Sécurité bureautique avec les produits de certification ASIP Santé
Contents
1. lectroniques Cette proc dure explique les manipulations r aliser pour chiffrer num riquement des messages partir des certificats de chiffrement d livr s par l ASIP Sant Chiffrer des messages partir des certificats de chiffrement des contacts Associer votre correspondant sa cl publique certificat de chiffrement dans Outlook Avant d envoyer un message chiffr votre correspondant il faut tout d abord r cup rer son certificat de chiffrement puis l associer son compte Outlook Pour r cup rer le certificat de votre correspondant plusieurs possibilit s Si le correspondant poss de un certificat Classe 5 de confidentialit se connecter l annuaire de l ASIP Sant et r cup rer son certificat de chiffrement http annuaire gip cps fr Le correspondant envoie directement son certificat de chiffrement format cer ou p7c ou sa carte de contact avec le certificat int gr A la r ception d un message sign de votre correspondant ajouter celui ci vos contacts son certificat sera pr sent si celui ci est int gr son message Ce certificat peut tre directement configur depuis le serveur Microsoft Exchange par votre administrateur de messagerie dans ce cas il n y a rien faire les certificats de chiffrement seront d j associ s aux contacts Int grer ce certificat de chiffrement au contact dans votre messagerie Ouvrir le c2. 00 100 Figure 2 Architecture d acc s la CPS avec Outlook en configuration PSS 11Annexe Liste des tableaux Tableau 1 R f rences etienne mien paiements Tableau 2 contact accompagnement ASIP Sant Tablea 34 Glossdi renaire eiior a a EE R E nr ess tre he Tabl au 4 Entrepris s cit esz 5 mimenn urnes a nn tn Tableau 5 Avertissements sise Tableau 6 Pr requis ist An tes ne net nt nn er dure Tableau 7 Cl Security absente ins Tableau 8 Signature CPS avec Outlook et PECNG s sssesssssesesesesssssssesereessssssererressssesrrereess Tableau 9 Red marrage d Outlook msie ereiteko aaia ieia an iai Tableau 10 Ad quation besoin et commande de produits de certification Tableau 11 Mise en uvre sous Windows et PRAM sesssessssssssssrsssrssrssrssrssrrnssrrsseeess Tablea 12 PRAM et PECNG ii e aisia idia aiia i aa a ia aia Tableau 13 MSSa t 15 88 nine nn mine ln nie etes Tableau 14 Calcul du Hash de la donn e signer par la Cryptolib CPS V5 32 34 ASIP Sant S curit bureautique avec les produits de certification ASIP Sant carte CPS et certificats logiciels 30 09 2015 12Notes fin du document 33 34 Agence des syst mes d information partag s de sant 9 rue Georges Pitard 75015 Paris Tel 01 58 45 32 50 AGENCE DES SY D INFORMATION ES PARTAG S DE SANT esante go MAg
3. les produits de certification ASIP Sant carte CPS et certificats logiciels 30 09 2015 9 4 S curisation de mails point point versus MSSant O MSSant Les pr conisations de l ASIP Sant concernant la s curisation de messageries lectroniques se sont recentr es vers la MSSant notamment du fait des difficult s de mise en uvre que l on per oit sur ce sujet plus haut dans le document commandes de certificats distribution de certificats associations certificats contacts dans un annuaire sp cificit de v rifications des statuts de certificats charges de t l chargements de CRLs sur les serveurs Tableau 13 MSSant 9 5 Calcul du Hash La signature peut tre longue du fait du hashage pr alable la signature effective par la carte Calcul du Hash de la donn e signer par la no Cryptolib CPS v5 Le calcul du hash de la donn e signer doit tre effectu par la Cryptolib CPS v5 pour assurer une signature IAS via par exemple cps3_pkcs11_w32 dil ou cps3_pkcs11_w64 dil cf Manuel d installation et d utilisation de la Cryptolib CPS v5 Tableau 14 Calcul du Hash de la donn e signer par la Cryptolib CPS v5 31 34 ASIP Sant S curit bureautique avec les produits de certification ASIP Sant carte CPS et certificats logiciels 30 09 2015 10Annexe Liste des figures Figure 1 Architecture d acc s la CPS avec Outlook en configuration PC SC
4. proc dures d crites dans le pr sent document Sur les liens externes Le pr sent document contient des liens vers des sites Internet Ces liens ne visent qu informer l utilisateur Ces sites Web ne sont pas g r s par l ASIP Sant et l ASIP Sant n exerce sur eux aucun contr le leur mention ne saurait engager l ASIP Sant quant leur contenu L utilisation des sites tiers mentionn s rel ve de la seule responsabilit du lecteur ou de l utilisateur des produits document s Sur les copies d cran Les copies d cran pr sent es dans ce document sont donn es titre illustratif Les pages ou crans r ellement affich s peuvent tre diff rents notamment en raison de mont es de version ou de configurations d environnements diff rentes Citations L ASIP Sant est contrainte de citer le nom de certaines entreprises recens es au Tableau 4 afin d apporter toute l aide n cessaire au lecteur Les entreprises cit es peuvent prendre contact avec l ASIP Sant l adresse email editeurs asipsante fr pour toute demande en lien avec la citation les concernant Les entreprises non cit es dans ce manuel et ayant une activit en lien avec la carte CPx ou les IGC peuvent galement se faire conna tre aupr s de l ASIP Sant en la contactant la m me adresse Tableau 5 Avertissements 7 34 ASIP Sant S curit bureautique avec les produits de certification ASIP Sant carte CPS e
5. 3v1 2400158479 Mot de passe 27 34 ASIP Sant S curit bureautique avec les produits de certification ASIP Sant carte CPS et certificats logiciels 30 09 2015 Identifications num riques Changer le mot de passe Ouvrir une session D connexion 2 Actualiser Comptes d ID d itin rance Fichiers d ID num riques Identifications num riques Windows Modules et jetons PKCS 11 GSRGAWNA CPS3v1 2400158479 Certificats approuv s Libell du jeton Etat CPS3v1 2400158479 Connect Libell du jeton CPS3v1 2400158479 ID du fabricant du module ASIP SANTE Mod le IAS ECC Num ro de s rie 99008527 Comptes d ID d itin rance Fichiers d ID num riques Identifications num riques Windows Modules et jetons PKCS 11 Er CPS3 PKCS 11 WIN 32 Certificats approuv s Identifications num riques Fa J CP Bporter Actualiser Supprimer l ID Nom Emetteur 500000000018119 CPAT0001 TEST CLASSE 2 500000000018119 CPAT0001 TEST CLASSE 2 500000000018119 CPATO001 TEST D livr e par TEST CLASSE 2 TEST Valable partir du Valabl A 2016 03 31 23 59 59 02 00 jusqu au 2013 02 01 02 00 01 02 00 28 34 ASIP Sant S curit bureautique avec les produits de certification ASIP Sant carte CPS et certificats logiciels 30 09 2015 8 4 D ploiement de Adobe Acrobat Reader en entreprise Adobe a pr vu des outils de personnalisation des installations de Adobe Acrob
6. 7 3 2 Signature d un email R diger un email comme l habitude Nouveau message lectronique L option de signature de l email peut tre peut tre activ e ou d sactiv e en cochant d cochant la case Signer dans la barre de menu d dition d un nouvel email rano 277 n Message Insertion Options Format du texte R vision D vel leurs v A emm 8m4 LL A Couleurs A m ia oa 3 Chiffrer mo A Polices um Th mes Couleur Ci De Autorisation 34 Signer Utilise OJEffets de page X boutons d Th mes Afficher les champs Autorisation E L Ce Envoyer Objet Lors de l envoi de l email le code porteur de la carte CPS sera demand pour signer le message A I Fichier A Message Insertion Options Format du texte R vision D veloppeu E Couleurs AA 82 SE a 0 Aa gt 8 8 b 84 chiffrer asese 1X Polices sens nt zE Th mes ur Cci De Autorisation 8 Signer Utiliser les Effets 7 de page x boutons de vote Th pe TA saisissez votre Code Porteur Il vous reste 3 tentative s pour la carte CPS3v1 2400140649 Code Porteur v5 0 23 64b v02 16 00 32b A Bonjour Cordialement Une fois l email sign envoy il apparait dans les El ments envoy s accompagn d un ic ne repr sentant un sceau de signature En 0 DE 83 0 DE 13 34 ASIP Sant S curit bur
7. D CSP DSS pe Configuration leie PKCS 11 qe Cryptolib CPS v5 Syst me de Base de registre fichiers Acc s carte CPx via PC SC Acc s lecteur et carte USB lt Q Figure 1 Architecture d acc s la CPS avec Outlook en configuration PC SC 9 34 ASIP Sant S curit bureautique avec les produits de certification ASIP Sant carte CPS et certificats logiciels 30 09 2015 7 2 2 Configuration nominale lecteurs PSS Sous Windows le GALSS est install par un installeur msi L installeur installe les 2 parties qui composent le GALSS 1 Un serveur unique et instanci sous le compte de l utilisateur qui prend la forme d un ex cutable galsvw32 exe g n ralement et qui g re les communications vers les lecteurs au gr des demandes de applications 2 Des clients instanci s par chaque application op rant avec des cartes et communiquant avec l unique serveur via des Named pipe L architecture g n rale est la suivante i Microsoft Outlook p Affichage communication r seaux Signature i j i Logging gt PKCS 11 mna Cryptolib CPS v5 Syst me de Base de registre amons fichiers Configuration galss ini Logging RS Configuration log4crc xml Syst me de d i GALSS fichiers API Port COM Syst me protocole PSS Syst me de fichiers Acc s lecteur et carte USB ou s r
8. Provider iMSStoreTrusted D WORD avec la valeur 0x62 2 Ins rer les certificats racines et interm diaires de l ASIP Sant dans le magasin de certificats Adobe Acrobat Reader explicitement Edition gt Pr f rences gt Signatures gt Identit s et certificats approuv s gt Autres gt Certificats approuv s gt Ins rer les certificats ASIP Sant 8 2 2 V rification de signature Ouvrir un PDF sign Outils Remplir et signer Commentaire Manuel d installation et 51875127 RE an Tawa d utilisation gt Envoyer ou collecter les signatures 5100020 te oon de la gt Utiliser des certificats 00000003 ae Cryptolib CPS 1 1 Date 2015 09 09 14 40 36 0700 v5 1 3 du 08 09 2015 rimes PaM EAL S pe saart Le d tail de la signature est disponible en cliquant sur le Panneau Signatures 24 34 ASIP Sant S curit bureautique avec les produits de certification ASIP Sant carte CPS et certificats logiciels 30 09 2015 Adobe Acrobat Reader v rifie le statut du certificat de signature en contactant le domaine annuaire asipsante fr Si ce domaine n est pas r solu l erreur suivante appara t FE ASIP PUSC PSCE_Manuel Installation utilisation Cryptolib CPS_20150908_signed3_v5 1 3 pf Adobe Reader oe o _X Fichier Edition Affichage Fen tre Aide x Outils Remplir et signer Commentai
9. Px La carte CPx permet aussi de commander un bi cl de confidentialit avec l outil CleoCPS Le certificat associ peut tre diffus des tiers correspondants pour qu ils chiffrent leurs messages emails fichiers destination du d tenteur du certificat qui sera le seul pouvoir les d chiffrer Le pr sent document d crit comment mettre en uvre de telles fonctionnalit s Pour toute question et change sur ce document Accompagnement editeurs asipsante fr Tableau 2 contact accompagnement ASIP Sant 3 34 ASIP Sant S curit bureautique avec les produits de certification ASIP Sant carte CPS et certificats logiciels 30 09 2015 3 Sommaire 1 R f rences tennis dt de de de A A de den dd Ge 3 2 RTL PE EDR et RE EL EL 3 3 to eu LETTRE DD PE PE RP EE LL Er tn ET Et En En T 4 4 GIOSSaiFR neen e ere aaen E n E EN Nan eee TU EEA AE REN DEN EUR LEE PAS EN EAE E EM DER VS SRE SRE MN EN 5 5 listedes entr pris s cit es nn ne a Per en er EEE nes PRN De et S nee ES 6 6 AVertiss ments z2aterricenennnnn miennes rene devenir nat entr inde den nr tre Renan ee dt nee ter anne des perde anges t es 7 7 Microsoft Outlook a a Rennes Ina E ir tn nn ie rent Re tent 8 7 1 Produits COnCern s isssssrsimennennnimnannndnmenern E 8 7 1 P Er A S eee men en ne eee Ps nement rene Edge De De en nr er ne ne nee E 8 7 2 Rapp lsd architecture iiraundniirmnnnntihen E tdien rennes te lens dr ere date in
10. S curit bureautique avec les produits de certification ASIP Sant carte CPS et certificats logiciels V2 0 1 du 30 09 2015 AGENCE DES SYST MES D INFORMATION PARTAG S DE SANT asiPSanT AGENCE DES SYST MES D INFORMATION PARTAG S DE SANT S curit bureautique avec les produits de certification ASIP Sant carte CPS et certificats logiciels Version 2 0 1 du 30 09 2015 Historique du document 100 01 08 2011 ASIP Sant Cr ation Outlook et chiffrement 200 14 09 2015 ASIP Sant Adobe et signature Agence des syst mes d information partag s de sant 9 rue Georges Pitard 75015 Paris T 33 0 1 58 45 32 50 www asipsante fr Agir ensemble pour soigner mieux ASIP Sant S curit bureautique avec les produits de certification ASIP Sant carte CPS et certificats logiciels 30 09 2015 1 R f rences Version pate awer Manuel d installation et d utilisation de 09 07 2015 ASIP Sant Ta ADI E 18 03 2015 GIE SESAM Vitale Manuel d installation du GALSS Tableau 1 R f rences 2 R sum La carte CPx distribu e par l ASIP Sant contient un certificat de signature Ce certificat est expos aupr s des syst mes d exploitation au moyen de la Cryptolib CPS v5 ce qui permet d effectuer des op rations de signature de documents depuis les applications de bureautique usuelles Microsoft Word Microsoft Outlook Adode Acrobat Reader avec la carte C
11. ader avec la CPS via le PKCS 11 Edition gt Pr f rences gt Signatures gt Identit s et certificats approuv s gt Autres gt Modules et jetons PKCS 11 F a Param tres d ID et de certificat approuv num riques i Identifications num riques Joindre un module D tacher le module Q Actualiser Comptes d ID d itin rance Fichiers d ID num riques ID du fabricant du module Chemin d acc s la biblioth que ASIP SANTE C Windows SysWOW64 c Identifications num riques Windows ER CPS3 PKCS 11 WIN 32 CPS3v1 2400158479 Certificats approuv s ID du fabricant du module ASIP SANTE Description du module CPS3 PKCS 11 WIN 32 Version de la biblioth que 1 17 Version Cryptoki 2 20 Chemin d acc s la C Windows SysWOW64 biblioth que cps3_pkcs11_w32 dil 26 34 ASIP Sant S curit bureautique avec les produits de certification ASIP Sant carte CPS et certificats logiciels 30 09 2015 Changer le mot de passe Ouvrir une session D connexion 2 Actualiser Libell du jeton Etat CPS3v1 2400158479 Comptes d ID d itin rance _ Fichiers d ID num riques Identifications num riques Windows Modules et jetons PKCS 11 CPS3 PKCS 11 WIN 32 CPS3v1 2400158479 Certificats approuv s Libell du jeton CPS3v1 2400158479 ID du fabricant du module ASIP SANTE Mod le IAS ECC Num ro de s rie 99008527 Libell du jeton CPS
12. ante Ce probl me est li au fait que dans l IGC ASIP Sant l autorit de certification signe les certificats CPS avec un bi cl et la CRL associ es avec un autre bi cl Ce mode de signature est d crit dans la section 8 5 1 1 3 du RFC 5280 Le module natif de Windows de v rification des statuts de certificats cryptnet dil ne supporte pourtant pas ce mode de signature la v rification choue Pour rem dier ce probl me il faut d clarer aupr s du syst me un provider de r vocation sp cifique l IGC ASIP Sant d velopp en partenariat avec Microsoft Provider de R vocation ASIP Sant Microsoft ou PRAM Toutes les informations et le t l chargement de ce module se trouve l adresse suivante http www microsoft com france interop ressources gip cps aspx 15 34 ASIP Sant S curit bureautique avec les produits de certification ASIP Sant carte CPS et certificats logiciels 30 09 2015 Une fois le PRAM install la v rification de statuts passe condition que les flux HTTP TCP port 80 ou LDAP TCP port 389 vers le domaine annuaire asipsante fr soient ouverts RA obiet essai02 Les messages peuvent contenir des couches de chiffrement et de signature num rique Chaque couche de signature num rique peut comporter plusieurs signatures Couches de s curit S lectionnez une couche ci dessous pour afficher sa description PA Objet essai02 i Couche de signature num ri
13. at Reader et des GPOs pour son produit http blogs adobe com acrolaw 2013 02 acrobat xi deployment guide for large firms http www adobe com devnet docs acrobatetk tools AdminGuide index html http www adobe com devnet docs acrobatetk tools AdminGuide gpo html Ce dernier lien pointe vers les ADM liens FTP en haut de la page 8 5 Cr ation automatis e de documents PDF sign s Adobe distribue des API de cr ation de documents PDF LiveCycle ES2 for Java developers par exemple Ces APIs pr voient l int gration d une signature http tv adobe com watch adobe evangelists duane nickull add a signature field to a pdf using the java api http help adobe com en US livecycle 10 0 ProgramLC javadoc com adobe livecycle signatures cl ient SignatureServiceClientinterface html 29 34 ASIP Sant S curit bureautique avec les produits de certification ASIP Sant carte CPS et certificats logiciels 30 09 2015 9 Conseils et Performances 9 1 Commande de produits de certification La nouvelle IGC de Sant PFCNG permet de passer commande de nombreux produits de certification certificats logiciels de Ad quation personnes physiques d organisations de serveurs de cartes besoin et Chaque produit est destin un usage particulier Il convient eo commande de donc de formaliser les besoins et d identifier les produits de produits de certification qui les couvrent par exemple en commandant des certificati
14. e gestion de la confidentialit Editeurs approuv s 5 iiia Courrier lectronique chiffr Param tres de pr vention de l ex cution des donn es 2 T Chiffrer le contenu des messages et des pi ces jointes pour les messages sorti Options de confidentialit 7 Ajouter une signature num rique au message sortant S curit de messagerie lectronique V Envoyer le message sign en texte clair lors de l envoi de messages sign s W Demander un accus S MIME pour tous les messages S MIME sign s Gestion des pi ces jointes i r TT P a Param tre par d faut S curit cs T l chargement automatique Identifications num riques Certificats Param tres des macros g Les identifications num riques ou les certificats sont des documents qui vous perme Acc s par programme identit lors de transactions lectroniques Publier vers la liste d adresses globale Importer Exporter Obtenir une Lire comme texte brut E Lire tous les messages standard au format texte brut Lire tous les messages lectroniques sign s num riquement au format texte brut Script dans les dossiers m Autoriser les scripts dans les dossiers partag s E Autoriser les scripts dans les dossiers publics 4 D b Came 12 34 ASIP Sant S curit bureautique avec les produits de certification ASIP Sant carte CPS et certificats logiciels 30 09 2015
15. eautique avec les produits de certification ASIP Sant carte CPS et certificats logiciels 30 09 2015 7 3 1 R ception d un email sign A la r ception un email sign appara t lui aussi accompagn d un ic ne repr sentant un sceau de signature 1 i D 0 De d De DESGF 23 DE Lorsque qu on ouvre l email en question Outlook signale que l email est sign Le Message Texte brut EH z bd id ENS Message D veloppeur 3 Et Au responsable 2 D placer vers 3 Marquer comme non lu da Th x lt amp s 3 T _ 7 QI Bg Classer 2 dr al A Message ts Un clic sur le sceau permet de faire apparaitre la signature F Signature num rique valide De Ee uu 518751275100020 0000000311 La signature num rique de ce message est Valide et Approuv e Pour plus d informations sur le certificat utilis pour signer le message num riquement diquez sur D tails M avertir des erreurs dans les messages sign s num riquement avant leur ouverture Supprimer R pondre R pondre Transf rer 5 D placer Traduire Zoom amp tous 2o BA Message d quipe 7 Y Assurer un suivi v E KR Supprimer R pondre Actions rapides A D placer Indicateurs a Modification Zoom De Date lun 14 09 2015 12 32 Cr Objet Sign par 518751275100020 0000000311 amp 14 34 ASIP Sant S c
16. eee sen nd Niue re 9 7 2 1 Configuration nominale lecteurs PC SC nee 9 7 2 2 Configuration nominale lecteurs PSS ie 10 7 3 Sighature de messages lectroniques her E etes este ere A net at vestes de 11 7 3 1 Configurer Microsoft Outlook pour accepter de signer avec les cartes CPS sssssssssessssissessrrsriesersresensees 11 7 3 2 Sighat r d un mMailssresses is inner a re menti este rie rite rt ns IR nee 13 7 3 1 R c eption d un mail sign 455resc8 name ENNE EE NE EEN entre derniere et 14 7 4 D chiffrement de messages lectroniques avec Outlook 17 7 4 1 Rappels Ne nie Anne AN AE Nc ne ne RARE en en nee en sn en teen ne ne en et nn 17 7 4 1 Commander un certificat de confidentialit avec la carte CPS sssssssssssissesresisrrsisrisrerisrsersrrsrsrrsresrsrrereee 18 7 4 2 Configurer Microsoft Outlook pour d chiffrer des emails sssessssssesnssssseessesrsnsersrrsrenssrsreesrnsrnnsensreseensens 18 7 5 Chiffrement de messages lectroniques Mann a E AE SE 19 8 Adobe Atrobat Reader ni mer nn E ena aE A AE Re en EA E MR Re A Ne ne On 20 8 1 Signature de PDF avec Adobe Acrobat Reader siennes 20 8 2 V rification de signature avec Adobe Acrobat Reader ss 24 8 2 1 Configuration rires nette RE En Her terne sors nue done son ere bed doc een td tee ter TETEA 24 8 2 2 MV rification de sSighature 282282480 meet men Reel de EU te ES PE cn Le An A el tt 24 8 3 Utilisation d PKO SA T 25m RAR ne nn A MN ne ee een n n
17. es contenant des adresses mail ce qui permet d viter cette d sactivation Tableau 8 Signature CPS avec Outlook et PFCNG cl Type Valeur SupressNameChecks dword 1 C Red marrage Red marrer Microsoft Outlook pour que ce param trage soit pris en compte Tableau 9 Red marrage d Outlook 11 34 ASIP Sant S curit bureautique avec les produits de certification ASIP Sant carte CPS et certificats logiciels 30 09 2015 Configurer Outlook pour utiliser le certificat de signature de la carte CPS Menu Outils gt Centre de gestion de confidentialit gt s curit de messagerie lectronique gt Param tres gt Nouveau 1 z LL td LL LL i E A LL Menu Fichiers gt Options gt Centre de gestion de confidentialit gt Param tres du Centre de gestion de la confidentialit gt S curit de messagerie lectronique gt Param tres gt Nouveau 2 Saisir un nom de param tre de s curit par exemple S curit CPS 3 Bouton Choisir certificat de signature gt s lectionner le certificat de signature correspondant la carte CPS ins r e dans le lecteur 4 Choisir SHA1 pour l algorithme de hachage 5 Refermer les fen tres en validant les choix OK Afin de signer tous les emails sortant cocher l option ajouter une signature num rique au message sortant F Centre d
18. ie Figure 2 Architecture d acc s la CPS avec Outlook en configuration PSS 10 34 ASIP Sant S curit bureautique avec les produits de certification ASIP Sant carte CPS et certificats logiciels 30 09 2015 7 3 Signature de messages lectroniques 7 3 1 Configurer Microsoft Outlook pour accepter de signer avec les cartes CPS Le certificat de signature de la carte CPS n a pas d adresse e mail Pour qu Outlook puisse l utiliser pour signer des emails il faut d sactiver le contr le qu il effectue sur ce champ via la base de registres en ajoutant une cl l endroit suivant Version Cl Outlook 2013 HKEY CURRENT _USER SOFTWARE Microsoft Office 15 0 Outlook Security Outlook 2010 HKEY CURRENT _USER SOFTWARE Microsoft Office 14 0 Outlook Security Outlook 2007 HKEY CURRENT _USER SOFTWARE Microsoft Office 12 0 Outlook Security Outlook 2003 HKEY CURRENT _USER SOFTWARE Microsoft Office 11 0 Outlook Security Outlook 2002 HKEY CURRENT _USER SOFTWARE Microsoft Office 10 0 Outlook Security Outlook 2000 HKEY CURRENT _USER SOFTWARE Microsoft Office 9 0 Outlook Security C cl Security Signature CPS avec Outlook et PFCNG Si la cl Security n existe pas il est n cessaire de la cr er Tableau 7 Cl Security absente La nouvelle IGC de Sant PFCNG permet de passer commande de certificats logiciels de personnes physiques ou de certificats cart
19. lus afficher ce message 21 34 ASIP Sant S curit bureautique avec les produits de certification ASIP Sant carte CPS et certificats logiciels 30 09 2015 Tracer un rectangle de signature s lectionner une zone libre dans le document CR i LA Manuel d installation et d utilisation de la Cryptolib CPS Rel cher la souris la fen tre suivante apparait Emetteur du certificat GIP CPS CLASSE 3 np 51875127510 sisi7stonozsimnocooesn DN c FR o GIP CPS I Paris 75 o020 000000 Wa aa sn DESGRIPPES 0311 pe RE Verrouiller le document apr s la signature Cliquez sur R viser pour voir si le contenu du document z risque d avoir un impact sur l apposition d une signature 22 34 ASIP Sant S curit bureautique avec les produits de certification ASIP Sant carte CPS et certificats logiciels 30 09 2015 Choisir le certificat de signature et cocher Verrouiller le document apr s la signature Signature 518751275100020 0000000311 GIP CPS CLASSE 3 2016 01 31 Emetteur du certificat GIP CPS CLASSE 3 0311 5187512751 0020 000000 isrsizrsiooganooooen Aspect Teresenan Signature num rique de 518751275100020 000000031 1 DN c FR o GIP CPS l Par s 75 sn DESGRIPPES givenName FLORENT Date 2015 09 14 17 20 50 02 00 Verrouiller le document apr s la signature Cliquez sur R viser pour voir si le co
20. n ane nue E NU nd ene dd 0e ane eee RER QU 26 8 4 D ploiement de Adobe Acrobat Reader en entreprise 29 8 5 Cr ation automatis e de documents PDF sign s 9 Conseilset Performances nesre r a A ne AO RS A des D ARE ER A cran ele an 30 9 1 Commande de produits de certifications irinenn a EEEa aeS ESER RS E SET NA etes 30 9 2 Provider de r vocation ASIP Sant Microsoft PRAM inner 30 9 3 R cup ration d s CRLS ASIP Sant ssssssinis mA ME MI ee Re rl ten 30 9 4 S curisation de mails point point versus MSSant s 31 9 5 Calcul du Hash 10 Annexes list des fig res 2ienmniminete se ed NES a ts enr ere Eden enr st 32 11 Annexe Liste d s tableaux e e EE E EN a AEAEE EA Tr AAA ENE ae sue te vesne teen ue ee 32 12 gt NOTES Rem em nn nain ion nn Ness E its enn ane ete its ane aU en Net re tn ini ina les 33 4 34 ASIP Sant S curit bureautique avec les produits de certification ASIP Sant carte CPS et certificats logiciels 30 09 2015 4 Glossaire Abr viation Signification ASIP Sant Agence des Syst mes d Information Partag s de Sant Famille de cartes puce mises par l ASIP Sant comprenant CDA CDE CPA CPE CPx CPF et CPS FS File System Syst me de fichiers GALSS Gestionnaire d Acc s aux Lecteurs Sant Social GIE Groupement d Int r t Economique OS Operating System Syst me d exploitation PC SC Personal C
21. ntenu du document risque d avoir un impact sur l apposition d une signature Signer attendre choisir un emplacement pour le fichier sign entrer le code porteur Il vous reste 3 tentative s pour la carte CPS3v1 2400140649 Code Porteur vaser amer v5 0 23 64b v02 16 00 32b 51875127 5100020 00000003 11 Manuel d installation et d utilisation de la Cryptolib CPS Signature num rique de 518751275100020 0000000 311 DN c FR o GIP CPS l Paris 75 ou 318751275100020 cn 518751275100020 000 0000311 sn DESGRIPPES givenName FLORENT Date 2015 09 14 17 26 46 02 00 23 34 ASIP Sant S curit bureautique avec les produits de certification ASIP Sant carte CPS et certificats logiciels 30 09 2015 8 2 V rification de signature avec Adobe Acrobat Reader 8 2 1 Configuration Il est n cessaire de configurer Adobe Acrobat Reader pour qu il fasse confiance aux autorit s de certification ASIP Sant Pour cela 2 options 1 Lancer Adobe Acrobat Reader et assurer le param trage suivant Edition gt Pr f rences gt Signatures gt Authentification gt Autres gt Int gration Windows gt Approuver TOUS les certificats racine situ s dans le magasin de certificat Windows pour Validation de documents certifi s La cl de registre associ e ce dernier param trage est HKCU Software Adobe Acrobat Reader 11 0 Security cASPKI cMSCAPI_ Directory
22. omputer Smart Card PFCNG Plate Forme de Certification Nouvelle G n ration PSS Protocole Sant Social Tableau 3 Glossaire 5 34 ASIP Sant S curit bureautique avec les produits de certification ASIP Sant carte CPS et certificats logiciels 30 09 2015 5 Liste des entreprises cit es Le pr sent document cite les produits des entreprises ou organismes suivants Nom Lien avec le document Adobe Editeur de Acrobat Reader ASIP Sant CPx Cryptolib CPS v5 testssl asipsante fr DMP MSSant Microsoft Editeur du syst me d exploitation Windows et de la suite Office Outlook Word Excel Tableau 4 Entreprises cit es 6 34 ASIP Sant S curit bureautique avec les produits de certification ASIP Sant carte CPS et certificats logiciels 30 09 2015 6 Avertissements Sur le n cessaire strict respect des proc dures d crites dans le document L attention de l utilisateur est attir e sur l importance de respecter strictement les proc dures d crites dans le pr sent document Toutes les proc dures qui y sont d crites ont t pr alablement test es par l ASIP Sant En cas de non respect de ces proc dures des dysfonctionnements dans l environnement de travail de l utilisateur peuvent appara tre En cas de dysfonctionnement quel qu il soit ASIP Sant pr tera dans la mesure du possible assistance l utilisateur qui ne pourra rechercher sa responsabilit en cas de non respect des
23. on produits qui contiennent des adresses mail si on souhaite faire de la signature d email avec Outlook S MIME ou signature avec extension RFC822 Tableau 10 Ad quation besoin et commande de produits de certification 9 2 Provider de r vocation ASIP Sant Microsoft PRAM Les mises en uvre de m canisme de s curisation signature confidentialit sous Windows n cessitent souvent l installation O Mises en uvre et la configuration du PRAM Toutes les informations et le sous Windows t l chargement de ce module se trouve l adresse suivante http www microsoft com france interop ressources gip cps aspx Tableau 11 Mise en uvre sous Windows et PRAM Mises en uvre Le PRAM ne sera plus n cessaire avec la nouvelle IGC de Sant sous Windows PFCNG Tableau 12 PRAM et PFCNG 9 3 R cup ration des CRLs ASIP Sant L outil qui signe et l outil qui v rifie la signature doivent pouvoir r soudre le nom de domaine annuaire asipsante fr afin de t l charger les CRLs ASIP Sant Dans tous les cas il faut s assurer que les CRLs ASIP Sant sont obtenues par chaque poste en contactant annuaire asipsante fr mais en recevant les CRLs depuis le cache d un reverse proxy cache mis en uvre sur le LAN faute de quoi e Les v rifications de statuts de r vocation seront longues e La charge sur les serveurs de CRLs ASIP sera tr s importante 30 34 ASIP Sant S curit bureautique avec
24. ontact menu atteindre gt contacts gt s lectionner ou cr er un nouveau contact Onglet certificats gt importer gt s lectionner le certificat de chiffrement de ce contact La messagerie est maintenant configur e pour chiffrer des e mails la cr ation d un nouvel e mail cocher la case chiffrer dans la barre de menu pour chiffrer votre message Remarque Il est tout fait possible de signer et chiffrer un m me message 19 34 ASIP Sant S curit bureautique avec les produits de certification ASIP Sant carte CPS et certificats logiciels 30 09 2015 8 Adobe Acrobat Reader 8 1 Signature de PDF avec Adobe Acrobat Reader PDF supporte les formats de signature PKCS 7 d tach et Cr ation Format de signature par d faut PKCS 7 D tach Lors de la signature Afficher les motifs Afficher l emplacement et les coordonn es V Inclure l tat de r vocation de la signature Afficher les documents en mode Aper u Activer la r vision des avertissements de document Lors de la certification d un document Emp cher la signature jusqu la r vision des avertissements Jamais Aspect Cr er Modifier Dupliquer Supprimer La section Aspect gt Cr er permet de changer l aspect de la signature embarqu e dans le document 20 34 ASIP Sant S curi
25. que LL Signataire 518751275100020 0000000311 Description OK messageSign Cliquez sur l un des boutons suivants pour afficher des informations suppl mentaires sur la couche s lectionn e ou la modifier Modifier l approbation Afficher les d tails Approuver une autorit de certification C M avertir en cas d erreur concernant les messages lectroniques sign s num riquement 16 34 ASIP Sant S curit bureautique avec les produits de certification ASIP Sant carte CPS et certificats logiciels 30 09 2015 7 4 D chiffrement de messages lectroniques avec Outlook 7 4 1 Rappels Le chiffrement d un message lectronique prot ge ce message en confidentialit le texte brut lisible est converti en texte chiffr Seul le destinataire disposant de la cl priv e qui correspond la cl publique que a t utilis e pour chiffrer le message peut d chiffrer celui ci La carte CPS sert g n rer un certificat de confidentialit associ cette carte certificat classe 5 mis par l IGC de Sant 2Bis Le porteur CPS commande en certificat de confidentialit Classe 5 avec sa CPS et CleoCPS Le porteur garde la cl priv e associ e ce certificat de confidentialit Classe 5 bien pr cieusement dans son magasin de bi cl personnel Microsoft Ses interlocuteurs utilisent le certificat de confidentialit Classe 5 cl publique l ments d identit l ments de
26. r vocation pour chiffrer leurs emails destination du porteur CPS o Lors de cette phase de chiffrement de message la carte CPS n est bien s r pas utilis e Les interlocuteurs de porteur CPS ne portent pas la carte du porteur CPS en question C est la cl publique contenue dans le certificat classe 5 qui est utilis e information publique Le porteur CPS utilise Microsoft Outlook pour relever les emails qui lui sont adress s chiffr s par ses interlocuteurs et la cl priv e associ e ce certificat de confidentialit Classe 5 stock e en magasin pour d chiffrer les messages re us o Lors de cette phase de d chiffrement de message la carte CPS n est pas utilis e C est la cl priv e correspondant au classe 5 qui est utilis e bi cl logiciel 17 34 ASIP Sant S curit bureautique avec les produits de certification ASIP Sant carte CPS et certificats logiciels 30 09 2015 7 4 1 Commander un certificat de confidentialit avec la carte CPS Commander un certificat de confidentialit avec la carte CPS Obtenir un certificat de chiffrement personnel aupr s de l autorit d enregistrement de l ASIP Sant correspondant votre carte CPS 1 Utiliser CleoCPS un utilitaire d aide la g n ration de certificat de chiffrement appel certificat personnel de classe 5 Utilitaire disponible et t l chargeable gratuitement sur le site int grateur de l ASIP Sant http in
27. re Manuel 51875127 arsts d installation et 5100020 lt lt d utilisation 00000003 re de la z grenName FLORENT SR CPS Ps gt Envoyer ou collecter les signatures gt Utiliser des certificats v5 1 3 du 08 09 2015 Panneau Signatures TE ASIP PUSC PSCE Manuel Instllation utisation Cryptolib CPS 20150908 signed3_v5 1 3 pdf Adobe Reader a Pros Fichier Edition Affichage Fen tre Aide x E ouvrir E PEN E o Remplir et signer Commentaire v Outils de remplissage et signature E d R v 1 Sign par 518751275100020 0000000311 Validit de la signature inconnue Le Document n a pas t modifi depuis l apposition de la signature La signature comprend un tampon temporel incorpor D tails de la signature gt Envoyer ou collecter les signatures Derni re v rification 2015 09 14 17 43 57 02 00 gt Utiliser des certificats Champ Signature la page 1 Cliquer pour afficher cette version Document verrouill par Signature2 Noter que Adobe Acrobat Reader n a pas besoin du PRAM pour v rifier le statut de r vocation du certificat de signature employ 25 34 ASIP Sant S curit bureautique avec les produits de certification ASIP Sant carte CPS et certificats logiciels 30 09 2015 8 3 Utilisation du PKCS 11 Sous Windows sans CSP ou sous Mac OS X il est aussi possible d interfacer Adobe Acrobat Re
28. t bureautique avec les produits de certification ASIP Sant carte CPS et certificats logiciels 30 09 2015 Une fois la Cryptolib CPS v5 install e les certificats CPS sont directement vu par Acrobat Edition gt Pr f rences gt Signatures gt Identit s et certificats approuv s gt Autres A Prune acer Identifications num riques a Fi X CP Exporter Q Actualiser i Comptes d ID d itin rance Fichiers d ID num riques 518751275100020 0000000311 lt flo GIP CPS dentifications num riques Windows AGENCE NATIONALE DES SYSTEM Thawte Code Signing CA G2 Modules et jetons PKCS 11 518751275100020 0000000311 GIP CPS CLASSE 3 Nom Emetteur Certificats approuv s 518751275100020 0000000311 GIP CPS CLASSE 3 m m 518751275100020 0000000311 GIP CPS D livr e par GIP CPS Valable partir du 2015 09 14 10 35 44 02 00 Valable jusqu au 2016 01 01 11 35 44 02 00 Utilisation pr vue Chiffrement des cl s Protection lectronique Il suffit d s lors d ouvrir le PDF signer et de s lectionner Remplir et signer gt Utiliser des certificats gt Signer avec un certificat La fen tre suivante appara t Pour apposer une signature cliquez sur le bouton Tracer un rectangle de signature puis dessinez la zone dans laquelle vous souhaitez afficher la signature Vous passerez alors automatiquement l tape suivante du processus de signature Ne p
29. t certificats logiciels 30 09 2015 7 Microsoft Outlook 7 1 Produits concern s Les versions de Microsoft Outlook concern es sont Microsoft Outlook 2000 Microsoft Outlook 2002 Microsoft Outlook 2003 Microsoft Outlook 2007 Microsoft Outlook 2010 Microsoft Outlook 2013 7 1 Pr requis Pr requis 1 Poss der une carte CPS non bloqu e non expir e non oppos e en bon tat 2 Poss der un lecteur de carte CPS lecteur PSS avec un firmware jour ou lecteur PC SC 3 Avoir install la Cryptolib CPS v5 sur le poste Faire confiance aux autorit s interm diaires et racines correspondant aux certificats CPS mise jour de magasins de certificats normalement faite par la Cryptolib CPS v5 5 Poss der une licence Microsoft Windows et Microsoft Outlook Tableau 6 Pr requis 8 34 ASIP Sant S curit bureautique avec les produits de certification ASIP Sant carte CPS et certificats logiciels 30 09 2015 7 2 Rappels d architecture 7 2 1 Configuration nominale lecteurs PC SC Avec la Cryptolib CPS v5 et un lecteur PC SC l architecture logicielle mise en uvre pour acc der la CPx lors d une signature d email par Microsoft Outlook est la suivante L gende Fourniture ASIP Sant Processus sous compte utilisateur Microsoft Outlook Affichage communication r seaux
30. tegrateurs cps asipsante fr 2 Une fois votre certificat de chiffrement r cup r l importer avec sa cl priv e dans le magasin personnel des certificats Microsoft en double cliquant sur le fichier p12 r cup r 3 Mettre disposition le certificat partie publique du bi cl de confidentialit aupr s de ses interlocuteurs 7 4 2 Configurer Microsoft Outlook pour d chiffrer des emails Cette proc dure explique les manipulations r aliser pour d chiffrer et signer num riquement des messages partir des certificats de chiffrement d livr s par l ASIP Sant D chiffrer des messages partir des certificats de chiffrement d livr s par l ASIP Sant Menu Outils gt Centre de gestion de confidentialit gt s curit de messagerie lectronique gt Param tres gt Nouveau 2 Saisir un nom de param tre de s curit par exemple S curit CPS Bouton Choisir certificat de chiffrement gt s lectionner le certificat de chiffrement g n r l aide de CleoCPsS et de la carte CPS du porteur Certificat Classe 5 4 Choisir 3DES pour l algorithme de chiffrement NB Ce param trage peut s ajouter au param trage de signature d email d crit plus haut 18 34 ASIP Sant S curit bureautique avec les produits de certification ASIP Sant carte CPS et certificats logiciels 30 09 2015 7 5 Chiffrement de messages
31. urit bureautique avec les produits de certification ASIP Sant carte CPS et certificats logiciels 30 09 2015 Un clic sur D tails permet de faire apparaitre le d tail de la signature Fr Propri t s de s curit des messages RA EE E O E E Les messages peuvent contenir des couches de chiffrement et de signature num rique Chaque couche de signature num rique peut comporter plusieurs signatures Couches de s curit S lectionnez une couche ci dessous pour afficher sa description Objet S Couche de signature num rique i Signataire 518751275100020 0000000311 Description Avertissement La liste de r vocation de certificats n cessaire pour v rifier le certificat de signature n est pas disponible ou a expir Cinn mar C1970 17970 10000 NNNNNNN AA suar DEA CHA 1 3 19 21 47 1AMO MIAIC Cliquez sur l un des boutons suivants pour afficher des informations suppl mentaires sur la couche s lectionn e ou la modifier Modifier l approbation Afficher les d tails Approuver une autorit de certification C M avertir en cas d erreur concernant les messages lectroniques sign s num riquement Le point d exclamation est un avertissement Il est d l chec de la v rification de la signature de la CRL liste de r vocation ASIP Sant le statut du certificat n a pas t v rifi compl tement v rification du statut de r vocation manqu
Download Pdf Manuals
Related Search