votre poste.
5.1.3. Contrôles des fichiers logiciels installés
Windows
Composant
Emplacement
Fichier
GestionCarteCPS
[SystemFolder]
cpsw32.dll
GestionDictionnaire
[SystemFolder]
cptabw32.dll
Dictionnaire
[CommonAppDataFolder]\santesocial\cps\coffre\
DICO-FR.GIP
Application de Gestion de
la CPS
CRYPTOLIB-PCSC
[ProgramFilesFolder]\santesocial\cps\
cpgesw32.exe
PKCS#11-CPS
[SystemFolder]
cps_pkcs11_pcsc_w32.dll
Configuration
cps_pkcs11_pcsc.ini
CSP-CPS
[SystemFolder]
cps_csp_pcsc_w32.dll
Extension CSP
[ProgramFilesFolder]\santesocial\cps\
cps_ccm_pcsc.exe
Certificats d’autorités
*.cer
API-CPS
20 Janvier 2010
Document GIP-CPS
Page 29 / 34
GIP-CPS
CRYPTOLIB-CPS
Version 1.07
Manuel utilisateur
Linux
Composant
Emplacement
Fichier
/opt/santesocial/CPS/lib/
(lien symbolique : /usr/lib/)
/etc/opt/santesocial/CPS/
libcpslux.so
API-CPS
GestionCarteCPS
GestionDictionnaire
Dictionnaire
libcptablux.so
DICO-FR.GIP
Application de Gestion de
la CPS
CRYPTOLIB-PCSC
/opt/santesocial/CPS/bin/
(lien symbolique : /usr/bin/)
cpgeslux
PKCS#11-CPS
libcps_pkcs11_pcsc_lux.so
Configuration
/etc/opt/santesocial/CPS/
/etc/opt/santesocial/CPS/Certificats/
*.cer
cps_pkcs11_pcsc.ini
Mac OS-X
Composant
Emplacement
Fichier
GestionCarteCPS
/Library/Frameworks/
cpsosx.framework
GestionDictionnaire
/Library/Frameworks/
cptabosx.framework
App. d’affichage du
choix du lecteur
Dictionnaire
/Library/Application Support/santesocial/
ChoixLecteur.app
/Library/Preferences/santesocial/CPS/
DICO-FR.GIP
Application de
Gestion de la CPS
CRYPTOLIB-PCSC
/Applications/
cpgesosx.app
PKCS#11-CPS
/usr/lib/
libcps_pkcs11_pcsc_osx.dylib
Configuration
/Library/Preferences/santesocial/CPS/
cps_pkcs11_pcsc.ini
Token-D
/System/Library/Security/tokend/
GIP-CPS_PCSC.tokend
/Library/Preferences/santesocial/CPS/Certificats/
*.cer
API-CPS
20 Janvier 2010
Document GIP-CPS
Page 30 / 34
GIP-CPS
CRYPTOLIB-CPS
Version 1.07
Manuel utilisateur
5.1.4. Particularités Windows : utilisation de la « registry » (base de registres)
Lancement de la registry : Menu “Démarrer” ; “Exécuter « regedit »
Liste des clés ajoutées dans la registry, lors de l’installation :
Description : Exécutable à lancer automatiquement au démarrage de Windows.
Chemin : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Nom : CPS Certificate Manager
Type : REG_SZ
Données : C:\Program Files\santesocial\cps\cps_ccm_pcsc.exe
Description : Ajout d’un lien entre l’ATR d’une carte CPS et le CPS_CSP_PCSC.
(Pour l’utilisation du SmartCardLogon)
Chemin : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Calais\SmartCards\Carte CPS
Nom : Crypto Provider
Type : REG_SZ
Données : cps_csp_pcsc_w32
Nom : ATR
Type : REG_BINARY
Données : 3b ac 00 40 2a 00 12 25 00 64 80 00 03 10 00 90 00
Nom : ATRMask
Type : REG_BINARY
Données : ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff
Description : Description du CPS_CSP_PCSC et de son chemin d’accès. (Pour l’utilisation du
SmartCardLogon)
Chemin :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Defaults\Provider\cps_csp_pcsc_w32
Nom : Image Path
20 Janvier 2010
Document GIP-CPS
Page 31 / 34
GIP-CPS
CRYPTOLIB-CPS
Version 1.07
Manuel utilisateur
Type : REG_SZ
Données : C:\WINDOWS\system32\cps_csp_pcsc_w32.dll
Nom : SigInFile
Type : REG_DWORD
Données : 0x0
Nom : Type
Type : REG_DWORD
Données : 0x1
5.1.5. Paramétrisation
Le fichier cps_pkcs11_pcsc.ini permet de configurer Cryptolib-cps-pcsc.
La section « config » regroupe en particulier les clés permettant de faire des ajustements sur le
fonctionnement des différents modules composant Cryptolib-cps-pcsc.
Ci-dessous la liste des sections et clés permettant de configurer le module Cryptolib-cps-pcsc :
[Section]
[config]14
[help]
[trace]
14
Clé
Défaut
Effet
tpc_polling_time
1
cps_open_session_max_try
10
cps_busy_reader_max_try
10
cps_busy_reader_try_sleep
1000
Délai en secondes entre 2 tests de présence carte
effectif
Nombre maximum de tentatives d’ouverture de
session CPS
Nombre maximum de tentatives consécutives
d’appel à une fonction CPS qui retourne un CR
« lecteur occupé »
Délai en milliseconde entre deux tentatives
consécutives d’appel à une fonction CPS qui
retourne un CR « lecteur occupé »
count
0
0 : Pas de coffres-forts en mode secours
level
0
0 : Pas de traces
50 : Trace de niveau DEBUG
100 : Traces de niveau MAX
Cette section [config] est facultative et peut être absente du fichier de configuration. Ce sont alors les valeurs par
défaut indiquées dans ce tableau qui sont utilisées par le module Cryptolib-pcsc.
20 Janvier 2010
Document GIP-CPS
Page 32 / 34
GIP-CPS
CRYPTOLIB-CPS
Version 1.07
Manuel utilisateur
5.2.
LISTE DES CERTIFICATS INSTALLES
Liste des certificats d’autorités (racines et intermédiaires) ajoutés au magasin des certificats
Microsoft, lors de l’installation :
Type
d’autorité
Délivré à
Délivré par
Empreinte numérique (SHA1)
Racine
GIP-CPS
GIP-CPS
8e 44 71 d3 08 42 b5 4b c7 e2 58 27 70 00 94 69 ab d0 2c c7
Racine
GIP-CPS ANONYME
GIP-CPS ANONYME
ad 6b bf c6 2d 90 73 6b d2 01 0d ea 1f d9 e2 ab a0 d4 37 85
Racine
GIP-CPS PROFESSIONNEL
4e 76 ba 5b ad e2 96 4a ff 34 d8 6e 97 7a 89 6b 5f e0 1e a9
Racine
GIP-CPS SERVEUR
GIP-CPS SERVEUR
2c c1 e5 d4 81 23 0d 0b 3e 30 1b 59 ad 34 6b f1 8a f1 f2 1a
Racine
GIP-CPS STRUCTURE
GIP-CPS STRUCTURE
d2 6d c5 61 59 59 be ae 92 52 d3 b3 8f f4 06 bf df 44 05 b7
Intermédiaire
AC-CLASSE-4
GIP-CPS
31 82 46 2f 18 0a e8 80 b6 f4 3f a0 40 ce c0 25 dc 2f 20 42
Intermédiaire
AC-CLASSE-5
GIP-CPS
5f 3c 2c 90 b9 74 fe 9f a8 f9 d2 bd e1 13 38 c4 d2 68 1e 37
Intermédiaire
AC-CLASSE-6
GIP-CPS
08 c0 53 b3 82 e9 d7 94 fd 7a 9c 44 67 9b 95 e5 c6 b2 1b 84
Intermédiaire
GIP-CPS
GIP-CPS
4a c2 fc 4b 4a d0 77 66 9a 9a 6c 4a cf 8f a7 18 10 71 74 07
Intermédiaire
GIP-CPS ANONYME
GIP-CPS ANONYME
76 8d 84 92 dc e0 fb 9e 7e 0a 8a 7c 6c 5e 11 e9 7d 79 8f c2
Intermédiaire
GIP-CPS CLASSE-0
GIP-CPS ANONYME
60 11 0e 69 4c 33 dc dd 55 a5 f5 ab 23 f5 65 33 e3 9f 09 f9
Intermédiaire
GIP-CPS CLASSE-0
GIP-CPS ANONYME
16 94 16 b1 0c a2 d2 e2 f6 c2 06 ca 48 68 dc cb 0f a0 3d 9f
Intermédiaire
GIP-CPS CLASSE-1
a1 68 e1 50 ba c3 1f ba 0c d9 4e 46 6f 07 5b 61 1e a2 c8 67
Intermédiaire
GIP-CPS CLASSE-1
26 c2 ae 33 28 91 5d a3 85 7b b8 38 fd 70 4e 80 25 55 43 fe
Intermédiaire
GIP-CPS CLASSE-2
GIP-CPS STRUCTURE
e4 66 5c 3b a1 50 2b eb a5 80 1d 85 2a 90 43 5f 22 26 48 20
Intermédiaire
GIP-CPS CLASSE-2
GIP-CPS STRUCTURE
1f 26 d9 3b d4 b5 f6 1e 8f ce 31 4c c1 6c 81 e5 d3 43 3a 62
Intermédiaire
GIP-CPS CLASSE-3
GIP-CPS STRUCTURE
bf 57 9b f3 34 ea 2a 98 d1 9c 12 1d 91 0f 0c 68 07 42 28 3a
Intermédiaire
GIP-CPS CLASSE-3
GIP-CPS STRUCTURE
b2 4a 51 6d e4 37 79 08 eb a1 de d7 a2 30 d1 d7 2a 2f 4e 27
Intermédiaire
11 83 a4 0a de 75 f6 9b 01 88 8e 66 64 e7 0d 12 cc 46 cf dd
Intermédiaire
GIP-CPS SERVEUR
GIP-CPS SERVEUR
0a 1b 2b b0 b3 9f bc fc 44 0b 1b a8 83 f8 49 8c 57 1d ba 84
Intermédiaire
GIP-CPS STRUCTURE
GIP-CPS STRUCTURE
e6 3a 45 93 be b2 01 c3 62 3a ca 42 68 71 d4 d7 22 e5 d8 5c
20 Janvier 2010
Document GIP-CPS
Page 33 / 34
GIP-CPS
CRYPTOLIB-CPS
Version 1.07
Manuel utilisateur
SUIVI DES MODIFICATIONS DU MANUEL
1.
2.
3.
4.
5.
6.
7.
8.
Version 1.00, Septembre 2009 : Création du manuel d’installation de CRYPTOLIB-CPS-PCSC.
Version 1.01, Septembre 2009 : Corrections FBA et JLB
Version 1.02, Septembre 2009 : Modifications/Corrections FBA et JLB
Version 1.03, Octobre 2009 : Mise à jour de captures d’écran + Corrections par FBA.
Version 1.04, Octobre 2009 : Corrections FBA.
Version 1.05, Octobre 2009 : Corrections JLD et HDS.
Version 1.06, Octobre 2009 : Ajouts liste des certificats
Version 1.07, Janvier 2010 : Mise à jour des versions MAC et LINUX
20 Janvier 2010
Document GIP-CPS
Page 34 / 34

CRYPTOLIB-CPS Sur lecteurs PC/SC Manuel utilisateur

Transcription

Documents pareils

3- Réactivation code Carte CPS ou CPF

malaise, syncope et ecg au cabinet medical

ROMAIN POLI

Feuille d`inscription et de renseignements saison 2015/2016

cliquez sur le logo

DL3750+/DL3850+

CPS Rixheim

Cegetel.RSS S.A. - Reseau sante social

Médicaments antalgiques