Manuel d`installation et d`utilisation de la Cryptolib CPS
Contents
1. El Ne prend effet qu apr s le red marrage de votre ordinateur __ R tablir les param tres avanc s R initialiser les param tres d Internet Explorer R initialise les param tres d Internet Explorer leurs valeurs par R initialiser d faut N utilisez cette option que si votre navigateur est inutilisable Figure 100 inetcpl cpl Options Internet EPM Windows 7 64b IE11 G n ral S curit Confidentialit Contenu Connexions Programmes Avanc Param tres amp S curit W Activer l authentification Windows int gr e WW Activer la prise en charge native de XMLHTTP Activer la validation P3P stricte Activer le filtre SmartScreen Activer le mode prot g am lior M Activer le stockage DOM Activer les processus 64 bits pour le mode prot g am lior Autoriser l ex cution du contenu actif dans les fichiers de mon ordinateur Autoriser l ex cution du contenu actif des CD sur mon ordinateur Autoriser le logiciel s ex cuter ou s installer m me si la signature n est pas ve _ Avertir en cas de changement entre mode s curis et non s curis M Avertir si la soumission POST est redirig e vers une zone qui n autorise pas les Bloquer les images non s curis s avec d autres contenus mixtes 1 Fnvover les demandes Do Not Track aux sites aue vous visitez dans Internet Fxi Y lt gt2. 1 Si c est le cas les cl s sont copi es l emplacement appropri sous HKEY_CURRENT_USER a gt Si l application tente de lire un fichier ini qui n existe pas les services Terminal Server recherchent ce fichier ini sous la racine syst me 3 Si le fichier ini se trouve la racine syst me il est copi dans le sous r pertoire Windows du r pertoire de base de l utilisateur 4 Si l application interroge le r pertoire Windows les services Terminal Server renvoient le sous r pertoire Windows du r pertoire de base de l utilisateur Lorsqu une session est ouverte les services Terminal Server v rifient si ses fichiers syst me ini sont plus r cents que les fichiers ini qui se trouvent sur votre ordinateur Si la version syst me est la plus r cente votre fichier ini est soit remplac soit 1 fusionn avec cette version Ceci d pend du fait que le bit INISYNC 0x40 a t d fini ou non pour ce fichier ini 6 La version pr c dente de votre fichier ini est renomm e en Inifile ctx Si les valeurs du Registre du syst me sous la cl TerminalServer install sont plus gt r centes que la version situ e sous HKEY_CURRENT_USER alors votre version des cl s est supprim e et remplac e par les nouvelles cl s situ es sous TerminalServer install Tableau 153 Fonctionnement de la commande Change user 179 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CP
3. Figure 74 Extension Firefox ASIP Sant Module de s curit ASIP Sant en pr sence d une carte CPx Figure 75 Extension Firefox ASIP Sant Module de s curit ASIP Sant en pr sence d une carte CPx Ins rer les certificats ASIP Sant dans le magasin de certificats L 1 Certificate Manager x Your Certificates People Servers Authorities Others You have certificates on file that identify these certificate authorities Certificate Name Security Device R VASIP SANTE ACIGC SANTE ELEMENTAIRE PERSONNES Software Security Device AC IGC SANTE FORT PERSONNES Software Security Device AC IGC SANTE STANDARD ORGANISATIO Software Security Device AC IGC SANTE FORT ORGANISATIONS Software Security Device AC IGC SANTE ELEMENTAIRE ORGANISA Software Security Device 5 AC RACINE IGC SANTE ELEMENTAIRE Software Security Device AC RACINE IGC SANTE STANDARD Software Security Device AC RACINE IGC SANTE FORT Software Security Device AC IGC SANTE STANDARD PERSONNES Software Security Device vAutoridad de Certificacion Firmaprofesion Autoridad de Certificacion Firmaprofesi Builtin Object Token Autoridad de Certificacion Firmaprofesi Builtin Object Token Import ZOK Figure 76 Extension Firefox ASIP Sant V rification magasin de certificats 1 Certificate Manager x Your Certificates People Servers Authorities Others You have certificates on file that identify
4. ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 Ticket OS Archi Limitation Alternative maur storur 3 probl me alternative Les OS SR AU NOYAU AP DESONTDES ed aet WinXP x86 nativement compatibles avec la EEN SO r AT_0080 0013450 j pour noyaux XP sera requise Confirm Confirm Win2003 x64 nouvelle architecture cryptographique terme Microsoft L OS Win XP ne sera plus support par Mi ft tir d avril 2014 dun He Afin de faire fonctionner la Cryptolib 7 CPS sur Win XP il sera n cessaire aroo lopis4e ARR RSS SA PaRI AETEmE date MI SSGIU RE d installer le KB2836198 Confirm Confirm Win2003 x64 supportera plus l actuel processus de a Authenticode Signing for CSP signature des CSP signatures Les futures Cryptolib CPS seront donc 8 sign es par Authenticode uniquement Ceci est d au fait que le CSP est de type 1 PROV_RSA FULL et non de AT_0100 0001129 Windows 5 n est pas possible de faire du SHA256 type 24 PROV RSA AS Confirm Confirm x64 au niveau CSP sous Windows Pour faire du SHA256 passer au niveau PKCS 11 ou PC SC 208 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 Ticket OS Archi Limitation Alternative akatur Statut x probl me alternative Sous Windows 7 les messages pilote Pour viter ces messages de carte
5. Syst me Fichiers Exemple Signification D tails cps_cem_ pid _ tid log cps_ccem_b4c_718 log Traces CCM Va cps_csp_ pid _ tid log cps_csp_ b4c 718 log Traces CSP cpspkcs11_ pid _ tid log cpspkcs11_b4c 718 log Trace PKCS 11 Windows cps3_csp_ pid tid log cps3_csp d84 db4 log Traces CSP V5 cps3opsc_ pid _ tid log cps3opsc_d84_db4 log Trace OpenSC pid Process ID tid Thread ID Agence des syst mes d information partag s de sant 9 rue Georges Pitard 75015 Paris T 33 0 1 58 45 32 50 www asipsante fr Agir ensemble pour soigner mieux Tableau 89 Cryptolib CPS Format des fichiers de traces ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 Les processus appelants apparaissent en ent te de certains fichiers du lot de traces le premier fichier du triplet process pid tid Par exemple Fri Nov 15 17 01 23 725 Process C Program Files santesocial CPS CCM exe Fri Nov 15 16 59 01 606 getTraceConf Command line LogonUl exe flags 0x0 Tableau 90 Cryptolib CPS Mention du procesus parent dans les fichiers de traces 16 4 2 Emplacements des fichiers de traces Lorsque l on quitte CPS Gestion en sauvegardant les fichiers journaux e CPS JOUR TXT e CPS INFO TXT e CPS DIAG TXT e CPS TRAC TXT ou lorsque les traces de la Cryptolib CPS ont t activ es e _ Cryptolib CPS v4 o cl level dans la section trace du fichier de configuration
6. 109 Tableau 76 Cl s de registre de la carte CPX ins 109 Tableau 77 Cl s de registre de la carte CPX iii 110 Tableau 78 Point d attention concernant les valeurs de cl s de registre de la carte CPX 00 110 Tableau 79 Regsvr32 du CSP ASIP Sant ii iiinrnisisresernreeerennne 110 Tableau 80 Fedora Source installation p riph riques USB S rie ssssssnsssnssensseneseresrresrreseressresee 111 Tableau 81 Fedora Installation d un lecteur PSS 111 Tableau 82 Linux Proc dure de v rification du fichier GALSS ini 112 Tableau 83 Windows Param trage de la Cryptolib CPS v4 ssssssessssessssssssereerrssssesereesrssssesereesesses 113 Tableau 84 Windows Param trage de la Cryptolib CPS V5 sssnnnssnnnssenenssenenssenessserensseennsseresssreeeso 115 Tableau 85 Windows Installation par d faut Internet Explorer UAC PM et EPM sss nnssnnnss000s 119 Tabl au 86 Principales GPOS 2 uhu aaa ne nt seraient des annee en de nine nest dettes 120 Tableau 87 Linux Param trage de la Cryptolib CPS V5 121 Tableau 88 Mac OS Param trage de la Cryptolib CPS V5 122 Tableau 89 Cryptolib CPS Format des fichiers de traces 124 Tableau 90 Cryptolib CPS Mention du procesus parent dans les fichiers de traces 000001000000 125 Tableau 91 Cryptolib CPS Emplacement des fichiers de traces nnsss
7. 149 19 4 2 Configuration du fichier galss ini pour l API de lecture SESAM Vitale 150 19 5 Int gration via les APIs logicielles noononsennnssssesenennnssssesereesrsssseserernnsssssnereesnsssseeereesessno 152 TS POS CE nn na D AR MN A O OR AM Aero ii 152 19552 M API CPS SES mme ne sereine nement tte eaa Denon dre e Are een een 152 1953 A PKCSHIT ER Rider tenant emmener en nca 153 1 Ko T0 GS E NTA EEEE E E E A 154 19 6 Int gration de la Cryptolib CPS avec les langages manag s sssesssssesessrrerrsssseserrrsnssso 155 19 6 1 JIVA oeoo inner nee EAEE EEEa nine ATEA ROA Te RA 155 19 6 20 ANET RE D a 157 19 7 Matric d inte gratiOl ascris noar a aora E CEE EESE AEA A 159 19 8 Points d attention et bonnes pratiques ssssssssssessrssssesereesrsssseserersnssssenereesnsssseereesnssne 162 19 9 Int gration dans les architectures existantes ssssensseseesseoensseenessenensseennssernessernnssenne 164 19 9 1 Smartcard logon an enini aeaa nr nn EE E EREE nas 164 11 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 19 9 27 Profils N A S e a a a a reine terra rare etant ie 164 19 9 3 Client l ger TSE et CIX sirocic rintrar Ar rE AOE ANERE EEEE 164 20 Annexe Pr cisions techniques 165 21 Annexe L G6C de Ga nee tin AT en ee AT n 166 21 1 Le Certificat X 509 rss ie done dns Rd dre EEA 166 21 2 Cha nes d
8. GIXEL www gixel fr Standard IAS ECC HID www hidglobal fr Fabricant de lecteurs Idrix www idrix fr P Invoke CH CSP Ingenico www ingenico fr Fabricant de lecteurs Microsoft www microsoft com Windows CSP Internet Explorer CH NET TSE Mozilla www mozilla org Mozilla Firefox Navigo Dates tr Distributeur de lecteur PC SC compatibles CPx sur Paris Ile de France NXP Semiconductors Www nxp com Soci t propri taire de Mifare technologie sans contact souvent mise en relation avec la partie sans contact de la CPS3 Responsable des volutions du Standard PKCS 11 depuis sa OASIS WWwWw oasis open org version 2 3 OpenSC https github com OpenSC Outils et librairies pour la carte puces Oracle www oracle com Java SunMSCAPI PC SC Lite ludovic rousseau free fr PC SC sous Linux Responsable du standard PC SC visant l int gration de la carte PC SC Workgroup Www pcscworkgroup com puce et des lecteurs de cartes dans les syst mes informatiques PKCS11Interop www pkcs11interop net P Invoke C PKCS 11 Redhat www redhat com Linux rpm RSA Security Inc www rsa com PKCS RSA SpringCard www springcard com Articles techniques et outils libres relatifs la carte puces Graz University of Technology Tugraz jce iaik tugraz at Wrapper IAIK PKCS 11 pour Java JCA Tableau 5 Entreprises cit es 21 237 ASIP Sant Manuel d installati
9. Par exemple C Documents and settings lt Forname Surname gt Local Settings Temp n est sont pas des chemins valables pour TMP 15 2 3 Gestion avanc e des drivers lecteur GIE SESAM Vitale 15 2 3 1 Extraction des drivers Cette proc dure est non intrusive contrairement la proc dure classique d installation des drivers lecteur SESAM Vitale qui consiste lancer le MSI du GALSS Elle permet aux int grateurs ou aux tablissements d extraire les drivers lecteur fournis par le GIE SESAM Vitale afin de pr parer des images syst me d ployables provisionn es avec ces drivers Proc dure d extraction manuelle des drivers lecteur GIE SESAM Vitale Le fichier C INSTALLS GALSS galss a x yy zz msi est pr sent dans le syst me de fichier r EE 3 Ve C r lt INSTALLS p GALSS 4 Rechercher dans GALSS p Fichier Edition Affichage Outils Organiser Inclure dans la biblioth que Graver O 1 Placer le MSI du GALSS 32b dans le r pertoire Favoris i is mones M Bureau E j galss 3 36 01 msi 03 07 2013 17 08 C INSTALLS GALSS N e T l charger 3 Biblioth que Documents Hi Git EE Images Musique 7 1 l ment Figure 79 Lecteur GIE SESAM Vitale MSI GALSS 95 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 Proc dure d extraction manuelle des drivers lecteur GIE
10. csrss exe Figure 34 CCM V rification de la pr sence du processus CCM exe Voir Annexe i Configuration LP des ic nes de la i barre de t che IC_05 Go Windows qui d crit les points configurer en cliquant sur Personnaliser Personnaliser Figure 35 CCM V rification de l tat du CCM Tableau 40 Contr les Contr le de l tat du CCM 65 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 Si ce n est pas le cas deux choix Contr le de l tat du CCM Gestion des F ID R sultat erreurs 1 L ic ne du CCM n apparait pas dans la barre de t che IC_81 V rifier que le lecteur de cartes est branch IC_82 V rifier que la carte est dans le lecteur Le programme est pr sent dans le menu e v4 D marrer gt Programmes gt Cryptolib CPS IC_83 Lancer le CCM manuellement e V5 D marrer gt Programmes gt Sant Social gt CPS Cliquer sur Gestionnaire de certificats CPS Rev rifier l tat du GALSS en repartant de IC_84 x Le CCM le GALSS si besoi 8 Contr le de l tat du GALSS j ance e VU IC_85 V rifier que l ic ne du CCM appara t 3 Apr s red marrage reprendre les Si ce n est pas le cas red marrer la Re x A R AE IC_86 miche v rifications partir de Contr le de l tat
11. Aspect Description Ces drivers sont sign s Mais les certificats de signature ont expir s Certificat pe G n ral D tails chemin d acc s de certification L Informations sur le certificat Ce certificat est con u pour les r les suivants Assure que le logiciel provenait d un diteur de logiciels e Prot ge le logiciel contre toute modification apr s sa publication D livr Microsoft Windows Hardware Compatibility Publisher D livr par Microsoft Windows Hardware Compatibility PCA Valide du 22 10 2008 au 22 01 2010 OK Figure 112 GALSS expiration des certificats de signature des drivers Ce qui ne serait pas trop grave puisqu ils sont timestamp s LE ls r D tails de la signature num rique G n ral Avanc _ Informations sur la signature num rique PA Cette signature num rique est valide Informations sur le signataire Nom Psoft Windows Hardware Compatibility Publisher Adresse de messagerie Non disponible l l Date de mardi 14 avril 2009 14 55 36 signature Afficher le certificat CT Microsoft Time S Non disponible mardi 14 avril 2009 1 al Figure 113 GALSS timestamping Malheureusement les certificats de timestamping ont eux aussi expir s Certificat e a l C
12. Figure 18 CPS Gestion Prise de traces CPS Gestion Fichier Edition Affichage Outils Organiser v Inclure dans la biblioth que Graver Nouveau dossier 5 Nom M Eg Favoris Emplacemen L cps3p11_1050_cac log 28 T T l chargem CPS DIAG TXT 2 L_ CPS INFO TXT 2 Biblioth ques 5 CPS JOURTXT Documents amil Git Figure 19 CPS Gestion Fichier de traces 4 D EE Bureau cps3opsc_1050_cac log 28 10 2013 16 54 C CPS TRAC TXT 28 10 2013 16 54 Pour le r cup rer quitter CPS Gestion cocher les 4 fichiers sauvegarder puis valider Les fichiers coch s sont export s dans ALLUSERSPROFILE santesocial cps log EEE M gO d Ordinateur p Disque local C ProgramData p santesocial gt cps DE gt Tableau 30 CPS Gestion Utilisation pour v rification de l installation de la Cryptolib CPS 53 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 12 5 Utilisation de CPS Gestion sous Mac OS X Utilisation de CPS Gestion sous Mac OS X 1 Ins rer la carte CPx dans le lecteur de cartes 2 Lancer CPS Gestion en suivant Lancement de CPS Gestion La fen tre suivante appara t Services CPS T l mis jour Gestion Lecteur Afficher 3 Initialisation en cours Cette Figure 20 CPS Gestion Initialisation En fin d initialisation CPS Gestion affich
13. ssssssssssssssssresrssssssereesrssssesereesesssseene 181 23 4 5 Pr requis des environnements TSE CITRIX ssssssssssssssosssossressressrrsserssrresrresrressresne 183 23 4 6 Configuration des redirections des interfaces lecteurs 183 23 4 7 R plication des configurations configurations dynamiques sssssessseseesseressseee 183 24 Annexe Exemples de fichier galss ini ss 184 24 1 Exemple de fichier galss ini pour un poste utilisant un lecteur bi fente 184 24 2 Exemple de fichier galss ini pour un poste utilisant deux lecteurs PC SC ssssssssesesssesesese 185 25 Annexe Windows 7 et ic nes de barre de t che 186 26 Annex Virtualstore t VAC ect tel ne mater daran reed tac ee ta meet dde ant E a dead 189 27 Annexe Guidelines logiciels Poste de travail ss 191 28 Annexe D tection d une installation Cryptolib CPS sous Windows ssssesssesesseseesseeeesseeeeso 192 29 Annexe D claration des cartes de sant sous Windows 7 193 30 Annexe Configuration des ic nes de la barre de t che Windows 195 31 Annexe Num ros de s rie de la CPX ner srennnnne esse sssnennneneeeessssnsnnnee 198 32 Annexe Ecosyst me CPX 1eme inst ar ei nera a tien iii ero en aahi as 199 33 Annexe Description de l installeur Cryptolib CPS V5 sssssssssssseseseesrssssesereesrssssesernesnsssseeeneenn 200
14. ASIP donn es signer final byte data ASIP initialisation du PKCS 11 final Provider p Security getProvider SunPKCS11 CPS if p null final StringBuilder cardConfig new StringBuilder cardConfig append name CPS n ASIP voir partie PKCS 11 pour localisation du module ASIP Sant PKCS 11 cardConfig append library ToolsImpl findPkcs11Module final InputStream is new ByteArrayInputStream cardConfig toString getBytes final Provider securityProvider new sun security pkcs11 SunPKCS11 is Security addProvider securityProvider final KeyStore ks KeyStore getInstance PKCS11 ks load null PWD ASIP le reste est strictement identique au sc nario d int gration au niveau CSP sous Windows on bascule sur les APIs JCA JCE ASIP on obtient la r f rence sur la cl de signature final PrivateKey sigKey findSignatureKey ks ASIP initialisation de l algorithme de cryptographie final Signature rsa Signature getInstance SHA1withRSA rsa initSign sigKey rsa update data data length ASIP calcul de la signature num rique byte signature rsa sign ASIP affichage de la signature num rique System out printin signature toHexString signature Tableau 133 Java JCA exemple de code de signature num rique avec la CPx et l API de cryptographie du JRE niveau PKCS 11 avec Provider Oracle 156 237 ASIP Sant
15. Lancer le processus GALSS serveur en utilisant les valeurs TCanal et Index not es ici TCanal 1 Index 5 WINDIR GALSVW32 EXE R T1 15 i x86 majuscule X64 EXE R T1 15 i majuscule ProgramFiles santesocial galss GALSVW64 Le processus GALSVWXX exe doit se lancer attendre quelques secondes galsvw s exe hkomd exe Figure 92 GALSS taskmanager Relancer le CCM et faire un testssl Le testss doit tre OK Tableau 66 GALSS Proc dure de lancement manuelle du serveur GALSS 101 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 15 2 4 3 Proc dure de v rification et de r g n ration manuelle du fichier galss ini Cette proc dure est non intrusive contrairement la proc dure de r g n ration du galss ini d crite dans la partie installation du GALSS Proc dure de v rification et de r g n ration manuelle du fichier GALSS ini Le fichier C INSTALLS GALSS galss a x yy zz msi est pr sent dans le syst me de fichier a Lu mn fi dE a 0 7 INSTALLS p GALSS 41 Rechercher dans GALSS p Fichier Edition Affichage Outils Organiser Inclure dans la biblioth que Graver g Jr Favoris D on i 1 Placer le MSI du GALSS dans le r pertoire E sureau E B eatss3 s6 0Lmsi C INSTALLS GALSS ss A Bibl
16. 1 0 2 10 10 2012 ASIP Sant Les donn es m tier de la CPS3 Volets CPS2ter et IAS 26 1 1 30 11 2011 ASIP Sant IGC CPS2ter Les certificats X 509 des cartes CPS2ter et CPS3 1 et les CRLs 27 0 0 3 12 09 2014 ASIP Sant Guide de mise en uvre et de la partie sans contact de la Carte CPS3 Tableau 1 Documents de r f rence 5 2 P a N cessite un compte sur integrateurs cps s adresser editeurs asipsante fr 6 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 2 R sum Ce manuel documente l installation et l utilisation de la Cryptolib CPS dans ses versions 4 et 5 diffus e par l ASIP Sant 0 Ce manuel est mis jour suite la sortie de la Cryptolib CPS v5 La Cryptolib CPS v5 est un composant logiciel install sur les postes de travail Elle permet aux syst mes d exploitation de tirer pleinement profit des fonctionnalit s offertes par la carte CPS3 et notamment d exploiter les fonctionnalit s offertes par les volets IAS ECC 23 signature authentification et sans contact de cette carte Cette version de la Cryptolib CPS g re aussi les anciennes cartes CPS2ter qui ont normalement disparu du terrain compter de mars 2014 Ce document refl te l volution du poste de travail PS qui est pass en quelques ann es e D un mod le mono poste mono applicatif connect via une liaison sp
17. ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 Pr requis 8 N avoir besoin que de la Cryptolib CPS v4 GALSS et du GALSS ODI n installe pas encore la Cryptolib CPS v5 Disposer d un ordinateur Windows ou Mac OS X d j quip physiquement d un lecteur 9 e PSS bi fente de type FSE e ou PSS mono fente NF CPS e ou mono fente PC SC Disposer d une carte CPx e non bloqu e 10 e dont le code porteur est connu e non expir e e non r voqu e Tableau 14 Installation rapide ODI Pr requis 34 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 Installation Arr ter toutes les applications en particulier les applications et toutes les sessions utilisant ces applications qui acc dent la carte CPx 2 Se rendre sur le portail ODI 2 Choisir la version de l installeur en fonction de l application cibl e e toutes les versions ODI installent la Cryptolib CPS e seuls les messages de diagnostic peuvent diff rer li s aux contraintes impos es par chaque application 4 Lire le manuel ODI de la version choisie 5 Lancer le diagnostic En fonction du diagnostic une mise jour logicielle peut tre propos e par ODI 6 e enregistrer une copie du Rapport technique avant de lancer la mise jour e lancer les installations en cliquant sur le bouton MISE A JOUR LOGICIELLE Table
18. Ne prend effet qu apr s le red marrage de votre ordinateur R tablir les param tres avanc s R initialiser les param tres d Internet Explorer R initialise les param tres d Internet Explorer leurs valeurs par DE d faut N utilisez cette option que si votre navigateur est inutilisable Annuler Appliquer Figure 101 inetcpl cpl Options Internet EPM et EPM 64b Windows 8 et Windows 8 1 IE11 117 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 16 1 3 2 Activation de EPM incidence sur la fen tre de saisie du code porteur TN ONE Saisissez votre Code Porteur se so Il vous reste 3 tentative s pour la carte CPS3v1 2300959718 Code Porteur fl Il vous reste 3 tentative s pour la carte CPS3v1 2300959718 Code Porteur anue EPM v02 10 00 64b E v5 0 13 64b v02 10 00 32b Figure 102 Authentification Saisie du code porteur avec la Cryptolib CPS v5 sans EPM Figure 103 Authentification Saisie du code porteur avec la Cryptolib CPS v5 avec EPM 118 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 16 1 3 3 Les mentions activ d sactiv documentent le param trage par d faut Le tableau commente les effets d un changement du param
19. Tableau 143 Installation du lecteur Xiring Prium 3S Ingenico IHC800 170 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 23Annexe Installation et utilisation en environnements TSE Citrix 23 1 Description de l installation GALSS 23 1 1 Architecture L installation d crite ci apr s vise installer les l ments logiciels suivants vue depuis cran client Session TSE Citrix Guest Client l ger TSE RDP Citrix ICA Figure 116 Architecture Cryptolib CPS TSE Citrix en fili re GALSS 171 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 23 1 2 D roulement Les droits administrateur tous les droits d criture et d acc s sont requis avant de d marrer la proc dure v3 v4 v5 Description Passage en mode installation du serveur X En ligne de commandes lancer la commande change user install 1 Voir Annexe al Cette tape n est pas requise avec des installeurs MSI http technet microsoft com en us library cc754288 28WS 10 29 aspx x Lancer le setup d installation exe de la Cryptolib CPS sur GALSS pour Windows x Ix Lancer le MSI d installation msi de la Cryptolib CPS sur GALSS pour Windows Sue Ig Suivre ensuite le d roulement de l installation comme indiqu dans le manuel 2 d installation standard de la Cryptol
20. Ticket OS Archi Limitation Alternative Statur Statut F probl me alternative Prendre connaissance des carts de Le CSP Cryptolib CPS v5 n impl mente la v5 0 15 vis vis de CryptoAPI et pas toutes les API de CryptoAPI viter utiliser les appels concern s x86 Les applications Windows s int grant cf Annexe Ecarts SO a AT_019 Wind g Conf Conf p130 HN x64 avec la carte au niveau CSP ne peuvent d impl mentation CSP CryptoAPl PPS PR donc pas utiliser toutes les fonctions Attendre la sortie d une version du propos es par CryptoAPl CSP plus compl te S int grer au niveau PKCS 11 Corrig OpenSSL 1 0 1k ou sup rieure est re avec la sensible une non conformit des de EDU Cryptolib Sur une infrastructure client serveur certificats CPS vis vis de la norme a CPS v5 0 15 dans laquelle le serveur utilise une X 509 Windows version de OpenSSL 1 0 1k ou OpenSSL rejette les certificats non 5 0 15 s sup rieure l authentification Web par conformes suite la publication de Do Mac OS X x86 carte CPx est impossible avec des cartes la CVE 2014 8275 ou 5 07 AT_0200 Tous x64 CPx produites avant octobre 2014 https web nvd nist gov view vuln Clos Linu detail vulnid CVE 2014 8275 Les erreurs de connexion c t client a 4 Corrig sont accompagn es de logs d erreur 2 alternatives ne d OpenSSL invalid bit string bits left Patcher OpenSSL voir site atch c t serveur int
21. int KeyNumber Signature Object argsArray new Object csp ASIP initialisation des algorithmes cryptographiques RSACryptoServiceProvider rsa RSACryptoServiceProvider CryptoConfig CreateFromName CIPH ALG_ NAME argsArray HashAlgorithm hashAlg HashAlgorithm CryptoConfig CreateFromName HASH ALG_NAME ASIP calcul du hash byte hash hashAlg ComputeHash data ASIP calcul de la signature num rique byte signature rsa SignHash hash HASH ALG NAME ASIP affichage de la signature num rique Console WriteLine signature BitConverter ToString signature Replace Tableau 135 NET C exemple de code de signature num rique avec la CPx et l API de cryptographie du framework NET L int gration de la carte CPx avec des langages et des frameworks de hauts Cryptolib CPS i A Yp niveaux est particuli rement facile et directe Tableau 136 Cryptolib CPS Remarques complexit s int gration carte CPx 157 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 using System Security Cryptography using System Security Cryptography X509Certificates a ASIP par rapport au code pr c dent une autre m thode pour r cup rer ASIP une r f rence sur un objet de type RSACryptoServiceProvider X509Certificate2 cert null Try X509Store store new X509Store StoreName My StoreLocation CurrentUser s
22. v nements mat riels 3 Gestion des erreurs 4 G n ration des logs 5 Gestion des acc s concurrents 6 Gestion de pr sence de plusieurs cartes sur un m me poste 7 Saisie des codes porteurs code porteur et code de d blocage Gestion des fili res d acc s vers la carte CPx 1 seule fili re recommand e i e rationalisation des fili res d acc s Tableau 139 Points d attention et bonnes pratiques L int gration logicielle de la carte CPx est assujettie aux m mes r gles et bonnes cryptolii CE3 pratiques de g nie logiciel que tout d veloppement logiciel classique Tableau 140 Cryptolib CPS Remarques bonnes pratiques pour int gration de la carte CPx 163 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 19 9 Int gration dans les architectures existantes 19 9 1 Smartcard logon La carte CPS3 et la Cryptolib CPS v5 sont compatibles avec les m canismes de Smartcard logon Windows Leur int gration dans ce type d architecture fait l objet d un guide d di 19 9 2 Profils itin rants La carte CPS3 la Cryptolib CPS v5 et le GALSS sont compatibles avec les fonctionnalit s de profils itin rants offerts par les syst mes d exploitation Microsoft Leur int gration dans ce type d architecture fait l objet d un guide d di 19 9 3 Client l ger TSE et Citrix La carte CPS3 la Cryptolib CPS v5 sont c
23. 1w at a E WINDIR cptabw32 dll usr local galss libcptablux so Library Frameworks cptabosx framework D a a sscasw32 dll libsscaslux so sscasosx framework A Dictionnaire WINDIR DICO FR GIP etc opt santesocial CPS DICO FR GIP Library Preferences DICO FR GIP 2 WINDIR 228 ProgramFiles santesoci amp o o POENA cpgesosx 2 g CPS Gestion a CPS cpgesw32 exe usr bin cpgeslux Applications icom n 37T ProgramFiles x86 sant cpgesw64 exe esocial CPS WINDIR cps_pkcs11_w32 dil bcos okesit lux PKCS 11 CPS cps3_pkcs11_w32 dll usr local galss ee c usr lib libcps_pkcs11_osx dylib HWINSYS a Ei o cps3_pkcs11_w64 dll Configuration WINDIR cps_pkcs11_safe ini CryptolibCPS cps_pkcs11_safe ini Library Preferences cps_pkcs11_safe ini n 5 cps_csp_w32 dll 2 cps_csp_w32 sig 5 CSP CPS AWINSYS a cps3_csp_w32 dil 5 cps3_csp_w64 dil ProgramFiles santesoci al CPS Extensions ProgramFiles x86 sant OMIS esocial CPS System Library Tokend CDSA Security tokend GIP CPS tokend f Jusr libexec i Driver PC SC sur lecteur PSS eesuonnalrs de dmesg SmartCardServices GALSSdriver bundle 5 p riph riques etc tty g driver S Configuration du driver Gestionnaire de usr local galss One nl private etc reader conf 8 p riph riques 8 Galss ini P Tableau 60 V rification des ressources install es 8 La pr sence de ce fichier reader conf dans private etc est indispensable pour une utilisation
24. Afficher uniquement les notifications F UC utilis e 0 Afficher uniquement les notifications ba Afficher l ic ne et les notifications A igfxTray Module e Graphiques HD Intel R Afficher uniquement les notifications o Explorateur Windows Afficher uniquement les notifications X z Retirer le p riph rique en toute s curit Re Peony Afficher uniquement les notifications Privoxy Fa Centre de maintenance Afficher l ic ne et les notifications F R soudre les probl mes d ordinateur Afficher l ic ne et les notifications Figure 127 Windows Configuration Gestionnaire de certificat CPS CCM toujours visible Dans ce cas de figure l option Toujours afficher toutes les ic nes et les notifications sur la barre des t ches reste d cocher et la configuration se fait sp cifiquement pour l ic ne du Gestionnaire de certificats CPS en choisissant le comportement Afficher l ic ne et les notifications 197 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 31Annexe Num ros de s rie de la CPx La carte CPS3 poss de trois num ros de s rie Identifiant Acc s Description En sans contact a num ro RFID identifiant en mode sans contact uniquement 1 UID en type A ea PUPI en type B via une commande non publi
25. Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 19 6 2 NET L int gration de la CPx avec le framework NET est possible Niveau Possibilit s d int gration de la CPx avec le framework NET aa Windows kcs11interop par exemple sous p p niveau 32b et 64b via les APIs PKCS 11 et P Invoke licence AGPL P P PKCS 11 v4 wrapper IDRIX via les APIs CSP et P Invoke wrapper IDRIX PAC eKEMmpIE v5 sans aucune licence au nivea Windows v4 dans tous les cas 32b et 64b CSP via les packages de cryptographie si l option Sign_Hash est du framework NET v5 activ e valeur 1 appliqu e par d faut uniquement Tableau 134 Niveau d int gration de la Cryptolib CPS avec le framework NET using System Security Cryptography si ASIP donn es signer byte data ASIP initialisation du CSP Type du CSP 1 1 PROV RSA FULL le type de CSP par d faut sous Win7 est maintenant PROV RSA AES 24 int CSP_TYPE 1 Nom du CSP ASIP Sante Cryptographic Provider d clar en BdR par le MSI d installation string CSP_NAME ASIP Sante Cryptographic Provider Algorithme de hash SHA1 pas de SHA256 avec PROV RSA FULL bien que la carte en soit capable string HASH_ ALG NAME SHA1 string CIPH_ALG_ NAME RSA CspParameters csp new CspParameters CSP_TYPE CSP_NAME csp Flags CspProviderFlags UseDefaultKeyContainer csp KeyNumber
26. Ou 0x00000258 Fixe la fr de de d tecti watchOffTimer REG_ DWORD Dur e en secondes xe a i n a Os AETEtIon l Sof 600 des v nements lecteurs en mode manuel HKLM Software W 0w6432Node ASIP Fixe la fr quence en seconde de d tection Sante CCM 0x00000002 A ie l watchOnTimer REG_DWORD G Dur e en secondes des v nements lecteurs en mode automatique Tableau 84 Windows Param trage de la Cryptolib CPS v5 Choix de la Section renseigner en Base de registre e HKCU ou HKLM le param trage est effectif pour l utilisateur courant HKCU ou pour l ensemble des utilisateurs du poste HKLM Si les 2 cl s sont positionn es le param trage de HKCU prime sur celui de HKLM e __Wow6432Node concerne uniquement la cl HKLM sur les OS 64 bits Sa pr sence indique un param trage effectif pour les applications 32 bits uniquement Son absence indique un param trage effectif pour les applications 64 bits uniquement Les 2 param trages peuvent tre cumul s 115 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 16 1 3 Param trage d Internet Explorer mode prot g am lior EPM 16 1 3 1 Acc s aux param tres via l interface Microsoft Windows 4 param tres sont d terminants sur le mode de fonctionnement d Internet Explorer et par contrecoup sur l utilisation de la carte CPx via ce navigateur Ces param tres sont 1 UAC User Account Control 2 PM Protected
27. Pr conisations CCM vs service de propagation Windows 63 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 13 1 2 Contr le de l installation 13 1 2 1 Contr le de l tat du GALSS amp Cette proc dure ne s applique pas avec la Cryptolib CPS v4 Full PC SC amp Cette proc dure ne s applique pas avec la Cryptolib CPS v5 avec lecteurs PC SC sans GALSS La premi re v rification effectuer consiste v rifier que le GALSS fonctionne cf manuel du GALSS 6 Pour cela ID Contr le de l tat du GALSS R sultat IG 01 Appuyer simultan ment sur les touches Ctrl Le gestionnaire des t ches de z Shift Echap Windows apparait IG_02 Cliquer sur l onglet Processus Classer les processus par nom en cliquant sur IG_03 A Nom de l image Chercher le processus galsvw32 exe 1 Gestionnaire des t ches de Windows Fichier Options Affichage Applications Processus Services Performanc Nom de l image z N IG 04 concentr exe 32 fi Si ce processus est pr sent le GALSS Se est correctement lanc DesktopSearchService exe 32 fi dwm exe fi explorer exe fi explorer exe fi fi Figure 33 GALSS V rification de la pr sence du processus galsvw32 exe Tableau 38 Contr les Contr le de l tat du GALSS ID Contr le de l tat du GALSS Gestion des erreurs R sultat IG_81 V rifier que le le
28. Suivant la configuration des profils itin rants cette op ration sera r aliser chaque ouverture de session ou non SE Cette op ration peut se faire l aide par exemple d un script d ouverture de session qui recopiera le bon galss ini en fonction du poste client Version GALSS chaque utilisateur TSE CITRIX devra avoir les droits en criture sur le r pertoire e XALLUSERSPROFILE santesocial CPS Coffre nr g e C Documents and settings all users santesocial CPS Coffre par d faut sous W2003 e C ProgramData santesocial CPS Coffre ou C Users AIl Users santesocial CPS Coffre par d faut sous W2008 attention aux liens 5 symboliques sous cet OS le Le fichier de cache ccert bin doit pouvoir tre modifi tout moment par la Cryptolib CPS Le fichier de cache ccert bin n est plus g r par la Cryptolib CPS v5 X 7 En lieu et place la Cryptolib CPS v5 utilise plusieurs fichiers situ s dans ALLUSERSPROFILE santesocial CPS cache Configurer la redirection des lecteurs de carte du poste client vers le serveur en fonction de leur type cocher l option port s rie des options TSE connexion TSE et lancer lecteur 3 ix Ix x a la commande net use com1 client com1 connexion ICA PSS s rie CITRIX lecteur cocher l option lecteur de cartes puce dans ressources locales PC SC connexion TSE Tableau 147 Param trage fili re GALSS 174 237 ASIP Sant
29. THOSE amo E Figure 126 Windows Configuration Tous les ic nes toujours visibles dont le Gestionnaire de certificat CPS CCM 196 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 Cette op ration peut se faire en ditant la base de registre HKEY_CURRENT_USER SOFTWARE Microsoft Windows CurrentVersion Explorer cle HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Explorer Valeur Type Valeurs possibles gog 0 display inactive icons EnableAutoTray REG_DWORD Ne Li A 1 hide inactive icons Tableau 168 Windows Configuration Rendre tous les ic nes toujours visibles via la base de registre Autre possibilit configurer le Gestionnaire de certificat CPS CCM pour qu il soit toujours visible Panneau de configuration Tous les Panneaux de configuration Ic nes de la zone de notification iol x Go Tous les Panneaux de configuration Ic nes de la zone de notification g Rechercher 2 S lectionnez les ic nes et les notifications qui apparaissent sur la barre des t ches Si vous masquez des ic nes et des notifications vous ne serez pas averti des modifications et mises jour Pour afficher les ic nes masqu es diquez sur la fl che pr s de la zone de notification sur la barre des t ches E Gestionnaire de certificats CPS Gestionnaire de certificat CPS Les ce s M Gestionnaire des t ches de Windows
30. Tous les ic nes toujours visibles dont le Gestionnaire de Certificat CPS CCN ioa e ne nent EEA Re A 196 Figure 127 Windows Configuration Gestionnaire de certificat CPS CCM toujours visible 197 Figure 128 description de l installeur Cryptolib CPS V5 200 Figure 129 r sultat de l installation de la Cryptolib CPS v5 par d faut 200 Figure 130 ODI Gestion cache Java enr iranano taiea ineen iS 202 Figure 131 Choix de lecteur L gende iii 215 Figure 132 Choix de lecteur Logique g n rale de prise en compte de la probl matique lecteur dans Unprojet Sant amp Social 22h she nt D a need dant E T 215 228 237 ASIP Sant Figure 133 Figure 134 Figure 135 Figure 136 Figure 137 Figure 138 Figure 139 Figure 140 Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 Choix de lecteur Organisation des supports MR 216 Choix de lecteur eA O A OA E AE E E E A 217 Choix de lecteur Choix en fonction du service d ployer 218 Choix de lecteur V rification de l ad quation du lecteur avec le service d ployer 219 Choix de lecteur remarques sis 220 Windows 10 Barre de t ches 222 Windows 10 Recherche de Internet Explorer ssessssssssssssssssssrsssssrssserrssserenssreeesseens 223 Windows 10 Clic droit sur le r sultat Internet Explorer et choix de ajouter la b rre d t che print RP EE te tnt tit 224 Figure 141 Windo
31. authenticit et l int grit des fournitures ASIP Sant peuvent ainsi tre v rifi es ok Successfully verified PATH_TO file to _be_verified signtool exe verify pa SienTool E Nosi t 2 Windows PATH TO file to be verif Arr iiia B KO SignTool Error File not valid PATH_TO file_to_be_verified Number of errors 1 rpm Kvv OK lt rpm file gt md5 OK nosignature lt rpm file gt ile Ko rpm OK lt rpm file gt size pgp md5 OK 4 Linux rpm checksig lt rpm file gt KO dpkg V rifier le RPM avant le de N A N A convertir Tableau 104 V rification des fournitures ASIP Sant 134 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 18 2 Certificats et cl s priv es Certificats et cl s priv es Un certificat associe 3 l ments essentiels 1 Une cl publique au sens cryptographique du terme 2 Des informations d identit identit du porteur de carte CPx dans le cas de l IGC de Sant 3 Des informations permettant de v rifier son statut date d mission date d expiration num ro de s rie Comme son nom l indique la cl publique peut tre diffus e en clair 1 Certificats de fait le r le de cette cl consiste justement tre diffus e en clair Quant aux informations d identit associ es la cl publique au sein du certificat elles sont elles aussi destin es tre transmises en clair Fonctio
32. cessite un compte sur integrateurs cps s adresser editeurs asipsante fr 2 2 x n r N cessite un compte sur integrateurs cps s adresser editeurs asipsante fr 3 2 a x a N cessite un compte sur integrateurs cps s adresser editeurs asipsante fr 4 2 P x y N cessite un compte sur integrateurs cps s adresser editeurs asipsante fr 5 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 Documents de r f rence N Version Date Auteur Document 21 2011 Standards Identification cards Integrated circuit s cards with contacts ISO IEC 7816 1 Part 1 Physical characteristics ISO IEC 7816 2 Part 2 Dimensions and location of the contacts ISO IEC 7816 3 Part 3 Electrical interface and transmission protocols ISO IEC 7816 4 Part 4 Organization security and commands for interchange 22 ISO Standards sans contact ISO IEC 14443 1 Part 1 Physical characteristics ISO IEC 14443 2 Part 2 Radio frequency power and signal interface ISO IEC 14443 3 Part 3 Initialization and anticollision ISO IEC 14443 4 Part 4 Transmission protocol 23 1 0 1 21 03 2008 ACSIEL ex GIXEL EUROPEAN CARD FOR e SERVICES AND NATIONAL e ID APPLICATIONS IAS ECC 24 2004 ISO ISO IEC 7816 15 Identification cards Integrated circuit cards Part 15 Cryptographic information application 25
33. cialis e e un mod le r seau local multi postes avec des postes multi applicatifs connect Internet Il est destin e aux usagers o d ordinateurs Windows Macintosh ou Linux o quip s d un lecteur de cartes puces PSS ou PC SC o souhaitant exploiter les fonctionnalit s offertes par les cartes CPx o en direct ou au travers de logiciels professionnels e aux administrateurs de parcs informatiques o ayant besoin de d ployer la Cryptolib CPS sur leurs parcs de machines o afin de g rer des postes exploitant les fonctionnalit s offertes par les cartes CPx e aux int grateurs o ayant besoin d installer et de maitriser l installation de la Cryptolib CPS o pour leurs propres d veloppements mat riels ou logiciels e aux supports o des institutions ou des diteurs o comme support de r daction des proc dures de niveaux 1 et 2 7 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 Ce document s organise en quatre parties principales 1 Un guide d installation des biblioth ques cryptographiques Cryptolib CPS pour aider l op rateur dans ses manipulations et ses choix de r ponses et s assurer du bon fonctionnement ult rieur Un guide de premi re utilisation simple illustrant une connexion s curis e par carte CPx sur un serveur de test de l ASIP Sant Une aide aux diagnostics sous forme de liste de contr les de cette installation si des probl mes sont rencon
34. commandes d installation MSI msiexec obligatoire Ex cutable Microsoft Windows Installer 1 v PATH_TO_LOG module facultatif Logs de l installation chemin complet _name msiexec install txt Jimsi_name obligatoire Nom du fichier MSI installer qn facultatif Mode silent Tableau 61 MSI D tails des param tres de la ligne de commande d installation MSIEXEC pr conis e Agence des syst mes d information partag s de sant 9 rue Georges Pitard 75015 Paris T 33 0 1 58 45 32 50 www asipsante fr Agir ensemble pour soigner mieux ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 15 2 2 R pertoire temporaire d installation La proc dure d installation utilise un dossier dans lequel elle peut copier les fichiers sauvegarder et les fichiers temporaires L installation affecte la valeur du chemin complet de ce dossier la variable SUPPORTDIRS La variable SUPPORTDIRS est cr e partir de la variable d environnement TMP et du GUID de l installation TMP 4748C15E 92F4 4FE8 BB47 6234D0CAE49B par exemple La valeur de TMP par d faut est C DOCUME 1 lt USERNAT1 gt LOCALS 1 Temp La valeur de SUPPORTDIR par d faut est C DOCUMET1 lt USERNAT1 gt LOCALS 1 Temp 4748C15E 92F4 4FE8 BB47 6234D0CAE49B La valeur de TMP doit tre sp cifi e au format 8 3 sous peine d erreur Important R p l installation
35. diff rents utilisateurs poss dent des configurations d applications incompatibles par exemple des r pertoires par d faut ou des r solutions d cran qui ne sont pas les m mes 178 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 R Remarques sur l utilisation de la commande Change user Lorsque le syst me est en mode Installation change user install plusieurs v nements se produisent Toutes les entr es du Registre cr es sont masqu es sous 1 HKEY_ LOCAL MACHINE SOFTWARE Microsoft Windows NT CurrentVersion TerminalServer install gt Les cl s ajout es HKEY_ CURRENT _USER sont copi es sous la cl SOFTWARE 4 tandis que les cl s HKEY_ LOCAL MACHINE sont copi es sous MACHINE Si l application interroge le r pertoire Windows en utilisant des appels syst me 3 comme GetWindowsDirectory les services Terminal Server renvoient le r pertoire Racine Syst me Si des entr es de fichier ini sont ajout es l aide d appels syst me comme 4 WritePrivateProfileString elles sont ajout es aux fichiers ini sous le r pertoire Racine Syst me Lorsque le syst me revient en mode d ex cution change user execute et que l application tente de lire une entr e du Registre sous HKEY_ CURRENT _USER qui n existe pas les services Terminal Server v rifient si une copie de la cl existe sous la cl TerminalServer install
36. lecteur PC SC v2 num ro 10 chiffres unique pour chaque carte CPx inscrit sur le visuel juste sous le nom du porteur public identifiant logique publi dans notre annuaire 3 9u ponera de En contact pr sent dans les certificats des cartes CPx carte uniquement 2nde partie de l extension priv e gipCardID IdCarteLog cf http integrateurs cps asipsante fr documents IGC CPS2ter 2020 Certificats X 509 et CRL V1 0 pdf pr sent dans toutes les g n rations de cartes CPx retourn par les deux librairies cps_pkcs11_w32 v4 et cps3_pkcs11_wxx v5 dans le champ Label de la structure TOKEN_INFO voir tableau ci apr s num ro sur 8 chiffres unique pour chaque carte CPx 1 seul identifiant IAs identifiant interne de la puce IAS ECC accessible en o ps P n apparait ni sur le visuel ni dans les certificats identifiant IAS ECC contact et en sans 3 contact via des APDU non publi FIAEAreIASS f 1231 GIXEL IAS n est pr sent que dans la carte CPS3 il n existe pas j dans la CPS2ter retourn seulement par la librairie PKCS 11 de la Cryptolib CPS v5 cps3_pkcs11_wxx dans le champ SerialNumber de la structure TOKEN_INFO voir tableau ci apr s Tableau 169 identifiants CPx Carte Cryptolib CPS SerialNumber TOKEN_INFO Label TOKEN_INFO CPS2ter Cryptolib CPS v4 IdCarteLog CPS IdCarteLog CPS3 Cryptolib CPS v4 IdCarteLog CPS IdCarteLog CPS2ter Cryptolib CPS v5 IdCarteLog CPS2ter ldCarteLog CPS3 Cryptolib CPS v5 IdCartel
37. tre appliqu e la CPx pour inhiber les messages d erreurs sous Win7 9 64bits avec la Cryptolib CPS v4 ou la Cryptolib CPS v5 32bit cette derni re configuration n tant pas recommand e Cette m thode peut tre appliqu e aux solutions de facturations Full PC SC d ploy es sous 10 Windows si celles ci n int grent pas ce param trage confirmer en test et ou avec l diteur de la solution Tableau 166 D claration des cartes de Sant sous Windows 7 193 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 D tails des d clarations des cartes de Sant sous Windows 7 CPS HKEY LOCAL MACHINE SOFTWARE Microsoft Cryptography Calais SmartCards Carte de Professionnel de Sante CPS3 garn ATR hex 3b 00 00 00 00 00 12 25 00 64 80 00 00 00 00 90 00 default ASIP Sant provider Crypto Provider ASIP Sante Cryptographic Provider comment this in favor of Crypto Provider DisableSCPnP LLLLTTONLYLLILI over x64 system installed 7 With Oryptolib CES 32b TITI PIONLY LEE to remove scary faulty device driver installation messages ATRMask hex ff 00 00 00 00 f f ff ff ff ff ff 00 00 00 f f ff f f HKEY LOCAL MACHINE SOFTWARE Microsoft Cryptography Calais SmartCards Carte de Professionnel de Sante CPS3 CL ATR hex 3b 8 f 80 01 00 31 b8 64 00 00 ec c0 73 94 01 80 82 90 00 0e default ASIP Sant provider Crypto Provider ASIP Sante Crypt
38. tre fait en fonction 1 des comp tences et de l expertise disponible 2 de l expression de besoin initiale et des fonctionnalit s impl menter Java JCE 24 Java JCE Domaine Section PC SC PKCS 11 CSP SunPKCS11 BouncyCastle CAPI NET Crypto 01 Windows Y Y Y Y Y Y c Q w 02 Mac OS X Y Y N A Y Y Y N 2 x Co 3 03 f Linux y Y N A y y y Mono 04 C C y y y N A N N A OE manag 0 y 05 2 Java Y y y y y y N A 24 5 m Voir Annexe Points d attention et contournements Agence des syst mes d information partag s de sant 9 rue Georges Pitard 75015 Paris T 33 0 1 58 45 32 50 www asipsante fr Agir ensemble pour soigner mieux ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 Java JCE 24 Java JCE Domaine Section PC SC PKCS 11 CSP SunPKCS11 BouncyCastle CAPI NET Crypto 06 CH Y Y Y N A Y N A Y 07 Acc s concurrents Y y y y y y y 08 Ev nements lecteurs Y N N N N N N 09 Ev nements cartes Y y N N N N N 10 Optimisation saisie y N N N N N N codes porteurs Boite de dialogue de 11 saisie du code N N v5 Y N v5 N v5 Y CSP Y porteur 12 SHA 1 Y Y Y Y Y Y Y 13 SHA 2 RGS Y Yy N N N N N 14 Signature Y Y Y Y Y Y y 2 Signature 1 E Y Y Y N N N N 5 5 IAS ECC RGS 16 2 A
39. 07 2015 G n ral Mise jour Java S curit Avanc V Stocker les fichiers temporaires sur mon ordinateur A propos de Emplacement Afficher les informations relatives la version du panneau de configuration Java i S lectionnez l emplacement de stockage des fichiers temporaires s gt VappData LocalLow Sun java peployment cache Modifier I Param tres r seau Espace disque Les param tres r seau sont utilis s lors de l tablissement de la connexion Internet Par d faut S lecti le niveau de compression des fichiers JAR po z Java utilisera les param tres r seau de votre navigateur Web Seuls des utilisateurs exp riment s doivent modifier ces param tres Param tres r seau Fichiers Internet temporaires Les fichiers utilis s dans les applications Java sont stock s dans un dossier particulier afin de fadliter leur ex cution ult rieure Seuls les utilisateurs exp riment s doivent supprimer ces fichiers ou modifier ces param tres _ Param tres Voir l onglet S curit Visualiser Java est activ dans le navigateur Cni Cae D finissez la quantit d espace disque allou e au stockage des fichiers temporaires 9 327684 mB ii jers _ Restaurer les valeurs par d faut Can ae Supprimer des fichiers et des applications Supprimer les fichiers suivants V Fichiers traces et fich
40. 13 02 1 648 1 Fichier s octets R p s 42 450 025 216 octets libres C N INSTALLSSGALSS gt Figure 96 GALSS ListSerial Ex cuter les commandes suivantes mkdir ALLUSERSPROFILE santesocial galssv3 copy Y C INSTALLS GALSS 32b Extract Windows ps Le r pertoire ALLUSERSPROFILE santesocial galssv3 doit pr exister ListSerial exe y cr e un fichier temporaire PSS_CONFIG INI et un fichier persistant galss old j sinw32 dll ListSerial exe a besoin de la DLL pssinw32 dil C INSTALLS GALSS 32b Extract CommonApp fournie dans la package GALSS pour fonctionner Data santesocial galssv3 S assurer que les ports COM virtuels associ s aux start wait lecteurs PSS d tecter ne sont pas ouverts en C INSTALLS GALSS 32b Extract CommonApp particulier le GALSS serveur ne doit pas tre Data santesocial galssv3 ListSerial exe lanc Un fichier galss old apparait dans ALLUSERSPROFILE santesocial galssv3 Ex cuter la commande suivante Le Fe 6 Le contenu du fichier galss old s affiche type ALLUSERSPROFILE santesocial galssv3 g alss old Ex cuter la commande suivante 7 echo n comp exe XWINDIR galss ini ALLUSERSPROFILE santesocial galssv3 g alss old Le r sultat doit tre Comparaison de C Windows galss ini et C ProgramData santesocial galssv3 galss old Comparaison des fichiers OK 103 237 ASIP Sant Manuel d installation et d utilisation de la Cryp
41. 20140912 Incompatibilit avec Mac OS Mac OS X X 10 10 d tect e avec la premi re Nouvelle version de la Cryptolib CPS AT_0140 10 10 x64 version beta sans doute du fait de v5 pour Mac OS X en cours de Confirm Confirm i l abandon de TokenD CDSA au profit d veloppement de Crypto Token Kit La v rification de signature des certificats ASIP Sant issus de l IGC CPS2ter certificats pr sents dans les cartes CPx ne fonctionne pas avec B Castle LE dns Ne pas passer par de fonctions nb s BouncyCastle utilisant Lors de la v rification de signature SAA DERSequence writeObject x86 BouncyCastle r crit la s quence DER et AT_0150 Tous v rifie la signature sur la base de cette OP Clos Confirm x64 Isoler la v rification de signature des r criture Les certificats ASIP Sant n tant pas DER compliant l ordre des RDN est fixe alors que la norme X690 pr voit autre chose la reconstruction donne un tableau de bytes diff rents de ce qui a t sign par l IGC de Sant et donc la v rification de signature choue certificats ASIP Sant dans une portion de code ne faisant pas appel BouncyCastle 210 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 Ticket OS Archi Limitation Alternative maur storur 3 probl me alternative Installer le XPI Module de s curit CPS depuis Mozilla Firefox ne d tecte pas la
42. 2015 Tableau 134 Niveau d int gration de la Cryptolib CPS avec le framework NET 157 Tableau 135 NET C exemple de code de signature num rique avec la CPx et l API de cryptographie du framework NET ini ieeenrseeressnsnnnnns 157 Tableau 136 Cryptolib CPS Remarques complexit s int gration carte CPX 157 Tableau 137 NET C exemple de code de s lection du certificat ASIP Sant de signature num rique avec la CPx et l API de cryptographie du framework NET sssnnnssenensseneessenensseeenssereeso 158 Tableau 138 Cryptolib CPS Matrice d int gration 161 Tableau 139 Points d attention et bonnes pratiques 163 Tableau 140 Cryptolib CPS Remarques bonnes pratiques pour int gration de la carte CPX 163 Tableau 141 Cryptolib CPS Remarques sc narios d int gration fonctionnelle Cryptolib CPS 164 Tableau 142 Pr cisions techniques iii 165 Tableau 143 Installation du lecteur Xiring Prium 3S Ingenico IHC800 sssensnssssesseeesnssssesereesssseo 170 Tableau 144 Installation en fili re GALSS iii 172 Tableau145 Remarques fili re GALS Sinir re eh on OE tre lois 173 Tableau 146 V rification installation en fili re GALSS sssesssssesesesssssssssenssssrrssnsressrnnssrnerssrnsreseeet 173 Tableau 147 Param trage fili re GALSS ire 174 Tableau 148 Installation en fili re PC SC iii sesssrrrereceseseeseessseneeeeeeeesnnn 1
43. 3 Import Security Device Software Security Device Software Security Device Software Security Device Software Security Device Software Security Device Software Security Device Software Security Device Software Security Device Software Security Device Software Security Device Software Security Device Software Security Device a v OK Figure 69 Extension Firefox ASIP Sant V rification magasin de certificats Figure 70 Extension Firefox ASIP Sant V rification magasin de certificats Lorsque la carte CPx ins r e dans le lecteur est bien reconnue et que le Module de s curit CPS est bien install la fen tre suivante apparait pr sence des 2 certificats d authentification et de signature de la carte Certificate Name YGIP CPS 518751275100020 CPS3v1 2400140649 518751275100020 CPS3v1 2400140649 Security Device Backup All 5 Certificate Manager Your Certificates People Servers Authorities Others You have certificates from these organizations that identify you Serial Number 00 88 B1 C9 00 88 B1 CA Import Expires On 01 31 2016 12 31 2015 mn OK Figure 71 Extension Firefox ASIP Sant V rification magasin de certificats Tableau 56 Firefox Linux V rification du magasin de certificats 88 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 14 2
44. 34 Annexes ODl naei aeda eaa ea a aaa aaa dd da a a sa dede ea dou dede 201 34 1 G stion cache Javani eniin a A OAA AARAA E EAA dE ed 201 35 Annexe Ecarts d impl mentation CSP CryptoAPI 203 36 Annexe Points d attention et contournements ss 205 12 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 37 Annexe Choix de lecteur eiea e aa a Eii ean a a Ee a 214 38 Annexe Utilisations de Edge et de IE11 sous Windows 10 221 38A Sit ti ON ee a a a E a A PEN E A AA 221 38 2 JETT SOUS Windows TO ineen aiae a e a ai a tasses ie aiala o i e eea 222 38 3 Cryptolib CPS T EAEE anret eaa aaa a e a a a de ends a a A aa 224 39 Annexe Tabl des g E S a a e a a e le en tel 225 40 Annexe Liste des tableaux 230 0a 1 SR LR CT Ce 236 13 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 4 Contacts Ce document renvoie r guli rement aux diff rents supports impliqu s dans le processus d installation et d utilisation du poste de travail PS 4 1 Contacts Sant amp Social Les principales sources de support sont les suivantes Nom Niveau R le Contact Support Assurance 1 Support CDR ARNO EN Maladi E Hu PASE RTO Support technique ps cnamts fr Support GALSS 02 43 57 42 88 Support GIE SESAM Vitale 1 PSS API lecture Vitale FSV centre de service se
45. 57 CPS Gestion Linux Tests des services 58 Windows Affichage du contenu du Magasin de certificats Windows 59 CCM exemple d tat avec un lecteur PC SC contenant une CPS ssssssssssssssssesssessresseese 62 225 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 Figure 33 GALSS V rification de la pr sence du processus galsvw32 exe ssessssesensseseesserensseeee 64 Figure 34 CCM V rification de la pr sence du processus CCM exe ssssssssssessseeessenenssereessereessenns 65 Figure 35 CCM V rification de l tat du CCM iii 65 Figure 36 Windows V rification du magasin de certificat 68 Figure 37 Authentification S lection du certificat sous Windows XP 69 Figure 38 Authentification S lection du certificat sous Windows 7 69 Figure 39 Authentification Saisie du code porteur avec la Cryptolib CPS v4 GALSS nns00ssssee0ee 69 Figure 40 Authentification Saisie du code porteur avec la Cryptolib CPS v4 Full PC SC ss s0 0000 69 Figure 41 Authentification Saisie du code porteur avec la Cryptolib CPS V5 69 Figure 42 Authentification TestSSL OK iiiiinisesieereereesennne 70 Figure 43 Installation Mac OS X Trousseau d acc s in 71 Figure 44 Installation Mac OS X V rification du nom de la carte 72 Figure 45 Authentification sous Safari Saisie du code porteur sssssssssssesssseserersrssssesereennssss
46. GIP CPS tokend n existe que pour les OS Macintosh eiia biblioth que PKCS 11 CPS est impl ment e pour les trois OS Windows Mac OS X et Linux 21 Le composant API CPS est aussi utilis directement par les applications acc dant la carte CPx agent RSS lecture Vitale OSM etc Il est aujourd hui d pr ci en faveur de la nouvelle API PKCS 11 introduite par la Cryptolib CPS v5 cf 16 Te composant GALSS est aussi utilis par les applications de gestion des FSE GIE SESAM Vitale 146 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 19 3 Sp cificit s de l architecture Mac OS X CDSA Common Data Security Architecture est un standard d architecture de s curit con u par Intel et impl ment par Apple dans son syst me d exploitation Mac OS X Le c ur de CDSA est le module serveur de s curit SecurityD qui s appuie la fois 1 sur le protocole PC SC d mon PCSCD pour la gestion des lecteurs 2 sur des modules appel s Tokend fournis par chaque organisme metteur de cartes puces Applications SecurityD TalbanN CPS Tokend Driver PC SC PSS CPS PKCS 11 APIs CPS GALSS PSS Lecteur PSS Figure 105 Architecture Tokend Le serveur de s curit d tecte l insertion d une carte dans un lecteur avec l aide du gestionnaire de ressources PC SC Le serveur de s curit interroge alors les diff rents Tokend
47. ID Contr le de l tat du Magasin de certificats Firefox R sultat MG_01 Ins rer une carte CPx dans le lecteur Lancer Firefox puis aller dans le menu Outils gt Options Page de d marrage de Mozilla Firefox Mozilla Firefox Fichier dition Affichage Historique Marque pages Outils 2 e Page de d marrage de Mozilla Firefox T l chargements Chr Modules compl mentaires Ctrl Maj A Firefox Saisir un terme rechercher ou une adress Test Pilot gt e Configurer Sync MG_02 AI Les plus visit s G Y TESTSSL _ outils Sant aS D veloppeur web Informations sur la page Figure 52 Firefox V rification du magasin de certificat Puis dans Avanc gt Certificats gt Afficher les certificats CRC x G n ral Onglets Contenu Applications Vie priv e S curit Sync Avanc G n ral Donn es collect es R seau Mises jour Certificats MG_03 Lorsqu un serveur demande mon certificat personnel C en s lectionner un automatiquement me demander chaque fois Afficher les certificats validation P riph riques de s curit Figure 53 Firefox V rification du magasin de certificat La saisie du code porteur de la CPS peut tre demand e Mot de passe requis x 7 Veuillez saisir le mot de passe principal de CP53v1 2300371322 sx M G_04 Annuler Figure 54 Firefox V rific
48. Index 1 Protocole 0 Caracteristiques 9600 1 8 0 0 NbPAD 1 CANAL1 PAD1 PAD 2 NbLAD 3 CANAL1 PAD1 LAD1 LAD 1 NomLAD CPsS NbAlias 1 NomAliasi TRANSPAI CANAL1 PAD1 LAD 2 LAD 0 NomLAD Log_SV NbAlias 0 CANAL1 PAD1 LAD3 LAD 2 NomLAD Vitale NbAlias 1 NomAliasi TRANSPA2 Tableau 160 Exemple de fichier GALSS INI pour un poste utilisant un lecteur bi fente 184 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 24 2 Exemple de fichier galss ini pour un poste utilisant deux lecteurs PC SC Fichier de configuration du GALSS dans l environnement Windows Protocole PC SC PROTOCOLE1 Config 0 NomLib PCSCW32 DLL ListeCanaux 1 2 CONFIG NbCanaux 2 CANAL1 TCanal 3 Index 1 Protocole 1 Caracteristiques OMNIKEY CardMan 3x21 0 NbPAD 1 CANAL1 PAD1 PAD 0 NbLAD 1 CANAL1 PAD1 LAD1 LAD 1 NomLAD CPsS NbAlias 1 NomAliasi TRANSPA1 CANAL2 TCanal 3 Index 2 Protocole 1 Caracteristiques OMNIKEY CardMan 3x21 1 NbPAD 1 CANAL2 PAD1 PAD 0 NbLAD 1 CANAL2 PAD1 LAD1 LAD 1 NomLAD Vitale NbAlias 1 NomAliasi TRANSPA2 Tableau 161 Exemple de fichier GALSS INI pour un poste utilisant deux lecteurs PC SC 185 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 25Annexe Windows 7 et ic nes de barre de t che Point d attention Sous Windows 7 le Gestionnaire de ce
49. Mac OS X Contr les visuels de l installation La pr sence de ce trousseau indique la bonne installation et le bon fonctionnement de l ensemble des composants de l ASIP Sant la carte a t lue correctement et elle est bien vue comme un Tokend par le syst me 11 2 P P gt Num roDeCarte num ro 10 chiffres inscrit sous le patronyme sur le visuel de la carte 72 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 13 2 2 Connexion HTTPS Contr le de Connexion HTTPS sous Mac OS X avec Safari Lancer Safari et saisir dans la zone adresse 1 e http testssl asipsante fr puis cliquer sur le lien e _ https testssl asipsante fr La fen tre suivante appara t WebProcess veut utiliser le trousseau CPS3v1 2400005233 m s Veuillez saisir le mot de passe du trousseau 2 D tails D Annuler Co Figure 45 Authentification sous Safari Saisie du code porteur 3 Saisir les 4 chiffres du code porteur de la carte CPS En cas de succ s de l authentification la page suivante appara t e0e TESTSSL pour Librairies Crypto GIP CPS fa e LtD nttps restssl asipsante fr amp Ka Google J MA EH V rification vironnement Apple Yahoo GoogleMaps YouTube Wikip dia Informations Diversr https 192 testssl php ASIP Sante Accuell esante gouv fr _integrateurs cps asipsante fr Information
50. Mode 3 EPM Enhanced Protected Mode 4 EPM 64b Enhanced Protected Mode 64b Ils correspondent des param tres mis en place par Microsoft pour am liorer la s curit de ses syst mes G n ral S curit Confidentialit Contenu Connexions Programmes Avanc Choisir quand tre averti des modifications apport es votre ordinateur d Ps 5 Cliquez sur une zone pour afficher ou modifier les param tres de s curit Le Contr le de compte d utilisateur contribue emp cher les programmes potentiellement suspects de Le p modifier votre ordinateur A Y ta En savoir plus sur les param tres de contr le de compte d utilisateur P maa a S Intranet local Sites de confiance Sites sensibles Toujours m avertir Internet Cette zone est destin e aux sites Web Internet l exception de ceux r pertori s dans les zones Sites de confiance et Sites sensibles M avertir uniquement quand des applications tentent d apporter des modifications mon ordinateur par d faut Niveau de s curit pour cette zone Ne pas m avertir lorsque je modifie des param tres Niveaux autoris s pour cette zone Moyen Haut Windows Moyen haut Adapt pour la plupart des sites Web Messages avant le t l chargement de contenu potentiellement dangereux Les contr les ActiveX non sign s ne seront pas t l charg s Recommand si vous utilisez des applications et que M Activer le mode
51. PC SC Contenu du fichier api_lec ini 150 API de lecture SESAM Vitale Exemple de fichier galss ini pour un poste utilisant un API de lecture SESAM Vitale Exemple de fichier galss ini pour un poste utilisant deux lecteurs PC SC OT TT DEP TES EPL T ED PEL PRET E TUE REP DEP PE LU EN ET TELUS 151 Cryptolib CPS v5 documents de r f rence pour int gration PC SC ssssssssseseseeeseeee 152 Cryptolib CPS v5 recommandations pour int gration PC SC s sssessssseseseseseresrresereses 152 Cryptolib CPS v5 documents de r f rence pour int gration PKCSH 11 153 Cryptolib CPS v5 recommandations pour int gration PKCSH11 ssennesseneenseneesseeee 153 Cryptolib CPS Recommandation d utilisation de PAPI PKCS 11 153 Cryptolib CPS v5 documents de r f rence pour int gration CSP 154 Cryptolib CPS v5 recommandations pour int gration CSP 154 Cryptolib CPS Remarques choix de sc narios d int gration de la carte CPX 00 154 Niveau d int gration de la Cryptolib CPS avec Java 155 Tableau 132 Java JCA exemple de code de signature num rique avec la CPx et l API de cryptographie du JRE niveau CSP sous Microsoft Windows Tableau 133 Java JCA exemple de code de signature num rique avec la CPx et API de cryptographie du JRE niveau PKCS 11 avec Provider Oracle 233 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07
52. SESAM Vitale Lancer une fen tre de commande avec les droits administrateur Touche Windows gt bo te Rechercher ou dans la bo te Ex cuter gt cmd gt clic droit sur Programmes gt cmd exe gt Ex cuter en tant qu administrateur Programmes 1 EN cmd e ES cmd Ouvrir Microsoft M Ex cuter en tant qu administrateur DA Insta HardLink gt f Figure 80 Lecteur GIE SESAM Vitale cmd as admin Ex cuter les commandes suivantes C cd C INSTALLS GALSS mkdir C INSTALLS GALSS 32b mkdir C INSTALLS GALSS 32b Extract start wait msiexec a C INSTALLS GALSS galss a x yy zz msi qb TARGETDIR C INSTALLS GALSS 32b Extract ici C cd C INSTALLS GALSS mkdir C INSTALLS GALSS 32b mkdir C INSTALLS GALSS 32b Extract start wait msiexec a C INSTALLS GALSS galss 3 36 01 msi qb TARGETDIR C INSTALLS GALSS 32b Extract Figure 81 Lecteur GIE SESAM Vitale MSI extract Les drivers lecteur SESAM Vitale apparaissent dans C INSTALLS GALSS 32b Extract CommonAppD ata santesocial galss inf Figure 82 Lecteur GIE SESAM Vitale Drivers Le MSI GALSS fournit des drivers 32b et 64b Tableau 62 Lecteur GIE SESAM Vitale Proc dure d extraction des drivers 96 237 ASIP Sant 15 2 3 2 Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 V rification de l installation des d
53. averti au IE11 fourni avec ce nouvel OS cf point pr c dent 4 que Spartan Edge est lanc en 64bits sur un OS 64bits a il faut s attendre ce que la version 32bits de cet OS soit peu distribu e b la fili re 64bits d acc s aux cartes compl te est requise Cryptolib CPS 64b GALSS 64b API de lecture 64b pour l acc s aux cartes 5 que Spartan Edge ne supporte pas encore les extensions a en particulier l extension Java les applets ne fonctionnent pas sur ce navigateur b les sites web base d applet ne seront plus fonctionnels 6 que Spartan Edge int gre un plugin Flash activ par d faut a les lectures de vid os sont donc OK sur les principaux portails Sant amp Social en particulier 7 que Spartan Edge int gre effectivement un nouveau moteur de rendu a cela implique pour les diteurs de solutions logicielles bas es sur un navigateur de faire des tests sur tous les services utilisant HTML pour assurer une non r gression des rendus graphiques 221 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 8 que Spartan Edge expose aux serveurs web une nouvelle chaine de caract re User agent a b cette chaine expose Spartan Edge en tant que navigateur Safari ou Chrome l ensemble des serveurs ou des codes clients Javascript CSS conditionnels exploitant cette chaine de caract re sont impact s puisqu en l tat ils risquent de prendre Edge pour un Chrome ce
54. cps_pkcs11_safe ini d crit ci dessus e Cryptolib CPS v5 o cl Traces et Debug de l entr e HKCU ou HKLM Software ASIP Sante de la base de registre d crit ci dessus 125 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 L emplacement des fichiers de traces par d faut est le suivant Syst me Version de la Cryptolib CPS Version du Syst me R pertoire T arau C Documents and settings All Users Application Data santesocial cps log Windows A partir du setup Cryptolib CPS v3 06 1 ALLUSERSPROFILE santesocial CPS Iog A partir de Windows 2 USERPROFILE AppData Local Microsoft Windows INetCache Virtual Vista ized C ProgramData santesocial cps log 3 XPUBLICH AppData santesocial cps log Mac OS X Library Logs santesocial CPS Fichiers traces de la Cryptolib CPS Linux var opt santesocial CPS log Fichiers journaux de CPS Gestion A partir du setup Cryptolib CPS v3 06 Tableau 91 Cryptolib CPS Emplacement des fichiers de traces m Application Data est un dossier cach par d faut sous Windows XP et Windows 2000 126 237 asSiPSanT Snconmarion S 16 4 3 Crashdumps PARTAGES DE SANTE Les ex cutables Windows g n re des fichiers Crashdump l emplacement suivant USERPROFILE AppData Local Microsoft Windows WER ReportArchive Tableau 92 Windows Emplacement des fichiers de crashdump Ainsi le CCM exe p
55. d avoir tout le temps sous les yeux l tat du lecteur de carte et de la carte dans le lecteur de carte Figure 121 Windows Configuration Tous les ic nes toujours visibles dans la barre de t ches 187 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 Cette op ration peut se faire par dition de la base de registre HKEY_CURRENT_USER SOFTWARE Microsoft Windows CurrentVersion Explorer cle HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Explorer Valeur Type Valeurs possibles gog 0 display inactive icons EnableAutoTray REG_DWORD Ne Li A 1 hide inactive icons Tableau 162 Windows Configuration Rendre tous les ic nes toujours visibles via la base de registre Autre possibilit configurer le Gestionnaire de certificat CPS pour qu il soit toujours visible Panneau de configuration Tous les Panneaux de configuration Ic nes de la zone de notification iol xi Go Tous les Panneaux de configuration Ic nes de la zone de notification g Rechercher 2 S lectionnez les ic nes et les notifications qui apparaissent sur la barre des t ches Si vous masquez des ic nes et des notifications vous ne serez pas averti des modifications et mises jour Pour afficher les ic nes masqu es diquez sur la fl che pr s de la zone de notification sur la barre des t ches E Gestionnaire de certificats CPS Ges
56. de d tecter la pr sence d une carte CPS dans les lecteurs de type RS232 S rie en utilisant la couche GALSS PSS Son r le est donc de prendre en charge les lecteurs de type PSS qui pourront ainsi fonctionner dans l environnement CDSA La totalit des lecteurs susceptibles d utiliser la carte CPS est ainsi couverte 148 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 19 4 Int gration avec l API de lecture SESAM Vitale Cette API apporte les fichiers suivants Fichier Description 1 api _lec dil 2 api lec ini 3 pdt cdc 011 csv 4 sedica ini 5 tablebin hab 6 tablebin lec Tableau 115 API de lecture SESAM Vitale Composants DMP Dans le cadre de l AW PS DMP l API de lecture Vitale est install e dans USERPROFILE Application Data santesocial DMP Tableau 116 API de lecture SESAM Vitale Exemple de r pertoire d installation DMP Les droits de lecture et d ex cution ont t donn s tous les utilisateurs sur le r pertoire d installation 19 4 1 Configuration de l API de lecture SESAM Vitale pour AW PS DMP Deux fichiers de configuration api_lec ini et sedica ini sont utilis s par l API de lecture Ces deux fichiers doivent tre correctement renseign s en fonction de la configuration du poste 19 4 1 1 Poste utilisant un lecteur bi fentes CONFIG NbLecteur 2 Mode NORMAL LECTEURO1 TypeLec
57. doivent tre stock es dans Users lt username gt AppData 4 2 Aucun fichier ne devrait tre install directement dans le r pertoire Windows ou l un de ses sous r pertoires 4 3 L ensemble des fichiers ex cutables doit tre sign avec un certificat Authenticode 4 4 Les applications doivent supporter nativement le mode 64 bit 4 5 Les applications doivent suivre le User Account Control UAC Guidelines et inclure un fichier manifest avec un requestedExecutionLevel appropri 4 6 L ensemble des applications doivent tre compil avec l ensemble des m canismes de d fenses propos s par Microsoft Tableau 164 Guidelines logiciels Poste de travail Agence des syst mes d information partag s de sant 9 rue Georges Pitard 75015 Paris T 33 0 1 58 45 32 50 www asipsante fr Agir ensemble pour soigner mieux ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 28Annexe D tection d une installation Cryptolib CPS sous Windows D tection d une installation Cryptolib CPS La m thode la plus p renne sous Windows pour d tecter une installation de la Cryptolib CPS 1 sur le poste de travail consiste utiliser WMI pour consulter la base de donn es de programmes install s si wmic node computername path WIN32 Product where Vendor like SASIP get format csv Exemple de sortie de cette commande Rem
58. du GALSS Si l ic ne du CCM n appara t toujours pas IC_87 x 5 s pp DS pas Contacter le support CPx de l ASIP Sant m me apr s plusieurs red marrages 2 L ic ne du CCM apparait dans la barre de t che mais l tat du CCM est diff rent de 1 IC_8A V rifier que le lecteur de cartes est branch IC_8B V rifier que la carte est dans le lecteur Apr s red marrage reprendre les IC_8C Red marrer la machine v rifications partir de Contr le de l tat du GALSS Il peut s agir d un probl me de droits e Lecompte utilis doit avoir le droit de IC 8D Si l ic ne du CCM ne passe pas au vert lancer des processus GALSS m me apr s red marrage e Le compte utilis doit avoir suffisamment de droits en lecture criture voir plus loin 66 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 Contr le de l tat du CCM Gestion des ID R sultat erreurs Il peut s agir de probl mes mat riels e Avec le lecteur o Utiliser les utilitaires de tests fournis avec le lecteur e Avec la carte CPx o Changer de carte o Mettre la carte dans un autre lecteur sur une autre machine IC_8E Cependant le plus probable est que le fichier galss ini soit corrompu Appliquer la proc dure de r g n ration du fichier galss ini cf installation du GALSS plus haut Si le probl me persiste malgr la proc dure de r g n ration du fich
59. e a 22 8 Pr sentation gnerien ireira EAN ee NEEN A E NOAR DE EAEC N E 23 8 1 ERE K e a A E E EE Re EAE EEEE AEE SAE 23 8 2 La Cryptolib CPS biblioth que cryptographique des cartes CPX sssnnnssenensseneesseeensseeeeno 23 8 3 Le cycle de vie de la Cryptolib CPS sur le poste de travail 24 9 Pr P QUIS ER RAR ne een nr en tr ee M te le nn 25 9 1 Preregui matere oacio s anr A A ON RT NA 25 9 2 Pr requis sur les syst mes d exploitation ss 27 9 3 Pr r quis logiciel euei TO E AO N O NA 28 9 4 Pr re uis s r acc s Internet ss onsini en a nn nn N E E 30 9 5 Pr requis sur les versions de la Cryptolib CPS ssnnnssennnsseneesseneesseennssenensserenssennesserenssernese 31 9 6 T l chargements logiciels nnnnnnnsenenssenensseneesseeeesseeessserensserensseresssernnssennnssennnssennnsseenessenn 32 10 Proc dures rapides d installation du poste de travail 33 10 1 Installation du poste de travail via ODI OS Windows et Mac OS X 33 10 2 Installation du poste de travail via les MSI sous Windows sssesssssssssssesssenrrsssseserennrssssseee 38 11 Installation de la Cryptolib CPS ner 39 11 1 Pr paration de l installation su 39 11 2 Logique d install tion 2 mure rene ARE er RE dt Te da de 40 11 3 Installation du GA O S T a ee D RE RES ne DA ER Re A Ne 41 11 4 Installation de la Cryptolib CPS ns 45 12 V rifications de l installation avec CPS Gestion eses
60. entr e he a A jE P riph riques syst me 4 19 Ports COM et LPT T Port de communication COM1 Y Port de communication COM2 T Port imprimante ECP LPT1 EP XIRING USB CDC 0B COMS Processeurs FA Souris et autres p riph riques de pointage Figure 90 GALSS devmgmt 4 YF Ports COM et LPT T Port de communication COM1 g Y port de communication COM2 Le lecteur PSS est bien install 2 T Port imprimante ECP LPT1 Le num ro du port COM utilis est f7 XIRING USB CDC 0B COM5 mentionn entre parenth se ici Processeurs m COM5 Figure 91 GALSS devmgmt et COM 100 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 Proc dure de lancement manuelle du serveur GALSS Ouvrir le fichier galss ini Touche Windows gt bo te Rechercher ou dans la bo te Ex cuter gt notepad WINDIR galss ini gt Touche entr e Parcourir le fichier Les entr es suivantes doivent appara tre avec un lecteur PSS Protocole PSS PROTOCOLEO Config 1000 20 15000 NomLib PSSINW32 DLL CANAL1 TCanal 1 Index 5 Protocole 0 Caracteristiques 19200 1 8 0 0 NbPAD 1 Noter les valeurs TCanal 1 Index 5 Arr ter les processus CCM et galsvwXX exe e ctrl shift echap e S lectionner le tab Processus e S lection du CCM exe gt Arr ter le processus e S lection du galsvwXX exe gt Arr ter le processus
61. et non pour tous les utilisateurs de l ordinateur II permet ainsi de r soudre des probl mes de compatibilit lorsque UAC est activ Ce m canisme de sandbox n est pas actif si l UAC est d sactiv Ce m canisme n est pas syst matiquement mis en uvre http msdn microsoft com en us library bb530410 aspx En particulier celui ci est d sactiv pour les applications 64 bits ou les applications sp cifiant explicitement le comportement adopter par l UAC lors d une demande d l vation de privil ge fichier manifest contenant l attribut requestedExecutionLevel Le Gestionnaire des Acc s aux Lecteurs Sant Social GALSS fonctionne en mode client server Les API CPS PKCS11 sont les clients du processus GALSVW32 qui g re l acc s aux lecteurs physiques Deux processus vont donc toujours entrer en jeu 1 le processus server GALSVW32 2 le processus client qui charge l API Le gestionnaire de t ches Windows permet de v rifier si la virtualisation est activ e colonne virtualisation E Gestonnare des tichet de Windows Sie Fichier Options Affichege I Acoicotens TRES Services Performances bise en r teus U satinss Mon de lmage Mors du p Memor e Wtaisston Descpten DE r 711 y 0 L144K D sactv winaos rogone 1e 20 suc Ma w ei ner Le OOK Activ Waset WMasreTroy 00 500K D sacev an re T TPAstoCornre 20 1004K D sactv TPAutoCe tamy exe a2 1000K D sacmv Gestora tase
62. existant afin d identifier celui qui g re la carte ins r e Le Tokend identifi est charg Le syst me est en mesure d effectuer d utiliser la carte en lui demandant d effectuer des op rations cryptographiques et en y r cup rant des objets certificats cl s publiques 147 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 Certaines applications Macintosh ex le navigateur Safari ne se basent que sur cette architecture Les biblioth ques cryptographiques de l ASIP Sant doivent donc s int grer dans CDSA pour que ces applications soient capables de fonctionner avec la carte CPS Pour cela l ASIP fournit 2 composants e e CPS Tokend module au standard Tokend d Apple qui permet de s interfacer dans CDSA afin d offrir le support de la carte CPS comme module cryptographique Le Tokend utilise l architecture PC SC pour la d tection des cartes CPS et le module CPS PKCS 11 pour r aliser les op rations cryptographiques Le module CPS Tokend est suffisant pour faire fonctionner le syst me avec un lecteur PC SC et une carte CPS Un driver PC SC pour les lecteurs de type PSS lecteurs s rie bifente S V et monofente NF CPS est fourni en compl ment afin de pouvoir utiliser la carte CPS au sein de cette architecture e le driver PC SC PSS c est un driver simplifi qui permet d int grer les lecteurs PSS dans l architecture PC SC au niveau du d mon PCSCD permet
63. fait en installant un raccourci dans le menu d marrer de all users II ne modifie en aucun cas les cl s run ou shell de Windows 141 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 142 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 143 237 ASIP Sant 18 13 Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 Consid rations de s curit sous Linux 18 13 1 Comptes utilisateurs Distribution Groupe Commentaire Le compte utilisant un lecteur PSS doit Fedora dialout tre ajout au group dialout usermod USER G dialout Tableau 113 Linux Comptes 18 13 2 Droits Dossier d installation Fichier Droit d acc s Remarques libcps3_pkcs11_lux so Irwxrwxrwx Lien symbolique Jusr lib libcps_pkcs11_lux so lrwxrwxrwx Lien symbolique usr bin cpgeslux Irwxrwxrwx Lien symbolique opt santesocial CPS lib libcps3_pkcs11_lux so rwxr_xr_x Librairie PKCS11 CPS3 opt santesocial CPS bin cpgeslux rwxr_xr_x CPS Gestion DICO FR GIP rwr r Dictionnaire Le Fichier de configuration de la librairie PKCS 11 cps_pkcs11 safe ini rwr r CPS2T etc opt santesocial CPS er cps3_pkes11 conf AN Fichier de configuration de la librairie PKCS 11 CPS3 etc opt santesocial CPS Coffre cer rwr r Certificats d autorit s libcps_pkcs11_
64. fichiers par carte La Cryptolib CPS v5 impl mente un m canisme de recouvrement du cache au cas o il serait corrompu Les fichiers du cache sont s curis s propres une carte donn e et l environnement qui les a cr s Le r pertoire cache doit tre accessible en lecture criture ALLUSERSPROFILE santesocial cps cache USERPOFILE AppData Local Microsoft Windows INetCache Virtu alized C ProgramData santesocial cps cache Cache Sous Win8 avec EPM activ PUBLIC AppData santesocial cps cache Tableau 109 Cryptolib CPS Cache de fichier carte 138 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 18 6 Logs de la Cryptolib CPS Lorsque les traces de la Cryptolib CPS sont activ es aucune donn e sensible n est inscrite dans les logs 18 7 Signature num rique 18 7 1 Performances Les performances de l op ration de signature sont li es l efficacit du l algorithme de hachage qui pr c de la signature effective L int grateur doit choisir la taille du buffer de donn es soumis au hash PESC PRESHIN ESP Id alement cette taille doit tre param trable Microsoft et Oracle font r aliser le hash par leurs propres impl mentations sens es garantir des performances optimales Par d faut le hash est calcul par le provider Microsoft Enhanced RSA and AES Cryptographic Provider type 24 RSA Full and AES
65. fr integrateurs cps asipsante fr Information sur votre carte CPS Valeurs IGC CPS ORGANISATION TEST 8 AUTORITE TEST PROFESSIONNEL CLASSE TEST CLASSE 1 IDENTITE Pr nom KIT Nom DOC5541 Identifiant 0081055413 Ville Certificat d AUTHENTIFICATION N de s rie AC8BB1 Cr le Feb 1 00 00 01 2013 GMT Expire le Feb 29 21 59 59 2016 GMT V rification SUCCESS v Cort vano Figure 42 Authentification TestSSL OK Tableau 44 Contr le de Connexion HTTPS sous Windows avec Internet Explorer L apparition de cette page garantit que l installation des composants logiciels s est d roul e correctement 70 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 13 2 Premi res utilisations sous Apple Mac OS X 13 2 1 Contr les visuels de l installation Une fois l installation effectu e il est possible de v rifier le bon fonctionnement du Tokend CDSA et donc de l ensemble des l ments install s l aide du programme de visualisation des cl s et des certificats inclus dans l OS Mac OS X Contr les visuels de l installation 1 Ins rer une carte CPx dans le lecteur Lancer le programme nomm Trousseau d acc s qui se trouve dans le dossier Applications Utilitaires A Macintosh HD_2 E iDisk EMPLACEMENTS Bureau 2 A asip A Applications ki Documents RECHERCHER Aujourd hui Y Hier Semaine pas
66. i 2 Figure 32 CCM exemple d tat avec un lecteur PC SC contenant une CPS l tat des lecteurs R initialiser la liste des Permet de prendre en compte le d branchement rebranchement 3 d un lecteur sur le poste lecteurs Passage en mode de surveillance automatique permet de d tecter automatiquement le retrait ou l insertion d une carte Activer la CPS surveillance Lorsque le basculement lieu le bouton change et devient des lecteurs D sactiver la surveillance des lecteurs Ce mode est d conseill avec les lecteurs PSS Passage en mode de surveillance manuelle d sactive la D sactiver la d tection automatique du retrait ou de l insertion d une carte surveillance CPS des lecteurs Lorsque le basculement lieu le bouton change et devient Activer la surveillance des lecteurs Dans ce mode l utilisateur doit explicitement rafra chir l tat du lecteur via l option Rafra chir afin de synchroniser le statut de la carte CPx pr sence ou absence dans le lecteur et le magasin de certificats personnels pr sence ou absence des certificats 62 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 ID Fonction Description Lors de la premi re ex cution du programme CCM la surveillance manuelle de l tat du lecteur est activ e par d faut Le mode de surveillance manuelle ou automatique choisi est rec
67. identifier avec un certificat de s curit Choisir un certificat pr senter comme identification CPS3v1 2400158479 Certificat d Authentification CPS 4C 8D DD z D tails du certificat s lectionn 4 mis pour 75 0 TEST C FR Num ro de s rie 4C 8D DD V Se souvenir de cette d cision CN 500000000018119 CPATO001 SN RESPONSABLE0000018110001 givenName CHARLES OU 300000000018119 L Paris Valide de 01 02 2013 01 00 01 pour 29 02 2016 22 59 59 Usage de la cl de certificat Signature Feie mms OA TEOT PU ACC D ONE TEOT OTANTA TECT A rn Figure 64 Authentification sous Firefox S lection du certificat Ce message correspond au certificat X 509 d authentification de la carte CPx utiliser m 84 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 Firefox Connexion HTTPS En cas de succ s de l authentification la page suivante appara t aus ang Le gt 11 css TESTSSL pour Librairies Crypto GIP CPS a n z https testssl asipsante fr e E cogi Pit A BD 7 y f 7 D sactiver db Cookies Z CSS Formulaires Images infos E Divers PA Entourer Fen tre X Outils TESTSSL ASIP Sante GENCE DES SYST MES 8 D INFORMATION PARTAG S DE SANT Accueil esante gouv fr integrateurs cps asipsante fr J 5 Informat
68. l affichage des erreurs critiques aux utilisateurs 4 Configuration des zones de s curit s Internet Explorer 5 Configuration des comportements carte et cryptographique 6 Configuration des comportements carte et cryptographique MS Office Tableau 86 Principales GPOs Agence des syst mes d information partag s de sant 9 rue Georges Pitard 75015 Paris T 33 0 1 58 45 32 50 www asipsante fr Agir ensemble pour soigner mieux aSiPSanT LE AGENCE DES SYST MES ar 16 2 Configuration de la Cryptolib CPS sous Linux 16 2 1 Param trage de la Cryptolib CPS v4 La Cryptolib CPS2Ter se configure via le fichier etc opt santesocial CPS cps_pkcs11_safe ini La grammaire du fichier est la m me que sous Windows cf plus haut 16 2 2 Param trage de la Cryptolib CPS v5 Le param trage de la Cryptolib CPS v5 permet essentiellement de d terminer le niveau d expression des logs des changes avec la carte et PKCS 11 Les param tres de configuration support s avec la Cryptolib CPS v5 sous Linux sont Section Cl Type D faut Valeurs possibles Effet Param trage des fonctionnalit s PKCS 11 CPS3_PKCS11 TRACES boolean N A true ou false Active les traces Variable d environnement CPS3_DEBUG string N A N A ou 10 D termine le niveau de traces Sign_Hash t t ial C A Acte true boolean active true true ou false Active la signature de hash
69. la Cryptolib CPS sous Windows s ssssssnssenensseneesseeee 128 LATE GALSS Eh en te a AR ne AA note NA tn ts PA ei 128 10 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 IAR LCNpLOlib CPS rm ann dr Trenet ane Mrs a scene ent t ent d 130 TZT Windows Update ner rire ACER ATA Messe T seen ere need 131 17 2 Mises jour et d sinstallations de la Cryptolib CPS sous Linux 133 17 21 CNptolibiCPS ensure de RE MT ten Te io Ti eee 133 18 Performan eset s curitaire oii a tent lente ln osier ati tti 134 18 1 V rification des fournitures ASIP Sant sssssssssssssessssseeesseesersrsrersreserersressresssensseesseesses 134 18 2 Certificats t cl s priv es etre Mn mo te PR de rade d ee ve t ls 135 18 3 Common Vulnerabilities and Exposures CVE 136 18 4 Code porteurs sesi eee a enr lee e tee RE ee te aa 136 18 4 1 Saisie des codes porteur et d blocage 136 18 4 2 D blocage du code porteur 137 18 4 3 Changement du code porteur iii 137 18 4 4 Cache des codes porteur et d blocage sssnnsssenssenenssenensseoenssennessennnssernnssernnsseeeess 137 18 5 Cache de fichiers tarte uaino iaka a ane en RE RP at 138 18 6 Logs della CHPLOlIDICPS 458 remet E EARE a EA A AN enr Dub 139 18 7 Signature NUM FIQUE ne eiia aa E AEE E Eaa E AE Ea AEE Aa 139 TRAI P rformances 2 users tree re EE EA ENEE CNO at de 139 18 72 S CUrIT epia nr nie an
70. la liste des Trousseaux est visible au dessus de la zone 71 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 Mac OS X Contr les visuels de l installation Si cette liste n est pas affich e cliquer sur le bouton Afficher les trousseaux en bas gauche 4 A de la fen tre V rifier alors que le nom de la carte s affiche bien dans cette liste sous la forme Cryptolib CPS v4 CPx Num roDeCarte Cryptolib CPS v5 CPS3v1 Num roDeCarte ainsi que le montre l exemple suivant 60e Trousseau d acc s Cliquez pour d verrouiller le trousseau CPS3v1 2400005233 a Trousseaux 0081053921 d session D livr par TEST CLASSE 1 5 Expire le jeudi 31 juillet 2014 23 59 59 HEC SystemCACertificates amp X509Anch Ce certificat est valide nchors Syst me Type Date de modification Expiration Trousseau O Racines du syst me EJ 0081053921 certificat _ 31 juil 2014 23 59 59 CPS3v1 2400005233 Cat gorie E 0081053921 certificat 31 ao t 2014 23 59 59 CPS3v1 2400005233 Tous les l ments Cl Priv e du Certificat d Authentification CPS cl priv e CPS3v1 2400005233 Mots de passe Cl Priv e du Certificat de Signature CPS cl priv e CPS3v1 2400005233 Notes s curis es E Mes certificats cl s E Certificats L 4 l ments 2 Figure 44 Installation Mac OS X V rification du nom de la carte Tableau 45
71. la proc dure GALSS Proc dure de r g n ration du fichier galss ini d crite ci dessus 3 T l charger les derniers composants logiciels dont le GALSS Installer le GALSS e Se reporter la documentation du GIE SESAM Vitale o Cf 6 4 e _L installeur GALSS prend la forme o Sous Windows d un fichier MSI o Sous Mac OS X d un fichier PKG embarqu dans un DMG o Sous Linux d un fichier RPM Tableau 25 GALSS Proc dure d installation Voir en annexe deux exemples de fichiers galss ini 44 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 11 4 Installation de la Cryptolib CPS La proc dure d installation de la Cryptolib CPS est la suivante Cryptolib CPS Proc dure d installation Appliquer la proc dure GALSS Proc dure d installation 1 3 amp Rappel la proc dure GALSS Proc dure d installation ne s applique pas avec la Cryptolib CPS v4 Full PC SC 2 T l charger les derniers composants logiciels dont le GALSS 3 Connecter le les lecteur s de cartes au poste de poste de travail D marrer l installation v4 v5 lancer CryptolibCPS x y z msi Windows v4 Full PC SC lancer SetupCryptoCpsPcsc vx yz msi en mode console ex cuter untar sudo tar xvzf CryptolibCPS x y z i386 rpm tar gz Conversion du rpm en un deb 4 dpkg sudo apt get install alien sudo a
72. nes de la zone de configuration depuis le panneau de configuration Personnaliser pe Figure 119 Windows Configuration Param trage des ic nes de la zone de configuration depuis la barre de t ches 186 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 La fen tre suivante appara t Cocher l option Toujours afficher toutes les ic nes et les notifications sur la barre des t ches 10 x GT Tous les Panneaux de configuration Ic nes de la zone de notification X Bi Rechercher 6 S lectionnez les ic nes et les notifications qui apparaissent sur la barre des t ches Panneau de configuration Tous les Panneaux de configuration Ic nes de la zone de notification Si vous masquez des ic nes et des notifications vous ne serez pas averti des modifications et mises jour Pour afficher les ic nes masqu es diquez sur la fl che pr s de la zone de notification sur la barre des t ches Ic nes Comportements F amp Centre de maintenance R soudre les probl mes d ordinateur R seau R seau non identifi Pas d acc s r sea E igfxTray Module Graphiques HD Intel R fo Explorateur Windows Retirer le p riph rique en toute s curit Privoxy Privoxy Lo oa rs Haut parleurs muet Activer ou d sactiver les ic nes syst me Figure 120 Windows Configuration Afficher tous les ic nes Ceci permet
73. possible de composer les param tres disponibles Fonction Commande Installer les composants en start wait msiexec i CryptolibCPS xx yy zz msi DETECTIONMODE mode d tection automatique 1 qn Installer les composants en fixant la fr quence de areco enine start wait msiexec i CryptolibCPS xx yy zz msi WATCHONTIMER lecteurs en mode 2 an automatique Installer les composants en fixant la fr quence de start wait msiexec i CryptolibCPS xx yy zz msi WATCHOFFTIMER d tection des v nements 600 qn lecteurs en mode manuel Restaurer en ligne de start wait msiexec i CryptolibCPS xx yy zz msi RESTAURE 1 commande qn 106 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 Fonction Commande Installer les composants CPS2ter GALSS start wait msiexec i CryptolibCPS xx yy zz msi CPS2ter 1 qn Installer les composants CPS2ter Full PC SC start wait msiexec i CryptolibCPS xx yy zz msi CPS2ter 2 qn Tableau 70 Param tres des installeurs de la Cryptolib CPS v5 15 2 5 3 Installation Full PC SC v4 Full PC SC Cette version est d conseill e au profit de la Cryptolib CPS v5 L installeur installe automatiquement les composants CPS2ter Full PC SC e sile GALSS n est pas pr sent le fichier galsvw32 exe ne doit pas tre dans V3 WINDIR e _et si la Cryptolib CPS v4 Full P
74. prot g red marrage d Internet Explorer requis vous visitez des sites Web que vous connaissez PRE EE ET jamais m il r tablir toutes les zone veau par d faut Ne jamais m avertir R tablir toutes les zones au niveau par d fa Annuler OK Annuler Appliquer Figure 98 Param trage de UAC UserAccountControlSettings exe Figure 99 Mode prot g 1 par zone inetcpl cpl 116 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 E Options Internet EE G n ral S curit Confidentialit Contenu Connexions Programmes Avanc Param tres V Utiliser HTTP 1 1 avec une connexion par proxy a Q S curit V Activer l authentification Windows int gr e V Activer la prise en charge native de XMLHTTP Activer la validation P3P stricte Activer le filtre SmartScreen V Activer le stockage DOM Autoriser l ex cution du contenu actif dans les fichiers de mon ordinateur Autoriser l ex cution du contenu actif des CD sur mon ordinateur Autoriser le logiciel s ex cuter ou s installer m me si la signature n est pa Avertir en cas de changement entre mode s curis et non s curis v Avertir si la soumission POST est redirig e vers une zone qui n autorise pas Bloquer les images non s curis s avec d autres contenus mites d m 0
75. puce non trouv 1 si Cryptolib CPS v4 sur Windows s affichent 7 32b d clarer le mapping ATR manuellement non test pas de e Sous Windows 7 x86 si la Cryptolib support du sans contact se CPS v4 32b est iniata LEE 2 d sactiver Windows Update et le AT_0110 Windows ei o La Cryptolib CPS v4 n associe pas Device Search Confirm Confirm les ATR des cartes CPx au CSP 3 installer la Cryptolib CPS v5 dans e Sous Windows 7 x64 si la Cryptolib sa version destin e CPS v4 32b ou si la Cryptolib CPS l architecture de l OS courant v5 32b sont install s solution pr conis e o Dans ces cas aucun CSP natif 4 D clarer un CSP fant me cf 64b n est install Annexe Carte Vitale Les performances avec Internet MERS drons sur Corrig p PUBLIC AppData santesocial cps 8 A x86 Explorer en interface desktop avec EPM avec la AT_0120 Wing k 2 cache et Clos x64 activ e peuvent tre d grad es Les PUBLIC AppData santesocial cps Cryptolib traces logs sont incompl tes Fu paie P CPS v5 0 13 log Min Probl mes de signatures des pilotes Ae PER AVETE AT_0130 Win8 x64 lecteurs PSS si Fur D S D sactiver le contr le des signatures Confirm Confirm Win8 1 8 P de drivers d conseill 209 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 Ticket OS Archi Limitation Alternative aratug Statut x probl me alternative
76. question peut tre n cessaire cr ation des r gles d acceptation d ex cution permanente par exemple voir manuel de l antivirus Aucune d sactivation d antivirus n est priori requise Cette op ration si elle devait tre r alis e doit se faire en toute connaissance de cause et d effet En particulier il est alors pr f rable de quitter toutes les applications et de r aliser les t ches pr vues hors ligne D sactivation de l antivirus Consulter un professionnel en cas de doute 18 10 Pare feu La Cryptolib CPS n est pas test e au regard des pare feux disponibles sur le march Aucune anomalie relative des dysfonctionnements de la Cryptolib CPS avec des pare feu n est actuellement connue Le pare feu doit tre configur de sorte que les pr requis internet cit s plus haut soient remplis Aucune d sactivation de pare feu n est priori requise Cette op ration si elle devait tre r alis e doit se faire en toute connaissance de cause et d effet En particulier il est alors pr f rable de quitter toutes les applications et de r aliser les t ches pr vues hors ligne D sactivation du pare feu Consulter un professionnel en cas de doute 140 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 18 11 Consid rations de s curit sous Microsoft Windows 18 11 1 Gestion des fichiers MSI Pour de
77. re PC SC 23 2 4 Param trage v3 v4 v5 La version PC SC de la Cryptolib CPS g re en interne automatiquement les diff rentes configurations de poste lecteurs de carte LIX x Ix Aucune configuration particuli re des comptes utilisateur n est donc n cessaire y compris lors d une mise en uvre des profils itin rants Lecteur PC SC Seule la redirection des lecteurs PC SC de carte puce du poste client vers le serveur devra tre activ e 2 ix x x Cocher l option lecteur de cartes puce dans ressources locales connexion TSE Tableau 150 Param trage fili re PC SC 176 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 23 3 Emplacements des fichiers Ce Chapitre d taille les emplacements des fichiers de la Cryptolib CPS dans un environnement Client serveur 23 3 1 Chemin d acc s profil utilisateur USER En fonction du syst me d exploitation h te et du param trage des comptes utilisateurs le chemin d acc s au profil utilisateur peut tre diff rent Windows 2003 USERPROFILE C documents and settings utilisateur par d faut Par d faut en local Windows 2008 XUSERPROFILE C utilisateurs cutilisateur ou C users utilisateur par d faut Si des profils itin rants ont t d finis ces profils utilisateurs peuvent tre stock s sur un partage r seau distance Deux fa ons de g
78. rer ces emplacements 1 depuis l Active Directory du contr leur de domaine gt users gt propri t d un utilisateur gt profil gt chemin du profil 2 partir de GPO strat gies de groupes Voir avec votre administrateur de domaine pour plus de d tails Par profil itin rant Dans ce cas la r solution du chemin du profil de l utilisateur se fait ainsi Windows distance 2003 et 2008 Server USER HOMEDIRX HOMEPATH ou SHOMEDIRS et XHOMEPATH sont deux variables d environnement d finissant le chemin d acc s du profil utilisateur distant Ces variables sont accessibles avec la commande SET en ligne de commandes DOS Ces variables ne sont pas d finies si les profils itin rants ne sont pas utilis s Tableau 151 Chemins des profils utilisateur 177 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 23 4 Lignes de commande Ce chapitre reprend la documentation de change user et change port Cette documentation permet de comprendre le fonctionnement de TSE 23 4 1 Commande change user Modifie le param trage relatif au mappage du fichier ini 23 4 1 1 Syntaxe change user execute install query 23 4 1 2 Param tres Active le mappage du fichier ini au r pertoire de base Il s agit du param tre par ee i ppag p 8 p p d faut D sactive le mappage du fichier ini au
79. sont pas support es Ces mat riels concernent g n ralement les structures mettant en uvre des machines en r seau ou des h bergeurs de services Les processeurs PowerPC ne sont plus support s Mac OS X 10 5 est la derni re version de Mac OS X supporter PowerPC Lecteurs de cartes puce avec firmwares jour correctement install s et configur s e PSS bi fente de type FSE e ou PSS mono fente NF CPS e ou mono fente PC SC cf manuels et fournitures du fabriquant du mat riel concern Pour les lecteurs PC SC e Les lecteurs Navigo sont compatibles e V rifier l existence d outils de diagnostic lecteur e Pr f rer les lecteurs USB compatibles CCID Pour les lecteurs PSS e Pr f rer les lecteurs support s par le GIE SV Une carte CPS2Ter ou CPS3 e dont le code porteur est connu et non bloqu e non expir e e non r voqu e Les cartes CPS2Ter arrivent en fin de vie en avril 2014 La liste pour Apple Mac OS 10 09 et Debian La liste pour Apple Mac OX 10 10 Pour Microsoft Windows le programme Windows hardware certification assure que les lecteurs sont compatibles avec le driver USB CCID usbccid sys pr sent par d faut dans les OS Microsoft 7 La liste pour les PS lib raux la liste pour les tablissements 25 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 Pr requis mat riels pour l installation et l utilis
80. these certificate authorities Certificate Name Security Device 3 GeoTrust SSL CA Software Security Device Google Internet Authority G2 Software Security Device YGIP CPS GIP CPS Software Security Device AC CLASSE 5 GIP CPS Software Security Device GIP CPS PROFESSIONNEL GIP CPS Software Security Device GIP CPS CLASSE 1 Software Security Device GIP CPS CLASSE 3 Software Security Device GIP CPS CLASSE 2 Software Security Device GIP CPS PROFESSIONNEL GIP CPS Software Security Device GIP CPS CLASSE 0 Software Security Device AC CLASSE 4 GIP CPS Software Security Device GIP CPS CLASSE 3 Software Security Device Import ok Figure 77 Extension Firefox ASIP Sant V rification magasin de certificats Tableau 58 Firefox Installation manuelle du module de s curit CPS Une fois la configuration du module de s curit effectu termin e le test de la connexion HTTPS peut tre 90 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 14 2 5 Etat du module Idem que sous Microsoft Windows 14 2 6 Connexion HTTPS Firefox Connexion HTTPS Lancer Firefox et saisir dans la zone adresse 1 e http testssl asipsante fr puis cliquer sur le lien e https testssl asipsante fr 2 La fen tre de demande de saisie des 4 chiffres du code porteur de la carte CPx appara t 3 Choisir le certificat X
81. time cend INF ARTA LO select All Ctrl A ___ Accue esante gouvfr integrateurscps asipsante fr View Certificates Validation Security Devices A Find Ctrl F J mation sur votre carte CPS valire Security Modules and Devices Details Value iaces YNSS Internal PKCS 11 Module Status Logged In Set 5 Generic Crypto Services Description Gemalto PC SRGAMEANON ec Software Security Device Manufacturer Change Password AUTORITE GIP CPS STRUCTURE vCPS HW Version 0 0 CLASSE GIP CPS CLASSE 3 CPS3v1 2400140649 FW Version 0 0 Load YBuiltin Roots Module Label CPS3v1 2400 FLORENT Builtin Object Token Manufacturer ASIP SANTE Serial Num 00979204 Enable FIPS DESGRIPPES 518751275100020 0000000311 Paris 75 HW Version 0 0 Identifiant FW Version 0 0 Ville Certificat d AUTHENTIFICATION N de s rie 88B1CA Firefox automatically sends some data to Mozilla so thatwecan improve your experience ChooseWhatiShare X Figure 66 Firefox Linux Param trage du module de s curit 8 Conservez comme ici l option par d faut Demander chaque fois 86 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 Firefox V rification du Module de s curit CPS Lorsque la carte CPx ins r e dans le lecteur est bien reconnue et que le Module de s curit CPS e
82. tre suivante appara t 3 Figure 12 CPS Gestion Initialisation En fin d initialisation CPS Gestion affiche la fen tre suivante 4 Figure 13 CPS Gestion Lecture de carte CPS OK 51 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 Utilisation de CPS Gestion sous Windows Faire un Tests des services Figure 14 CPS Gestion Lancement des Tests des services Le code porteur est demand A Figure 15 CPS Gestion Saisie du code porteur Les tests se d roulent Figure 16 CPS Gestion D roulement des tests des services Un r sum Diagnostic du r sultat des tests est affich Journal Donn es CPS Figure 17 CPS Gestion R sum du r sultat des tests des services 52 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 Utilisation de CPS Gestion sous Windows Ce r sultat pourra tre demand dans le cadre du support technique r m CPS GESTION Version 05 07 UE L Gestion Carte Services CPS T l mise jour Gestion Lecteur Afficher A propos GE ka IDENTIFICATION DU r pigie sauvegarder Monsieur RESPONSA S 00000000021477 CR IDENTIFICATION DE Carte de Personnel Expire fin 07 2016 Journal Donn es CPS Diagnostic Traces
83. type d erreur a d j t rencontr sur les services Sant amp Social lors du passage de IE10 IE11 9 Spartan Edge n a pas par d faut les droits d acc s l interface r seau locale loopback localhost a b u Microsoft Edge runs with network isolation by default for security reasons Ceci rend en particulier le service SrvSVCNAM qui tourne sur cette interface inop rant Un contournement existe mais il d grade la s curit de l OS une analyse de risque et d impact pour les PS seront n cessaires i Entrer la commande suivante CheckNetlsolation LoopbackExempt a n Microsoft Windows Spartan_cw5n1h2txyewy Dans le futur il sera sans doute possible d activer l interface localhost en utilisant about flags ce qui requiert tout de m me a priori l intervention du PS 10 Les autres points notables concernent les abandons des supports suivants a b C d Abandon des document modes quirk mode standard mode Abandon de la Chaine X UA Compatible mode compatibilit Abandon du VBScript Abandon des anciennes mani res d utiliser currentStyle et attachEvent impact sur les vieux Javascript 38 2 IE11 sous Windows 10 Afin d utiliser IE11 sous Windows 10 les manipulations suivantes sont n cessaires Figure 138 Windows 10 Barre de t ches 222 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 Internet Explorer D
84. vers le serveur Tableau 145 Remarques fili re GALSS 23 1 3 V rification du bon fonctionnement de la Cryptolib CPS V rification 1 Installer et configurer un poste client l ger lecteur de carte connect drivers install client RDP ou Client ICA install 2 Lancer une session distante TSE ou Citrix depuis ce poste l ger 3 Lancer l application CPS Gestion cpgesw32 exe 4 Les donn es de la carte ins r e seront affich es l cran si l installation s est bien d roul e Tableau 146 V rification installation en fili re GALSS 173 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 23 1 4 Param trage v3 v4 v5 Description E Chaque utilisateur du service TSE ou surcouche CITRIX devra donc avoir dans son r pertoire personnel WUSERPROFILE Windows un fichier galss ini De ce fait le fichier de configuration galss ini n est pas propre au serveur physique x x quina d ailleurs g n ralement pas de lecteur mais au couple poste physique l ger compte utilisateur Pour une utilisation des comptes utilisateur de mani re nomade et avec des 1 configurations de poste h t rog nes ayant des configurations de lecteurs diff rentes il faudra manuellement importer un fichier galss ini correspondant Xx X a configuration des lecteurs du poste dans le profil de l utilisateur
85. 015 Windows Ce programme n existe que sous Windows Cet utilitaire s appelle cps_ccm_pcsc exe dans la Cryptolib CPS v4 Full PC SC Il tourne en t che de fond mais ne pr sente aucune interface graphique pas d ic ne dans la barre de t che Cryptolib CPS v4 Full PC SC Tableau 33 CCM Remarques Lors de l installation le programme CCM exe est ajout la liste des programmes devant tre lanc s au d marrage du poste e via le raccourci D marrage du CCM e plac dans XALLUSERSPROFILE Microsoft Windows Start Menu Programs Startup Le programme est galement pr sent dans le menu e _ Cryptolib CPS v4 D marrer gt Programmes gt Cryptolib CPS e Cryptolib CPS v5 D marrer gt Programmes gt Sant Social gt CPS sous le nom Gestionnaire de certificats CPS Au lancement le CCM signale sa pr sence par une ic ne refl tant l tat du lecteur de carte CPS L activit de CCM est mat rialis e par la pr sence sur la barre des t ches d une ic ne sp cifique Etat Ic ne Description Signification Une carte CPS est pr sente dans le lecteur 1 EJ Cadre vert Ses certificats X 509 ont t recopi s dans le magasin Microsoft Cadre La carte CPS est en cours de lecture tat transitoire 2 jaune orange Les certificats sont en cours de copie dans le magasin clignotant Microsoft Au choix 1 Pas ou plus de car
86. 10 2 La Cryptolib CPS v5 64b doit tre install e sur les postes Windows 10 64b 3 seuls les lecteurs PC SC fonctionnent en attente d un GALSS 64b et de corrections dans le GALSS 224 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 39Annexe Table des figures Figure 1 Figure 2 Figure 3 Figure 4 Figure 5 Figure 6 Figure 7 Figure 8 Figure 9 Figure 10 Figure 11 Figure 12 Figure 13 Figure 14 Figure 15 Figure 16 Figure 17 Figure 18 Figure 19 Figure 20 Figure 21 Figure 22 Figure 23 Figure 24 Figure 25 Figure 26 Figure 27 Figure 28 Figure 29 Figure 30 Figure 31 Figure 32 Cryptolib CPS cycle de vie sur le poste de travail 24 Java V rification du plug in Java OK us 33 Java V rification du plug in Java KO nn 33 Mozilla Firefox Click to play nn 36 Cryptolib CPS logique d installation oesesssnnsnsssseseneesssseseeennrsssseserernnssssenerennnssssesereesnssee 40 GALSS Proc dure d installation ss 42 CCM Exemple de barre des t ches sous Windows avec CCM en tat 1 47 CPS Gestion Lancement de CPS Gestion sous Windows Cryptolib CPS v4 48 CPS Gestion Lancement de CPS Gestion sous Windows Cryptolib CPS v5 48 CPS Gestion Lancement de CPS Gestion 2ter ssssssssessssssisssrsssrssrir
87. 10 D termine le niveau de traces Sante PKCS11 Et Ou Sign_Hash REG_DWORD 1 Ooul Active la signature de hash HKLM Software W 0w6432Node ASIP Sante PKCS11 D termine la fr quence d appel la commande lecteur Test pr sence Carte du GALSS L intervalle minimum est fix 2 secondes Si la valeur dans la base de registre est inf rieure la valeur est ignor e Dur e en secondes t ling_time REG_DWORD 2 pc_polling_time sup rieure 2 secondes R REG_DWORD partir de la Cryptolib CPS v5 0 13 REG_SZ pour les versions 5 0 x ant rieures 16 partir de la Cryptolib CPS v5 0 13 Agence des syst mes d information partag s de sant 9 rue Georges Pitard 75015 Paris T 33 0 158 45 32 50 www asipsante fr Agir ensemble pour soigner mieux ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 Section Cl Type D faut Valeurs possibles Effet HKCU ou HKLM Param trage des fonctionnalit s CSP Software ASIP Sante CSP Les valeurs accept es EF Ou ra LEVEL _NO 0 Traces REG_DWORD 0 o Active les traces et fixe le niveau de traces HKLM Software W LOG_LEVEL_INFO gt 10 ow6432Node ASIP LOG_LEVEL DEBUG gt 40 Sante CSP LOG_LEVEL_ MAX gt 50 Param trage des fonctionnalit s CCM HKCU ou HKLM a autoDetect REG_DWORD 0 Ooul Active le mode d tection automatique ante Et
88. 13 17 29 08 CPS_LectureX509 0K 06 NOV 2013 17 29 10 CPS_VerificationX509 Certificat non v rifi 06 NOV 2013 17 29 10 CPS_CalculSign2 OK 06 NOV 2013 17 29 12 CPS_VerifSign2 OK 06 NOV 2013 17 29 12 CPS_GenereDefiAuthen OK 06 NOV 2013 17 29 12 CPS_LectureX509 0K 06 NOV 2013 17 29 15 CPS_VerificationX509 Certificat non v rifi 06 NOV 2013 17 29 15 CPS_CalculAuthen2 OK 06 NOV 2013 17 29 15 CPS_VerifAuthen2 OK 06 NOV 2013 17 29 15 CPS_LectureX509 Carte non pr vue pour ce service 06 NOV 2013 17 29 16 CPS_Genere_Alea_CPS OK Ed Imprimer y Figure 25 CPS Gestion R sum du r sultat des tests des services e K T l mis jour Gestion Lecteur Afficher 55 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 Utilisation de CPS Gestion sous Mac OS X Ce r sultat pourra tre demand dans le cadre du support technique Pour le r cup rer quitter CPS Gestion cocher les 4 fichiers sauvegarder puis valider Fichiers sauvegarder Mi CPS JOUR TXT M CPS INFO TXT MA CPS DIAG TXT PA CPS TRAC TXT Valider Annuler CARTE DE PROFESSIONNEL DE Figure 26 CPS Gestion Prise de traces CPS Gestion Les fichiers coch s sont export s dans Library Logs santesocial CPS 600 CG crs G O GEM Eey a TE E Applications P E CrashReporter E Macintosh HD_3 W E Bi
89. 131 Choix de lecteur L gende Figure 132 Choix de lecteur Logique g n rale de prise en compte de la probl matique lecteur dans un projet Sant amp Social 215 237 asSiPSanT AGENCE DES SYST MES D INFORMATION PARTAG S DESANT Cette logique permet d aborder et de r gler imm diatement toutes les questions li es au support Figure 133 Choix de lecteur Organisation des supports Agence des syst mes d information partag s de sant 9 rue Georges Pitard 75015 Paris T 33 0 1 58 45 32 50 www asipsante fr Agir ensemble pour soigner mieux ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 Ainsi que la question particuli re du choix de lecteurs PC SC Contacter l ASIP Sant 3 Non Figure 134 Choix de lecteur PC SC 217 237 asiPsanT acence vessvsr mes Les questions du choix d un lecteur destination d un parc de postes non quip s s aborde D INFORMATION i gt d parracespecanr n analysant le service d ployer Figure 135 Choix de lecteur Choix en fonction du service d ployer Si les services d ployer sont multiples il faut reparcourir l arbre de d cision afin de d tecter toute incompatibilit ave
90. 3 Installation du module de s curit CPS depuis http testssl asipsante fr Si le module de s curit CPS pour Firefox n est pas install il est possible de le faire depuis http testssl asipsante fr Installation du module de s curit CPS depuis http testssl asipsante fr En cliquant sur le lien Installeur XPI de l extension CPS pour Firefox Installeur XPI de l Extension CPS pour Firefox Configuration du P riph rique PKCS11 et int gration des Certificats racine ASIP Sante CPS Site Web TEST SSL ASIP Sant Figure 72 Firefox Installation du module de s curit CPS depuis http testssl asipsante fr Tableau 57 Firefox Installation du module de s curit CPS depuis http testssl asipsante fr 14 2 4 Installation manuelle du module de s curit CPS Si le module de s curit CPS pour Firefox n est pas install il est possible de le faire manuellement Installation manuelle du module de s curit CPS Charger un p riph rique PKCS 11 EmmS Saisissez les informations sur le module que vous voulez ajouter Parcourir Annuler oduldde s curit Nom du module Nom de fichier du module Figure 73 Firefox Param trage du Nom du module entrer Module de s curit CPS Nom de fichier du module S lectionner le fichier suivant 89 237 ASIP Sant Manuel d installation et d utilisation d
91. 509 d authentification de la carte CPx utiliser En cas de succ s de l authentification la page suivante appara t 1 TESTSSL pour Librairies Crypto GIP CPS Mozilla Firefox x File Edit View History Bookmarks Tools Help TESTSSL pour Librairies Crypt lt la asipsante fr e Br a L Eu His ASIP Sante C Aaaa esante goun iegeuteurs cpe astuente i Information sur votre carte CPS Valeurs IGC CPS 4 ORGANISATION GIP CPS AUTORITE GIP CPS STRUCTURE CLASSE GIP CPS CLASSE 3 IDENTITE Pr nom FLORENT Nom DESGRIPPES Identifiant 518751275100020 0000000311 Ville Paris 75 Certificat d AUTHENTIFICATION N de s rie 88B1CA Cr le Dec 26 00 00 01 2012 GMT Expire le Dec 31 21 59 59 2015 GMT V rification SUCCESS Cert X509 i Firefox automatically PR ae a pee so that we can improve your experience Choose What Share x Figure 78 Authentification sous Firefox Linux TestSSL OK Tableau 59 Firefox Linux Connexion HTTPS L apparition de cette page garantit que l installation des composants logiciels s est d roul e correctement 91 237 asSiPSanT AGENCE DES SYST MES D INFORMATION PARTAG S DE SANT 15installations et utilisations avanc es 15 1 Contr les des fichiers logiciels install s Le tableau suivant r sume l emplacement des diff rents composants sur le poste Les Release Notes restent la r f rence pour ce type d information Module Compos
92. 74C6EFF 8591 48AB 94AB D9DC35F9BB5E qn Appliquer la proc dure GALSS Proc dure de sauvegarde du fichier galss ini en 3 supprimant les fichiers galss ini le d sinstalleur du GALSS ne supprime pas les fichiers galss ini Tableau 96 GALSS Proc dure de d sinstallation compl te sous Windows 129 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 17 1 2 Cryptolib CPS 17 1 2 1 Mont e de version La proc dure de mont e de version de la Cryptolib CPS sous Windows est la suivante Cryptolib CPS Proc dure de mise jour de la Cryptolib CPS Ex cuter le package d installation de la Cryptolib CPS cible L installeur se charge de d tecter 1 les versions de la Cryptolib CPS d j pr sentes de mettre jour la Cryptolib CPS vers la version cible et de mettre jour les informations dans le syst me Tableau 97 Cryptolib CPS Proc dure de mise jour sous Windows 17 1 2 2 D sinstallation Les proc dures de d sinstallation de la Cryptolib CPS sous Windows sont les suivantes au choix Cryptolib CPS Proc dure de d sinstallation compl te de la Cryptolib CPS 1 Ex cuter le package d installation de Cryptolib CPS de la m me mani re que lors de la phase d installation La confirmation de la d sinstallation est demand e D sinstaller la Cryptolib CPS via 1 Panneau de configuration 21 2 Programmes et fonctionna
93. 76 Tableau 149 V rification installation en fili re PC SC ire 176 Tableau 150 Param trage fili re PC SC iii 176 Tableau 151 Chemins des profils utilisateur osssssessnssssessrensrsssseserernrssssrerernnssssrsereesnsssserereesnssno 177 Tableau 152 Param tres de la commande Change user 178 Tableau 153 Fonctionnement de la commande Change user 179 Tableau 154 Param tres de la commande Change port 180 Tableau 155 Fonctionnement de la commande Change port 180 Tableau 156 Installation des applications sur Terminal Server M thodes ssssssssssnsssseseseesesses 181 Tableau 157 Installation des applications sur Terminal Server M thode 1 181 Tableau 158 Installation des applications sur Terminal Server M thode 2 182 Tableau 159 Installation des applications sur Terminal Server M thode 3 182 Tableau 160 Exemple de fichier GALSS INI pour un poste utilisant un lecteur bi fente 00002 184 Tableau 161 Exemple de fichier GALSS INI pour un poste utilisant deux lecteurs PC SC 185 Tableau 162 Windows Configuration Rendre tous les ic nes toujours visibles via la base de reBistr s mens Re rene dre er eee Ole dE cr ne te ne re dE 188 Tableau 163 Bilan fichier manifest attribut requestedExecutionLevel 190 Tableau 164 Guidelines logiciels Poste de travail nnnnssonsens
94. 9 5 2 API CPS L API CPS ensemble de fonctions de haut niveau permettant d acc der aux informations de la carte est d pr ci e deprecated Les diteurs pourront se tourner progressivement vers la nouvelle API PKCS 11 de la Cryptolib CPS V5 152 237 ASIP Sant 19 5 3 PKCS 11 Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 La Cryptolib CPS apporte un composant Cryptoki pour Windows Mac OS X et Linux Il est donc possible d int grer la CPS via l API PKCS 11 Les documents de r f rence pour effectuer une int gration logicielle au niveau PKCS 11 sont les suivants Cryptolib CPS v5 12 Manuel de programmation de la Cryptolib CPS v5 13 Documentation programme d exemple de la Cryptolib CPS v5 14 Sp cifications externes PKCS 11 de la Cryptolib CPS v5 16 Impacts de la migration Cryptolib CPS v4 vers la Cryptolib CPS v5 Tableau 125 Cryptolib CPS v5 documents de r f rence pour int gration PKCS 11 Acc s concurrents Les acc s concurrents sont g r s via un gestionnaire de sessions Recommandations Fortement recommand e du fait de la large diffusion et adoption Recommand pour les solutions pr voyant une gestion fine des erreurs et des v nements lecteurs et cartes Recommand pour les solutions cherchant la conformit avec le RGS SHA256 et signature IAS ECC Langage C C Java via JNI CH NE
95. AS CPS3v1 IdCarteLog Tableau 170 Gestion des identifiants CPx via C_GetTokeninfo et TOKEN_INFO 198 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 32Annexe Ecosyst me CPx Ce tableau recense les produits logiciels con us autour de la carte CPx Produits Description 1 cleocPs G n ration de bi clefs de confidentialit g n ration de certificat C4 r vocation de certificats 2 TestSSL Serveur de test d authentification par carte CPx 3 ODI Outil de Diagnostic et d Installation 4 Outil de d biocaserart CPx Outil en ligne sur le site sante gouv fr permettant le d blocage en ligne d une carte CPx Tableau 171 Ecosyst me CPx 199 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 33Annexe Description de l installeur Cryptolib CPS v5 CPS Gestion v4 fili re GALSS v4 1 7 CSP TokenD v4 Full PC SC v1 14 PKCS 11 Composants Installeur v5 Figure 128 description de l installeur Cryptolib CPS v5 Par d faut l installeur Cryptolib CPS v5 installe les composants v5 ainsi que les composants Cryptolib CPS v4 GALSS CPS Gestion v4 fili re GALSS v4 1 7 CSP TokenD PKCS 11 Composants Installeur v5 Figure 129 r sultat de l installation de la Cryptolib CPS v5 par d faut Ceci permet notamment d assurer qu une application fonctionnant avec
96. Agence des syst mes d information partag s de sant 9 rue Georges Pitard 75015 Paris T 33 0 1 58 45 32 50 www asipsante fr Agir ensemble pour soigner mieux Tableau 87 Linux Param trage de la Cryptolib CPS v5 asiPsanT onoma 16 3 Configuration de la Cryptolib CPS sous Apple Mac OS X PARTAG S DE SANT 16 3 1 Param trage de la Cryptolib CPS v5 Avec l installeur PKG v5 0 7 pour Mac OS X le fichier de configuration cps3_pkcs11 conf se trouve dans le dossier Library Preferences santesocial CPS Les param tres de configuration support s avec la Cryptolib CPS v5 sous Mac OS sont Section Cl Type D faut Valeurs possibles Effet traces active boolean active false true ou false nu o ENS Library Preferences s LL antesocial CPS cps3_p active false kcs11 conf debug 0 debug string debug 0 N A O ou 10 active les traces internes cps3opsc_ log Tableau 88 Mac OS Param trage de la Cryptolib CPS v5 Agence des syst mes d information partag s de sant 9 rue Georges Pitard 75015 Paris T 33 0 1 58 45 32 50 www asipsante fr Agir ensemble pour soigner mieux asSiPSanT AGENCE DES SYST MES D INFORMATION 16 3 2 Edition des fichiers de configuration PARTAGES DE SANTE Ce chapitre s applique en particulier l dition du fichier de configuration cps3_pkcs11 conf Si les droits du fichier sont correctement d finis l dit
97. C SC est pr sente Tableau 71 Installeurs Cryptolib CPS Crit res d installation de la version Full PC SC 15 2 5 4 Enregistrement manuel du CSP Le CSP ASIP Sant fourni dans la Cryptolib CPS prend la forme d une DLL L installeur MSI de la Cryptolib CPS fourni par ASIP Sant enregistre le CSP ASIP Sant aupr s du syst me conform ment aux sp cifications de Microsoft Le CSP ASIP Sant peut n anmoins tre enregistr manuellement et son installation v rifi e en consultant l entr e suivante de la base de registre Menu D marrer gt Ex cuter gt regedit gt OK Windows XP ou Menu Windows gt Rechercher les programmes ou fichier gt regedit gt touche entr e Windows 7 CRC 2x Entrez le nom d un programme dossier document ou gt Rechercher partot d une ressource Internet et Windows l ouvrira pour vous regedit M Ouvrir Annuler Parcourir Figure 97 Windows Lancement de l diteur de base de registre 107 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 Archi Cl x86 HKEY_LOCAL_MACHINE SOFTWARE Microsoft Cryptography Defaults Provider ASIP Sante x64 Cryptographic Provider HKEY_LOCAL_MACHINE SOFTWARE Wow6432Node Microsoft Cryptography Defaults Pro x64 z vider ASIP Sante Cryptographic Provider historiquement x86 HKEY_LOCAL_MACHINE SOFTWAR
98. CITANT NS Ce R1 Nom de fichier du module Parcourir am Figure 57 Firefox Param trage du module de s curit Entrer Nom du module Module de s curit CPS Nom de fichier du module Par ordre de pr f rence Version Syst me PKCS 11 Archi Commande PKCS 11 1 v5 Win 32 bit x86 windir System32 cps3_pkcs11_w32 dll PKCS 11 2 v5 Win 32 bit x64 windir SysWOW64 cps3_pkcs11_w32 dll v4 PKCS 11 X86 r i i Li 3 GALSS Win 32 bit pa windir cps_pkcs11_w32 v4 Full PKCS 11 aA 5 PC SC Win 32 bit x86 windir System32 cps_pkcs11_pcsc_w32 dll v4 Full PKCS 11 PEE 6 PC SC Win 22 bit x64 windir SysWOW64 cps_pkcs11_pcsc_w32 dll Figure Cryptolib CPS Firefox Configuration du module de s curit CPS 3 Valider les param tres en appuyant sur OK 81 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 p z FA Installation manuelle du module de s curit CPS TE E i La fen tre suivante est mise Jour Gestionnaire de p riph riques NN ESS Gestionnaire de p riph riques lala es Modules et p riph riques de s curit D tails Valeur Connexion Modules et p riph riques de s curit D tails Valeur Connexion ANSS Internal PKCS 11 Module Statut Non connect ANSS Internal PKCS 11 Module Statut Non connect Service de crypto g n rique Description PC SC reader on GALSS CPS TT Service de crypto g n rique Des
99. E Microsoft Cryptography Defaults Provider cps_csp_w 32 Tableau 72 Cl s de registre du CSP ASIP Sant Valeurs Type D faut Exemple Description C Windows syste Chemin vers la o o Image Path REG_SZ AN INDIR ASys REC m32 cps3_csp_w6 DLL du CSP voir cps3_csp_w 32 64 dll lt i 4 dll section ci apr s SiginFile REG_DWORD 0x00000000 0x00000000 Type REG_DWORD Ox00000001 0x00000001 pe YP PROV_RSA FULL Tableau 73 Valeurs pour les cl s de registre du CSP ASIP Sant 108 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 15 2 5 5 Windows 7 Association manuelle de la carte CPx avec le CSP A partir de Windows Vista l OS cherche syst matiquement associer une carte puce ins r e dans un lecteur PC SC avec un pilote de carte puce Le pilote de carte puce est en fait un CSP et l association se fait sur la base de l ATR ATS de la carte Seul l installeur de la Cryptolib CPS v5 assure la d claration du mapping carte CPx CryptoliBiCPS NS esp ete Tableau 74 Cryptolib CPS v5 Mapping carte CPx CSP ASIP Sant Volet Variable Valeur ASIP_SMARTCARDS_CRYPTO ASIP Sante Cryptographic Provider ASIP_SMARTCARDS_TAG Carte de Professionnel de Sante CPS3 AR ASIP_SMARTCARDS_ATR 3b00000000001225006480000000009000 ASIP_SMARTCARDS_ATRMASK ffO0000000ffffffffffffOooo000ffffff ASIP_SMARTCARDS_CRYPTO ASIP Sante C
100. Edge plus bas Tableau 174 Points d attentions et contournements 213 237 asSiPSanT AGENCE DES SYST MES D INFORMATION PARTAG S DE SANT 37 Annexe Choix de lecteur Compte tenu des sp cificit s Sant amp Social PSS pas de GALSS 64b Cryptolib CPS 64b en v5 seulement sans contact Smartcard Logon seulement avec les PC SC le choix d un lecteur de carte peut tre un peu compliqu quand on part de z ro La question du choix de lecteur est donc une question r currente Etant entendu que l ASIP Sant ne pr conise de lecteurs ni terme de types ni en terme de fabricants mod les l ASIP Sant oriente les choix en rappelant 1 Les crit res de conformit s vis vis de standards internationaux reconnus PC SC USB CCID 2 Les crit res de support fabricants de lecteur OS 3 Les crit res de grille de compatibilit support diteurs grilles de compatibilit des services ASIP Sant qui dans ce cas joue le r le d diteur int grateur 4 Les crit res de tests test de logiciels vis vis de lecteurs particuliers veille 5 Les crit res de co ts d acquisition et de possession La question du choix de lecteur est souvent un faux probl me au niveau projet sachant que le parc vis est assez souvent d j pr quip en lecteurs Elle m rite cependant d tre isol e pour pouvoir challenger un projet donn un moment donn e sile proje
101. Figure 124 Windows Configuration Param trage des ic nes de la zone de configuration 195 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 La fen tre suivante appara t Cocher l option Toujours afficher toutes les ic nes et les notifications sur la barre des t ches Panneau de configuration Tous les Panneaux de configuration Ic nes de la zone de notification iol xj Gt Jv le Tous les Panneaux de configuration Ic nes de la zone de notification X F1 Rechercher 6 S lectionnez les ic nes et les notifications qui apparaissent sur la barre des t ches Si vous masquez des ic nes et des notifications vous ne serez pas averti des modifications et mises jour Pour afficher les ic nes masqu es diquez sur la fl che pr s de la zone de notification sur la barre des t ches Ic nes Comportements F Centre de maintenance R soudre les probl mes d ordinateur Ma R seau R seau non identifi Pas d acc s r sea L Volume Haut parleurs muet Graphiques HD Intel R e Afficher uniquement les notifications B Retirer le p riph rique en toute s curit o Privoxy Privoxy Activer ou d sactiver les ic nes syst me Figure 125 Windows Configuration Afficher tous les ic nes Ceci permet d avoir tout le temps sous les yeux l tat du lecteur de carte et de la carte dans le lecteur de carte
102. G n ral D tails Chemin d acc s de certification Chemin d acc s de certification GIP CPS STRUCTURE A GIP CPS CLASSE 2 ES S000000000 1 0413 7 Figure 107 Exemples de cha nes de confiance de CPS Figure 108 d une CPS2bis CPA Figure 109 d une CPS2ter CPS et CPF Figure 110 d une CPS2ter CDE Les donn es contenues dans les certificats ASIP Sant gabarits sont exhaustivement d crites dans 26 167 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 22Annexe Installation du lecteur Xiring Prium 3S Ingenico IHC800 Figure 111 lecteur Xiring Prium 3S Ingenico IHC800 Aspect Description Pr sentation http healthcare eid ingenico com solution guichet aspx Brochure http healthcare eid ingenico com iso album inghe id fiche prium 3s_vfr pdf http www distrimed com telechargement SESAM VITALE Pilotes 20Ingenic Les drivers sont aussi fournis par le GALSS r pertoire C INSTALLS GALSS 32b Extract CommonAppData santesocial galss inf Lecte ur1 voir Gestion avanc e des drivers lecteur GIE SESAM Vitale Ces drivers sont Driver USB xcomusbvista32 cat XComUsbVista32 inf xcomusbvista64 cat XComUsbVista64 inf xcomusbxp32 cat XComUsbXp32 inf xcomusbxp64 cat XComUsbXp64 inf 168 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015
103. Manuel d installation et d Utilisation de la Cryptolib CPS v5 1 2 du 09 07 2015 AGENCE DES SYST MES D INFORMATION PARTAG S DE SANT asSiPSanT AGENCE DES SYST MES D INFORMATION PARTAG S DE SANT Manuel d installation et d utilisation de la Cryptolib CPS ASIP Sant PUSC PSCE Version 5 1 2 du 09 07 2015 Historique du document Version Date Auteur Commentaires 5 0 9 12 09 2014 ASIP PTS PSCE Java blocage du plugin par Internet Explorer 11 Limitation Mac OS X 10 10 Utilisation certificats CPx avec BouncyCastle et limitations 5 0 10 12 11 2014 ASIP PUSC PSCE Pr cisions dans la pr sentation de la CPx S curit changement de code porteur S curit 18 2 Certificats et cl s priv es 3 l ments Corrections fichiers install s sous Windows Utilisation avanc e du GALSS activation des traces en 3 40 01 Contacts en 2 sous parties Pr requis mat riels USB CCID et listes AT_0160 et AT 0170 XPI et anti malware Choix de lecteur ODI gestion cache Java 5 1 0 02 03 2015 ASIP PUSC PSCE ODI v5 liste des limitations CSP v5 MSSant Info Service Cryptolib CPS v5 0 15 Windows CSP Chrome 41 Agence des syst mes d information partag s de sant 9 rue Georges Pitard 75015 Paris T 33 0 1 58 45 32 50 www asipsante fr Agir ensemble pour soigner mieux ASIP Sant M
104. Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 23 2 Description de l installation Full PC SC Pour la version PC SC et en environnement Client serveur aucune manipulation particuli re pr sence pr alable de lecteur de carte n est n cessaire pas de GALSS install 23 2 1 Architecture L installation d crite ci apr s vise installer les l ments logiciels suivants vue cran client Session Client TSE Citrix TSE Citrix PC SC Bridge Guest Client l ger TSE RDP Citrix ICA Figure 117 Architecture Cryptolib CPS TSE Citrix en fili re PC SC 175 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 23 2 2 D roulement La proc dure doit tre d marr e sous un compte administrateur du serveur v3 v4 v5 x x x Lancer le setup d installation de la Cryptolib CPS PC SC pour Windows le le Suivre ensuite le d roulement de l installation comme indiqu dans le manuel d installation standard de la Cryptolib CPS PC SC Tableau 148 Installation en fili re PC SC 23 2 3 V rification du bon fonctionnement de la Cryptolib CPS V rification 1 Lancer l application CPS Gestion cpgesw32 exe 2 Les donn es de la carte ins r e seront affich es l cran si l installation s est bien d roul e Tableau 149 V rification installation en fili
105. PS v5 0000 000 84 Figure 64 Authentification sous Firefox S lection du certificat ossnnnsseneossenenssenensseneesserenssenne 84 Figure 65 Authentification sous Firefox TestSSL OK 85 Figure 66 Firefox Linux Param trage du module de s curit nonnnnsenossneesseoeessenenssenensseeeesseene 86 226 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 Figure 67 Figure 69 Figure 70 Figure 71 Figure 72 Figure 73 Figure 74 Figure 76 Figure 77 Figure 78 Figure 79 Figure 80 Figure 81 Figure 82 Figure 83 Figure 84 Figure 85 Figure 86 Figure 87 Figure 88 Figure 89 Figure 90 Figure 91 Figure 92 Figure 93 Figure 94 Figure 95 Figure 96 Figure 97 Figure 98 Figure 99 Extension Firefox ASIP Sant Module de s curit ASIP Sant en pr sence d une carte RS E T E A E T 87 Extension Firefox ASIP Sant Module de s curit ASIP Sant en pr sence d une carte I E A A E AA E A E T T en R 87 Extension Firefox ASIP Sant V rification magasin de certificats 88 Extension Firefox ASIP Sant V rification magasin de certificats 88 Extension Firefox ASIP Sant V rification magasin de certificats 88 Firefox Installation du module de s curit CPS depuis http testssl asipsante fr 89 Firefox Param trage du module de s curit 89 Extensio
106. RE_RNG PP_KEYSET_TYPE PP_KEYSET_TYPE CPGetUserKey Requise Impl ment CPHashData Requise Impl ment CPHashSessionKey Requise Non impl ment Permet de hasher une cl de session dont le handle est pass en param tre CPImportKey Requise Impl ment Agence des syst mes d information partag s de sant 9 rue Georges Pitard 75015 Paris T 33 0 158 45 32 50 www asipsante fr Agir ensemble pour soigner mieux ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 API Disponibilit CSP Disponibilit ASIP CSP CPS3 v2 10 0 Cryptolib CPS 5 0 13 CSP CPS3 v2 11 0 Cryptolib CPS 5 0 15 CPReleaseContext Requise Impl ment CPSetHashParam Requise Impl ment valeurs non prises en compte de valeurs non prises en compte de CPSetKeyParam Requise Impl ment avec carts dwParam KP_SALT KP_PERMISSIONS dwParam KP_SALT KP_PERMISSIONS KP_PADDING KP_MODE KP_KEYVAL KP_PADDING KP_MODE KP_KEYVAL valeurs non prises en compte de valeurs non prises en compte de dwParam dwParam PP_SIGNATURE_ PIN eq PP_SIGNATURE_ PIN eq CPSetProvParam Requise Impl ment avec carts PP_EXCHANGE PIN PP_EXCHANGE_ PIN PP_USE HARDWARE_RNG PP_USE_HARDWARE_RNG PP_SMARTCARD_READER PP_SMARTCARD_READER PP_SMARTCARD_GUID PP_SMARTCARD_GUID CPSignHash Requise Impl ment CPVerifySignature Requise Impl ment CPDuplicateHash Optionnelle Non impl ment CPDuplicateKey Optionnelle Non impl
107. S 09 07 2015 23 4 2 Commande change port changer le port R pertorie ou modifie les mappages du port COM pour maintenir la compatibilit avec les applications MS DOS 23 4 2 1 Syntaxe Change port portx porty d portx query 23 4 2 2 Param tres portx porty Mappe le port COM x au port y d portx Supprime le mappage du port COM x query Affiche les mappages de port actuels Affiche l aide l invite de commandes Tableau 154 Param tres de la commande Change port 23 4 2 3 Remarques R Remarques sur l utilisation de la commande Change port La plupart des applications MS DOS ne prennent en charge que les ports s ries COM1 COM La commande change port mappe un port s rie vers un autre num ro de port permettant ainsi aux applications qui ne g rent pas un nombre important de ports COM d acc der au port s rie 1 ii Par exemple pour mapper le port COM12 au port COM1 afin de le rendre utilisable par une application MS DOS il suffit d entrer la commande change port com12 com1 La modification de mappage ne fonctionne que pour la session en cours Cette modification n est pas conserv e lorsqu une session est ferm e puis rouverte 2 Utilisez la commande change port sans param tres pour afficher les ports COM disponibles et leurs mappages actuels Tableau 155 Fonctionnement de la commande Change port 180 237 ASIP San
108. T via P Invoke Plates formes Windows 32b et 64b Linux 32b et Mac OS X 32b et 64b Tableau 126 Cryptolib CPS v5 recommandations pour int gration PKCS 11 Cryptolib CPS v5 Les impl mentations PKCS 11 de la Cryptolib CPS v4 et de la Cryptolib CPS v5 sont l g rement diff rentes Il est toutefois possible d impl menter une solution ind pendante du PKCS 11 Cryptolib CPS v4 et PKCS 11 Cryptolib CPS v5 fonctionnant pour les 2 DLL PKCS 11 sans tomber dans le if then else voir 16 Impacts de la migration Cryptolib CPS v4 vers la Cryptolib CPS v5 et sp cifications PKCS 11 Tableau 127 Cryptolib CPS Recommandation d utilisation de API PKCS 11 23 2 N cessite un compte sur integrateurs cps s adresser editeurs asipsante fr 153 237 ASIP Sant 19 5 4 CSP Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 La Cryptolib CPS apporte une DLL CSP pour Windows Il est donc possible d int grer la CPS via l API CryptoAPlI de Microsoft L int gration au niveau CSP est recommand e sous Windows cette interface tant largement diffus e et adopt e Cryptolib CPS Using Cryptography v5 Using Certificates Tableau 128 Cryptolib CPS v5 documents de r f rence pour int gration CSP Acc s concurrents cryptographique Les acc s concurrents sont g r s via l acquisition d un contexte Recommand
109. V rification du Module de s curit CPS sssssssssssisssssreesserssrsessrserssrnsessenessns 78 Tableau 49 Contr les Contr le de l tat du Magasin Firefox 80 Tableau 50 Contr les Contr le de l tat du Magasin Firefox Gestion des erreurs 80 Tableau 51 Firefox Installation du module de s curit CPS depuis http testssl asipsante fr 80 Tableau 52 Firefox Installation manuelle du module de s curit CPS 82 Tableau 53 Firefox Module de s curit CPS antivirus et anti malware essssssssesserrrrisseerrrrrreeseees 82 Tableau 54 Firefox Connexion HTTPS sssssssesssessseesseessressressresstessressrenstenssenssrusesnnssnnssrnssesssennsessees 85 Tableau 55 Firefox Linux V rification du Module de s curit CPS 87 Tableau 56 Firefox Linux V rification du magasin de certificats 88 Tableau 57 Firefox Installation du module de s curit CPS depuis http testssl asipsante fr 89 Tableau 58 Firefox Installation manuelle du module de s curit CPS 90 Tableau 59 Firefox Linux Connexion HTTPS inserer 91 Tableau 60 V rification des ressources install es ss 93 Tableau 61 MSI D tails des param tres de la ligne de commande d installation MSIEXEC pr conis e pana R a tte et ee M in PR tnt trente en Tnt secte tonte PEU 94 Tableau 62 Lecteur GIE SESAM Vitale Proc dure d extraction des drivers 96 Tableau 63 Lecteur GIE SESAM Vitale V rific
110. Windows Cryptolib CPS v4 D marrer gt Sant social gt CPS gt Gestionnaire de la carte CPS db Sant Social M Gestionnaire de certificats CPS TP Gestionnaire de la carte CPS J Smartcard Softerra LDAP Browser 4 5 64 bit D StarumL di Symantec Endpoint Protection Cryptolib CPS v5 4 Pr c dent Figure 9 CPS Gestion Lancement de CPS Gestion sous Windows Cryptolib CPS v5 Tableau 27 CPS Gestion Lancement sous Windows 48 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 12 2 Fonctionnalit s de CPS Gestion Les fonctionnalit s de CPS Gestion sont accessibles via le menu sup rieur et sont les suivantes Cat gorie Fonctionnalit Commentaires 1 Test de lecteur Gestion lecteur 2 Changement de lecteur 3 Changement de carte dans le lecteur 4 Saisie de code porteur Gestion carte 5 Changement de code porteur 6 D blocage de code porteur 7 Lecture de donn es 8 Lecture et enregistrement X 509 Services CPS 9 Lecture Situation 10 Tests des services 11 Journal CPS JOUR TXT 12 Donn es CPS CPS INFO TXT Affichage et sauvegarde 13 Diagnostics CPS DIAG TXT 14 Traces CPS TRAC TXT Tableau 28 CPS Gestion Liste des fonctionnalit s 49 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 12 3 Lance
111. Windows 2008 Server R2 SP2 64 bits janvier 2020 6 Apple Mac OS X 10 7 S 5 7 MacOSX Apple Mac OS X 10 8 N A 5 A 8 Apple Mac OS X 10 9 Fedora 19 RPM Pr f rer les versions S LTS a Redhat RPM Mint Linux DEB 9 Linux Mageia ex Mandriva Linux RPM Pr f rer les versions Ubuntu DEB ELR Consulter l ASIP Sant openSUSE RPM Debian DEB L ASIP Sant n met aucune recommandation particuli re concernant les syst mes d exploitation Tableau 9 Pr requis Syst me d exploitation 8 Suite la fin de support de Windows XP par Microsoft intervenue le 08 04 2014 l ASIP Sant continue d assurer le support technique jusqu au 15 avril 2015 sur les livrables diffus s jusqu au 08 avril 2014 Cf ort Windows XP pour plus d information i Apple Mac OS X 10 6 n est plus support par l ASIP Sant depuis le premier semestre 2014 27 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 9 3 Pr requis logiciels Pr requis logiciels pour l installation et l utilisation de la Cryptolib CPS des antivirus activ s Description Pr cisions Navigateurs e Microsoft Internet Explorer f N cessaires pour une installation via 1 e Google Chrome ODI e Mozilla Firefox e Safari N cessaires pour une installation via ODI 2 Oracle Java Virtual Machine JVM 1 6 Attention aux acti
112. act de la carte CPS3 tient compte des consid rations de s curit s induites par le sans fil En particulier les donn es expos es en sans contact peuvent tre lues l insu du porteur de la carte cas d un porteur de lecteur de carte sans contact dans un lieu public par exemple Le volet sans contact de la carte CPS3 a donc fait l objet d un d p t de dossier CNIL qui encadre le type d informations expos es Dans ce contexte les donn es accessibles en sans contact sont des donn es non nominatives et non reliables au porteur de la carte e Le certificat X 509 sans contact est un certificat technique non nominatif e l n existe aucun fichier de correspondance entre num ro de s rie sans contact et carte physique 18 9 Antivirus La Cryptolib CPS n est pas test e au regard des antivirus disponibles sur le march Aucune anomalie relative des dysfonctionnements de la Cryptolib CPS avec des antivirus n est actuellement connue Certains antivirus apportent un fonctionnement dit en bac sable sandbox qui leur permet d isoler un ex cutable qu ils voient s ex cuter pour la premi re fois sur le poste Ces antivirus affichent alors des messages suppl mentaires l utilisateur lorsque les MSI s installent ou que les ex cutables sont actifs L ergonomie de l installation ou de l ex cution des services peut ainsi tre alt r e Un param trage suppl mentaire li l antivirus en
113. ailer contiendra toujours l ancien code porteur Tableau 108 Cryptolib CPS Avertissement changement de code porteur et proc dure de recouvrement 18 4 4 Cache des codes porteur et d blocage La Cryptolib CPS ne maintient pas de cache du code porteur le code porteur saisi est transmis la carte et n est pas conserv La carte CPx g re en interne un tat code porteur pr sent et non pas une valeur de code cf ISO 7816 et normes IAS ECC Cet tat est consultable par la Cryptolib CPS et peut donc tre remont aux applications Les m mes remarques sont valables pour le code de d blocage 137 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 18 5 Cache de fichiers carte Cryptolib CPS Cache de fichier carte m Cryptolib CPS v4 Seuls les certificats de la carte CPx sont mis en cache dans le fichier ccert bin l ensemble des certificats correspondant aux cartes lues sur le poste se retrouve dans cet unique fichier Ces donn es ne sont pas confidentielles Le fichier ccert bin doit tre accessible en lecture criture ALLUSERSPROFILE santesocial cps coffre ccert bin ccert bin N Cryptolib CPS v5 La Cryptolib CPS v5 maintient un cache des fichiers des cartes CPx lues sur le poste Ce cache prend la forme d un r pertoire cache qui contient autant de fichiers que le poste n a vu de cartes et de
114. aires suivants PP Extension CPS 6 0 2 686 Mozilla Firefox brows N installez que des modules compl mentaires dont les auteurs ont votre confiance Autoriser cette installation endant dans Continuer Figure 61 fen tre d installation du module de s curit 2 Un antivirus ou un anti spyware a t ex cut sur la machine et a pu d sactiver le module 83 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 14 1 6 Connexion HTTPS Firefox Connexion HTTPS Lancer Firefox et saisir dans la zone adresse e http testssl asipsante fr puis cliquer sur le lien e https testssl asipsante fr La fen tre suivante appara t Mot de passe requis xj y Veuillez saisir le mot de passe principal de CPS 2200467948 2 I Figure 62 Authentification sous Firefox Saisie du code porteur avec la Cryptolib CPS v4 1 w ee mm _ Mot de passe requis Q Veuillez saisir le mot de passe principal de CPS3v1 2400158479 Figure 63 Authentification sous Firefox Saisie du code porteur avec la Cryptolib CPS v5 Saisir les 4 chiffres du code porteur de la carte CPS r Accepter et valider les diff rents messages jusqu voir celui ci Requ te d identification d utilisateur a testssl asipsante fr 443 Organisation GIP CPS mis sous GIP CPS Ce site vous demande de vous
115. alss ini Cette valeur peut tre chang e par manipulation sur le lecteur auquel cas cette valeur doit tre report e en coh rence dans le galss ini cf la documentation du lecteur pour la configuration de ce param tre Lecteur mono fente NF CPS connect sur un port COM La valeur constructeur par d faut de l adresse physique PAD de ce type de lecteur est configur e 0 L installeur du GALSS met la valeur du PAD 0 dans le fichier galss ini Cette valeur peut tre chang e par manipulation sur le lecteur auquel cas cette valeur doit tre report e en coh rence dans le galss ini cf la documentation du lecteur pour la configuration de ce param tre Lecteur mono fente PC SC quel que soit son type de connexion Il faut que le lecteur soit physiquement connect la machine et que son pilote driver PC SC ait t pr alablement install avec succ s driver rechercher aupr s du fournisseur Il est galement conseill d avoir effectu un arr t et un red marrage de la machine pour une bonne prise en compte du lecteur PC SC La carte CPx est ins r e dans le lecteur Un ventuel red marrage de la machine est anticip Tous les documents fichiers ou applications sensibles sont ferm s Toutes les applications ou utilitaires acc dant la CPS sont ferm s Les navigateurs et outils de messagerie sont ferm s Tableau 21 Pr paration d
116. anagement system EPM Enhanced Protected Mode Mode prot g am lior ES Etablissement de Sant ESR Extended Support Release FAQ Foire Aux Questions FOT Facturation en ordre transparent nouveau projet du GIE SESAM Vitale permettant la facturation lectronique avec des lecteurs PC SC FSE Feuille de Soins Electronique GALSS Gestionnaire d Acc s au Lecteur Sant Social GPL General Public License HTTP Hypertext Transfer Protocol HTTPS Hypertext Transfer Protocol Secure IAS ECC Identification Authentification Signature European Citizen Card IE Microsoft Internet Explorer IGC Infrastructure de Gestion de Cl s PKI en anglais ou Infrastructure Cl s Publiques i e ICP ISO International Organization for Standardization JCA Java Cryptographic Architecture JCE Java Cryptographic Extension LPS Logiciel de Professionnel de Sant 18 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 Abr viation Signification LTS Long Term Support MS Microsoft MSI Microsoft Windows Installer package d installation Microsoft MSSant Messageries S curis es de Sant OASIS Organization for the Advancement of Structured Information Standards ODI Outil de diagnostic et d installation OS Operating System Syst me d exploitation OSI Open Systems Interconnection OSM Outils S curis s de Messagerie PGSSI S P
117. ant Windows Linux Mac OS X GALSS gestionnaire d acc s aux lecteurs Support Galss Gestion Client galclw32 dil libgalcllux so galclosx framework Information Poste galinw32 dil libgalinlux so galinosx framework GALSS WINDIR galssw32 dil usr local galss libgalsslux so Library Frameworks galssosx framework Protocole PCSC pcscw32 dil libpcsclux so pescosx framework Protocole PSS pssinw32 dil libpssinlux so pssinosx framework A PE galss ini galss ini Configuration WINDIR galss ini usr local galss io_comm ini Library Preferences i _comim ini Lib Applicati Gestion Serveur WINDIR galsvw32 exe usr local galss galsvlux Library Application galsvosx a Remarque sur un poste d j quip d un lecteur et d une solution de FSE le setup Cryptolib CPS par d faut ne modifie pas la couche GALSS Seules les couches API CPS et Cryptolib CPS sont mises jour dans ce cas Pour forcer la mise jour du composant GALSS supprimez ou renommez le fichier galss ini existant avant de lancer l installation Agence des syst mes d information partag s de sant 9 rue Georges Pitard 75015 Paris T 33 0 1 58 45 32 50 www asipsante fr Agir ensemble pour soigner mieux ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 Module Composant Windows Linux Mac OS X cpsw32 dil libcpslux so cpsosx framework
118. anuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 Historique du document Version Date Auteur Commentaires 5 1 1 08 04 2015 ASIP PUSC PSCE ODI v5 Java limitations Chrome 42 NPAPI AT_0200 Cryptolib CPS v5 0 16 Windows 5 0 7 Linux 5 0 15 Mac OS X PKCS 11 unused bit 5 1 2 29 05 2015 ASIP PUSC PSCE MAJ contacts supports AT210 C r gression CSP AT220 Windows 10 Spartan Edge MAJ liens hypertextes 37237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 1 R f rences Documents de r f rence N Version Date Auteur Document 0 1 0 0 21 02 2011 ASIP Sant Licence d utilisation de la Cryptolib CPS 1 1 1 0 21 10 2013 ASIP Sant Site int grateurs 2 4 0 11 06 08 2013 ASIP Sant Outil de Diagnostic et d Installation M d utilisation de l Outil d 3 400 21 05 2013 ASIP Sant M NE de coue Diagnostic et d Installation 4 1 9 0 01 10 2013 ASIP Sant Tableau de compatibilit Cryptolib CPS 5 2 0 1 01 05 2011 ASIP Sant Pr sentation de la carte CPS3 ASIP Sant GALSS 3 xx Gesti ire d Acc 6 1 9 0 01 09 2014 GIE SESAM a eS ROUE FER Lecteurs Sant Social Vitale ASIP Sant Sp cifications coupleur avec contact 7 1 4 2 24 11 2009 GIE SESAM pour lecteurs PC SC dans le domaine Vitale sant soc
119. ar exemple g n re des fichiers de traces en cas de Crash dans le r pertoire SUSERPROFILE AppData Local Microsoft Windows WER ReportArchive AppCrash CCM exe_XXX XXXXXXXXXXXXXXX Tableau 93 CCM Emplacement des fichiers de crashdump Ces fichiers peuvent tre demand s pour analyse Agence des syst mes d information partag s de sant 9 rue Georges Pitard 75015 Paris T 33 0 1 58 45 32 50 www asipsante fr Agir ensemble pour soigner mieux ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 17Mises jour et d sinstallations de la Cryptolib CPS 17 1 Mises jour et d sinstallations de la Cryptolib CPS sous Windows 17 1 1 GALSS 17 1 1 1 Mise jour du fichier galss ini Le fichier galss ini n est pas remis jours au fil de l eau son contenu est fig lorsque l installation du GALSS s ach ve Afin de le mettre jour il faut appliquer la proc dure suivante GALSS Proc dure de mise jour du fichier galss ini 1 Connecter le les lecteur s de cartes au poste de poste de travail 2 Appliquer la proc dure GALSS Proc dure de sauvegarde du fichier galss ini en supprimant manuellement les fichiers galss ini Relancer l installation du GALSS 1 Double cliquer sur le MSI d installation 3 2 L installeur passe en mode r paration 3 L installeur relance l utilitaire de d tection des lecteurs de carte 4 Le fichier ga
120. artes CPx permettent d effectuer des op rations cryptographiques dont l objectif est de s curiser des actions ou des changes informatiques Les cartes CPx sont exhaustivement pr sent es en 5 et permettent de mettre en uvre le palier 3 de l authentification publique des acteurs de Sant comme d crit en 20 La carte CPx constitue non seulement la carte d identit du PS mais elle atteste aussi d un processus d enr lement natif l espace de confiance ADELI RPPS A ce titre la carte CPx est ligible l authentification publique En r sum les cartes CPx offrent deux grandes fonctions 1 L authentification priv e et publique a qui permet d authentifier de mani re forte le porteur de la carte CPx 2 La signature num rique a qui permet de v rifier l authenticit et l int grit d un document lors de sa r ception L exploitation de la carte CPx sur un poste de travail passe par l installation e D un lecteur de carte connect physiquement sur le poste de travail o dans lequel sera introduite la carte CPx e dela Cryptolib CPS A partir de la CPx v3 toutes les cartes CPx pr sentent un volet sans contact d crit en 27 8 2 La Cryptolib CPS biblioth que cryptographique des cartes CPx Les syst mes d exploitation modernes pr voient tous la possibilit d installer et de faire fonctionner un lecteur et une carte puce Pour r pondre la diversit des mat riels les diteurs des syst mes d exploi
121. ation de l installation des drivers lecteur GIE SESAM Vital nie PAT RO RAR nn ne MAT Te OT 97 Tableau 64 Lecteur GIE SESAM Vitale Proc dure d installation manuelle des drivers lecteur GIE SESAMEVitale 255 85 AR ES ni dE den de dues de tee era de dre t eee nt de 99 Tableau 65 GALSS Proc dure de lancement manuelle du serveur GALSS nneeeeneesneesneeens 100 231 237 ASIP Sant Tableau 66 Tableau 67 Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 GALSS Proc dure de lancement manuelle du serveur GALSSNRR 101 GALSS Proc dure de r g n ration manuelle du fichier GALSS ini sss nnssennnsseneessenee 104 Tableau 68 GALSS Automatisation de la proc dure de v rification et r g n ration manuelle du fichier GALSS nisr t s sente mn ne mn nee mr nn nn T rie 105 Tableau 69 Param trage par d faut de l installeur de la Cryptolib CPS V5 106 Tableau 70 Param tres des installeurs de la Cryptolib CPS V5 s nsssnnssennnnsenennsennnssenensseennssernnssereeno 107 Tableau 71 Installeurs Cryptolib CPS Crit res d installation de la version Full PC SC 107 Tableau 72 Cl s de registre du CSP ASIP Sant ui 108 Tableau 73 Valeurs pour les cl s de registre du CSP ASIP Sant 108 Tableau 74 Cryptolib CPS v5 Mapping carte CPx CSP ASIP Sant 109 Tableau 75 Variables et valeurs li es aux cl s de registre de la carte CPx
122. ation de la Cryptolib CPS Description Pr cisions La Cryptolib CPS occupe environ 50MB et ne n cessite que tr s peu de ressources syst mes pour fonctionner Cf Recommandations de l diteur du syst me d exploitation pour la RAM la fr quence CPU et la taille du disque dur n cessaires L ASIP Sant et le GIE SESAM Vitale mettent des recommandations mat rielles communes pour les lecteurs PC SC au travers de 7 L ASIP Sant n met aucune recommandation particuli re relative aux marques des mat riels Ce guide contient des recommandations suppl mentaires concernant les lecteurs dans la partie sans contact carte CPS3 et Cryptolib CPS v5 Tableau 7 Pr requis Mat riels La question du choix de lecteur est abord e exhaustivement en Choix de lecteurs SRE Tableau 8 Pr requis Mat riels Choix de lecteur 26 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 9 2 Pr requis sur les syst mes d exploitation Pr requis sur les syst mes d exploitation pour l installation et l utilisation de la Cryptolib CPS OS Version Fin de support diteur 1 Windows XP SP3 32bit avril 2014 2 Windows 7 SP1 32 et 64 bits janvier 2020 3 Windows Windows 8 1 32 et 64 bits janvier 2023 4 Windows 2003 Server R2 SP2 32 et 64 bits juillet 2015 5
123. ation du magasin de certificat Mozilla Firefox n affiche pas le nombre de tentatives de saisies du code porteur restantes du fait d une limitation intrins que Firefox 79 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 ID Contr le de l tat du Magasin de certificats Firefox R sultat Dans la fen tre qui appara t ensuite s lectionner l onglet Vos certificats pour afficher le magasin des certificats personnels de l utilisateur AE Vos certificats Personnes Serveurs Autorit s Autres Vous poss dez des certificats de ces organisations qui vous identifient Nom du certificat P riph rique de s curit Num ro de s rie ec E TE neo aaar ma 518751275100020 CPS3y1 2300371322 74 3B 25 31 05 2014 Yair Sauvegarde Tout sauvegarder Importer Supprimer Figure 55 Firefox V rification du magasin de certificat MG 06 Les deux certificats d authentification et de signature associ s la E carte CPx pr sente dans le lecteur doivent tre pr sents Tableau 49 Contr les Contr le de l tat du Magasin Firefox ID Contr le de l tat du Magasin Firefox Gestion des erreurs R sultat MG _81 V rifier que le lecteur de carte est bien branch MG _82 V rifier que la carte CPx est bien ins r e dans le lecteur MG _83 V rifier l tat du GALSS cf plus haut MG _84 V rifier l ins
124. ation et d utilisation de la Cryptolib CPS 09 07 2015 21Annexe L IGC de Sant 21 1 Le Certificat X 509 Un certificat X 509 est un message binaire lectronique crit suivant une syntaxe d finie par la norme X 509 et sign par une autorit pour en garantir l int grit et la v racit de ses informations Les informations principales certifi es portent sur e L identification de l autorit ou metteur qui a sign ce certificat e Les dates de d but et de fin de validit du certificat e L identification du sujet ou objet pour qui a t d livr ce certificat e La cl publique RSA G n ral D tails Chemin d acc s de certification Afficher lt Tout gt X Champ valeur E version v3 num ro de s rie 0344 68 E Algorithme de signature shaiRSA metteur AC CLASSE 3 GIP CPS FR valide partir du mercredi 20 novembre 2002 0 valide jusqu au dimanche 1 janvier 2006 00 5 F lobjet JEAN LOUIS BOUSSIER 5180 ci publique RSA 768 Bits x 3066 0261 00B5 7ASE 535A 33FC CB85 734B SDA6 02D3 4676 93F6 4C3E CAOB 1616 5681 D54D 4653 42F4 4C4A 80F8 72F4 3690 700F B49C 3315 CF96 66F CC06 15BC EAFD 8BC3 0730 BF34 OAC4 329 AAB2 B25D 63B3 5243 C4CC FC45 SACS DAA3 9AB7 289F 6FEE 44E9 F541 0101 E302 0103 Modifier les propri t s Copier dans un fichier Figure 106 Exemple d un certificat X 509 d authentification d une CPS2bis CPA as L algorithm
125. ations Pour les solutions fortement int gr es aux infrastructures Microsoft Langage C C via JNI Java via JCA sunMSCAPI CH NET via P Invoke Plates formes Windows 32b et 64b Tableau 129 Cryptolib CPS v5 recommandations pour int gration CSP Cryptolib CPS carte CPx La Cryptolib CPS offre un large choix de sc narios d int gration logicielle avec la Tableau 130 Cryptolib CPS Remarques choix de sc narios d int gration de la carte CPx 154 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 19 6 Int gration de la Cryptolib CPS avec les langages manag s Java JRE et C NET apportent des biblioth ques cryptographiques qui permettent d exploiter rapidement la carte CPx et la Cryptolib CPS moins de 10 lignes de code effectif 19 6 1 Java Niveau Possibilit s d int gration de la CPx de la Cryptolib CPS avec Java au Toute plate forme wrapper IAIK par exemple sous ns 32b et 64b via n licence IAIK PKCS 11 En L int gration au niveau JCA JCE est possible malgr une limitation structurelle de l architecture Java va SunPKCS11 fourni avec la Toute plate forme via provider JCA JCE pour JVM 32b et 64b PKCS 11 v5 PKCS 11 de IAIK par hs exemple commercial JCA ICE v4 dans tous les cas Windows via provider JCA JCE si l option Sign_Hash est 32b et 64b sunMSCAPI
126. attribut requestedExecutionLevel LPS ne contiennent g n ralement pas de fichier manifest ou d attribut requestedExecutionLevel Tableau 163 Bilan fichier manifest attribut requestedExecutionLevel Le comportement observ est alors conforme aux sp cifications de l UAC seuls les applications non compatible UAC utilisent le virtualstore Aucune application Windows native fournie par ASIP Sant ou le GIE SESAM Vitale n est actuellement r ellement compatible avec UAC 190 237 asiPSanT AGENCE DES SYST MES D INFORMATION PARTAG S DE SANT 27Annexe Guidelines logiciels Poste de travail Guideline Le m canisme de virtualisation doit tre utilis au minimum Microsoft pr voyant de 1 supprimer ce m canisme dans les prochaines versions de Windows Ce m canisme est d j d sactiv pour les applications 64 bits 2 Le m canisme de virtualisation ne devrait pas tre utilis pour g rer plusieurs utilisateurs Les applications natives Windows doivent respecter les recommandations de Microsoft et se conformer aux exigences 3 e du programme Windows 7 Client Software Logo pour Windows 7 e du Desktop App Certification Program pour Windows 8 1 cf Certification requirements for Windows desktop apps 4 En particulier les exigences suivantes devraient tre respect es 4 1 L ensemble des donn es relatives un utilisateur comme le galss ini
127. au 15 Installation rapide ODI Installation V rifications 1 CPS Gestion affiche les donn es d identification du porteur et de la carte 2 CCM passe au vert 3 Les magasins de certificats sont provisionn s 4 Le test d authentification SSL avec un navigateur et http testssl asipsante fr est OK Tableau 16 Installation rapide ODI V rifications 35 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 Les limitations d ODI 1 ODI fonctionne avec les versions 1 7 0_51 01 2014 et 1 7 0 45 10 2013 de Java Avec ODI v5 le navigateur le plugin Java et le JRE install s sur le poste peuvent tre 32bits ou 2 64bits 3 ODI v5 installe la Cryptolib CPS v5 32bits ODI v5 n installe le GALSS que si un lecteur PSS est pr alablement branch au poste de travail Sous Mozilla Firefox l utilisateur doit pr ter attention au m canisme de Click to play pour activer le plug in Java S http www java com en download testjava jsp m Em Allow www jova cam to run plugins L Java Deployment Toolkit z 1 4 Vulnerable plugin What sthe risk LBIoCk Plugin X lava TM Platform SE 7 U Disabled Manage plugins OK Cancel Figure 4 Mozilla Firefox Click to play Depuis le 09 09 2014 Microsoft internet Explorer bloque les versions obsol tes du plug in Java L utilisateur doit donc pr ter attention aux messages que l
128. blioth que E LaunchDaemons G DiagnosticReports galss 2 cps info txt Macintosh HD ccert bin I Logs E Ga Directoryservice L cps jour txt Z Macintosh HD_2 Developer P D Modem Scripts C 63 Java B cps trac txt EX iDisk A Syst me P Mozilla M LKDC setup log Ca utilisateurs P B Opensc t santesocial gt Y PARTAG S 1 OM PDF Services Len Il o i E deskpo10 v Macintosh HD_3 Gi Biblioth que Logs 3j santesocial CPS 4 l ments 24 88 Go disponibles Figure 27 CPS Gestion Fichier de traces Tableau 31 Utilisation de CPS Gestion sous Mac OS X 56 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 12 6 Utilisation de CPS Gestion sous Linux Utilisation de CPS Gestion sous Linux 1 Ins rer la carte CPx dans le lecteur de cartes 2 Lancer CPS Gestion en suivant Lancement de CPS Gestion dont la configuration n est pas abord e Di lubuntu lubuntu File Edit Tabs Help Gestion Carte SARP CPS Gestion apparait dans la console l affichage des caract res accentu s est li la locale 3 Figure 28 CPS Gestion Linux Ecran d accueil Utiliser les touches tab espace et entrer pour naviguer dans les menus Ei lubuntu lubuntu File Edit Tabs Help 4 Figure 29 CPS Gestion Linux Navigation dans les menus 57 237 ASIP Sant Manuel
129. c des choix faits en se concentrant sur les fonctionnalit s analys es pr c demment Agence des syst mes d information partag s de sant 9 rue Georges Pitard 75015 Paris T 33 0 1 58 45 32 50 www asipsante fr Agir ensemble pour soigner mieux asSiPSanT acence nessvsr mes l inverse la v rification de la compatibilit d un lecteur donn pour une fonctionnalit donn e se fait suivant la logique g n rale suivante D INFORMATION PARTAG S DE SANT ES ans Figure 136 Choix de lecteur V rification de l ad quation du lecteur avec le service d ployer Cet arbre de d cision venant compl ter le pr c dent l un et l autre contribuant challenger la compr hension de la situation lecteur Agence des syst mes d information partag s de sant 9 rue Georges Pitard 75015 Paris T 33 0 1 58 45 32 50 www asipsante fr Agir ensemble pour soigner mieux asSiPSanT AGENCE DES SYST MES D INFORMATION PARTAG S DE SANT Cat gorie Remarque Le support des lecteurs PSS s rie est arr t Les support lecteur PSS S rie configurations PC ou Mac r centes n embarquent g n ralement plus de port s rie support lecteur PC SC avec Aucune solution logicielle Sant amp Social ne supporte 1 sh PinPAD actuellement la saisie du code porteur sur le PinPAD 2 support lecteur PC SC avec Les lecteurs PC SC avec PinPAD s
130. carte CPx Ces valeurs sont donn es titre documentaire Elles permettront de v rifier qu une Attention installation s est correctement pass e ou aux administrateurs de parc de pr ciser les droits ad quates sur ces cl s Ces valeurs sont susceptibles de changer sans pr avis de la part de l ASIP Sant Tableau 78 Point d attention concernant les valeurs de cl s de registre de la carte CPx Voir aussi en annexe D claration de la carte Vitale sous Win7 15 2 5 6 Enregistrement du CSP via regsvr32 Au choix exclusif par ordre de pr f rence lancer une console en tant qu administrateur via le menu D marrer gt Ex cuter gt cmd Version CSP Archi Commande a s SPee usa denses cp w dal 2 vs5 CSP 32 bit x64 e s vs carte xee S iindirsaSyetema2icps3 csp w32 di ajua era ias Saindo Syatema2icpo csp Ma2 S va Jos nsa sainda SyeWOwSANcpa csp md eee SP32 88 SanindirASystemazAcps p pese waz an A e Tableau 79 Regsvr32 du CSP ASIP Sant 110 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 15 3 Installations et utilisations avanc es sous Linux 15 3 1 Fedora Installation d un lecteur PSS http forums fedoraforum org showthread php t 249170 Fedora http www jamesarbrow
131. carte http testssl asipsante fr AT_0160 Toue x86 CPS La connexion par carte sur un Aanerer la Cryptolib CPS o Clos Confirm x64 frontal web requ rant une carte CPS ne S assurer que le module de s curit fonctionne pas avec Firefox CPS n a pas t d sactiv options gt modules gt extensions gt Acti ver S assurer que le reste des fonctionnalit s carte fonctionnent effectivement et que les probl mes Une erreur a lieu syst matiquement sont cantonn s la signature x86 lors de la signature de documents avec lectronique de documents avec un AT_0170 Tous x64 une CPS ins r e dans un lecteur PSS lecteur PSS Clos Clos alors que le reste des fonctionnalit s Mettre jour le logiciel lecteur des carte fonctionnent probl mes ont t d tect s avec l OS 1 15 et l application 3 02 sur Prium 3S r gl s en passant sur 1 19 et 3 04 par ex l erreur est li e une volution de Chrome 41 qui demande d sormais la taille de cl d authentification Cris Une erreur a lieu en authentification utilis e au CSP Le CSP AT_0180 Windows 8 web avec Chrome 41 et la Cryptolib CPS n impl mentait pas cette Clos oi 164 v4 ou la Cryptolib CPS v5 5 0 13 fonctionnalit Crypront CPS v5 0 15 Les alternatives sont donc changer de navigateur ou passer la Cryptolib CPS v5 0 15 211 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015
132. ces cas la partie de suppression LPS du poste Dans ceIeaS les 2 parties du galss ini est tout de m me utile mise jour du GALSS La partie sauvegarde du galss ini n est suppression sauvegarde du galss ini pas d terminante sont d terminantes Noter la pr sence de programmes Sant amp Social V rification programmes install s LPS GALSS Cryptolib CPS CleoCPsS Client MSSant Thunderbird Sous Windows Consulter Programmes et fonctionnalit s non V rification ex cution Voir documentation GIE SESAM Vitale Package GALSS install MSI PKG rpm deb galsvw Sous Windows lancer l explorateur de t ches GALSS en cours d ex cution non Voir documentation GIE SESAM Vitale V rification pr sence M me si galsvw le package GALSS n est pas pr sent ou si le GALSS n est pas en cours d ex cution les fichiers du GALSS peuvent tre pr sents Fichier ex cutable GALSS pr sent signant une d pendance potentielle du poste au GALSS non Salvegarde et suppression du galss ini V rification pr sence galss ini Sauvegarde galss ini Mise jour du GALSS Noter version GALSS courante Suppression galss ini A minima arr ts de LPS CCM Messagerie Outlook Thunderbird et Version jour Recommandations diteurs Navigateurs Version obsol te gt Arr ts programmes Lire release note nouvelle ve
133. cher l option port s rie des options TSE connexion TSE et lancer la commande net use coml client comli connexion ICA CITRIX e lecteur PC SC cocher l option lecteur de cartes puce dans ressources locales connexion TSE 23 4 7 R plication des configurations configurations dynamiques Dans une architecture client serveur en production il est courant d avoir plusieurs serveurs TSE CITRIX fonctionnant en parall le fermes de serveurs redondance etc La proc dure d installation d crite dans ce document concernant la partie serveur installation et configuration doit donc tre appliqu e chaque serveur de l architecture concern e afin d avoir des serveurs configur s de la m me mani re e Installation dupliqu e sur chaque serveur e Configuration dynamique du fichier galss ini ainsi que de tout autre fichier de configuration li l utilisateur et ou au poste client appliquer sur chaque serveur sauf si les r pertoires utilisateurs sont centralis s en un seul emplacement profils itin rants 183 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 24Annexe Exemples de fichier galss ini 09 07 2015 24 1 Exemple de fichier galss ini pour un poste utilisant un lecteur bi fente Fichier de configuration du GALSS dans l environnement Windows PROTOCOLEO Config 1000 20 15000 NomLib PSSINW32 DLL CONFIG NbCanaux 1 CANAL1 TCanal 1
134. configuration Pr requis KO OK V rifications KO 7 Doutes OK Premi res utilisations Utilisation KO Doutes OK Utilisation pmj Mise jour et d sinstallation Utilisation pas n cessaire p Y ko Besoin de mise jour Mise jour et configuration KO OK Utilisation pas n cessaire D sinstallation Y Supports Figure 1 Cryptolib CPS cycle de vie sur le poste de travail Ce cycle de vie est d taill dans la suite du document 24 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 9 Pr requis Ce document ne couvre pas la partie Pilote de lecteur de cartes Il est n cessaire de se reporter aux modes d emploi des mat riels mis en uvre par ailleurs Ce document couvre la partie installation et utilisation de la Cryptolib CPS qui fait office de middleware pour les cartes CPx distribu es par l ASIP Sant 9 1 Pr requis mat riels Pr requis mat riels pour l installation et l utilisation de la Cryptolib CPS Description Pr cisions Mat riels Ordinateurs PC ou MAC quip s de processeurs Intel ou AMD architecture x86 ou x64 Ces mat riels concernent g n ralement les Personnels de sant lib raux ou les petites structures Serveurs quip s de processeurs Intel ou AMD architecture x86 ou x64 Les architectures 1A64 ne
135. convention pour effectuer une int gration logicielle au niveau PC SC sont les suivants 8 Proc dure de concessions des sp cifications de la carte CPS3 Cryptolib CPS v5 15 Carte CPS Guide de r f rence de la carte CPS3 Tableau 123 Cryptolib CPS v5 documents de r f rence pour int gration PC SC Les acc s concurrents sont g r s via le Ressource manager PC SC avec un mode partag ou un mode exclusif Acc s concurrents L utilisation du mode partag est pr conis e plusieurs applications pouvant cohabiter sur un m me poste Recommand aux int grateurs connaissant d j pr alablement bien la carte puce le standard PC SC les normes ISO 7816 et les principaux standards cryptographiques Recommand pour les int grations de la CPx dans du logiciel embarqu Recommand pour les solutions pr voyant une gestion fine des erreurs et des v nements lecteurs et cartes arrachages insertions lecteurs et ou cartes Recommandations Recommand pour les solutions cherchant optimiser la pr sentation des codes porteurs PIN et PUK Recommand pour les solutions cherchant la conformit avec le RGS SHA256 et signature IAS ECC C C Langage Java 6 via javax smartcardio CH NET via P Invoke Plates formes Windows 32b et 64b Linux 32b et Mac OS X 32b et 64b Tableau 124 Cryptolib CPS v5 recommandations pour int gration PC SC 1
136. cription OMNIKEY CardMan 3x21 0 ones S curit personnelle Fabricant Unknown S curit personnelle Fabricant PR CPS PKCSI1 sur GALSS VesionHW 00 CPS PKCSI sur GALSS Version 00 CPA 2400158479 Version FW 00 2400158476 Version FW 00 Charger AModule de base int gr tiquette CPA 2400158479 OMNIKEY CardMan 3x21 1 tiquette CPS3v1 2400158476 Bu ltin Object Token Fabricant GIP CPS 80 250 00001 AModule de base int gr Fabricant ASIP SANTE Num ro de s rie 2400158479 Builtin Object Token Num ro de s rie 99008249 4 Version HW 00 Version HW 00 Version FW 00 Version FW 00 Figure 58 Firefox Param trage du module de s curit avec les Cryptolib CPS v4 Figure 59 Firefox Param trage du module de s curit avec les Cryptolib CPS v5 5 Fermer la fen tre Gestionnaire de p riph riques en cliquant sur OK Firefox Les importer manuellement si besoin V rifier que les certificats de l IGC ASIP Sant sont bien pr sents dans le magasin de certificats Tableau 52 Firefox Installation manuelle du module de s curit CPS La configuration du module de s curit est termin e le test de la connexion HTTPS peut tre effectu Certains anti virus et anti malwares d sactive le module de XPI anti virus et anti malware r activer le module CPS la main explicitement Tableau 53 Firefox Module de s curit CPS antivirus et anti malwar
137. cteur de cartes est branch Dans ce cas le lecteur affiche g n ralement une diode lumineuse dans un couleur particuli re V rifier que la carte est dans le lecteur et sous IG_82 i z tension IG_83 Relancer la machine Si le processus GALSS n est toujours pas pr sent IG_84 m me apr s relance de la machine passer tout de m me la partie Contr le de l tat du CCM Tableau 39 Contr les Contr le de l tat du GALSS Gestion des erreurs 64 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 13 1 2 2 Contr le de l tat du CCM La seconde v rification effectuer est de s assurer que l utilitaire CCM a bien d tect la carte CPS dans le lecteur en v rifiant que le CCM est dans l tat 1 ic ne de carte puce entour de vert ID Contr le de l tat du CCM R sultat Le gestionnaire IC_01 Appuyer simultan ment sur les touches Ctrl Shift Echap des t ches de Windows apparait IC_02 Cliquer sur l onglet Processus IC_03 Classer les processus par nom en cliquant sur Nom de l image Chercher le processus CCM exe 1 Gestionnaire des t ches de Windows Fichier Options Affichage 7 Si le processus est Applications ins Services Performanc pr sent le CCM IC_04 est correctement A z Nom de limage N lanc OOM eXe _ nm f concentr exe 32 f
138. curit Cliquer sur P riph riques de s curit Attention conservez comme ici l option par d faut Demander chaque fois 77 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 Firefox V rification du Module de s curit CPS Lorsque la carte CPx ins r e dans le lecteur est bien reconnue et que le Module de s curit CPS est bien install la fen tre suivante apparait f F ne Gestionnaire de p riph riques Erm Modules et p riph riques de s curit D tails Valeur Connexion ANSS Internal PKCS 11 Module Statut Non connect Service de crypto g n rique Description PC SC reader on GALSS CPS BITES S curit personnelle Fabricant Unknown Cha nger le mot de passe A CPS PKCS11 sur GALSS Version HW 0 0 a CPA 2400158479 Version FW 00 Charger 4Module de base int gr tiquette CPA 2400158479 9 Builtin Object Token Fabricant GIP CPS 80 250 00001 D charger Num ro de s rie 2400158479 r Version HW 0 0 Adiva LES Version FW 0 0 Figure 51 Extension Firefox ASIP Sant Module de s curit ASIP Sant en pr sence d une carte CPx Tableau 48 Firefox V rification du Module de s curit CPS 78 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 14 1 2 V rification du magasin de certificats Firefox
139. d installation et d utilisation de la Cryptolib CPS 09 07 2015 Utilisation de CPS Gestion sous Linux Faire un Tests des services lubuntu lubuntu x File Edit Tabs Help IRD Services CPS Test des services Figure 30 CPS Gestion Linux Tests des services 6 Cocher les logs exporter avec espace 7 R cup rer les logs dans var opt santesocial CPS log Tableau 32 Utilisation de CPS Gestion sous Linux 58 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 13 Premi res utilisations 13 1 Premi res utilisations sous Microsoft Windows 13 1 1 Le magasin de certificats Windows 13 1 1 1 R le du Magasin Windows Le magasin de certificats est un composant essentiel du syst me Microsoft Windows Il contient les certificats logiciels apport s lors de l installation de Windows certificats racine Verisign Thawte Il contiendra les certificats d authentification et de signature de la carte CPx du porteur cf annexe IGC Sant et certificat X 509 L alimentation du magasin de certificats Windows avec ces deux certificats est une t che indispensable si la carte CPx est destin e tre mise en uvre avec Internet Explorer ou Outlook par exemple ou avec toute autre application exploitant les m canismes cryptographiques sp cifi s par Microsoft 13 1 1 2 Visualisation du contenu du Magasin Windows Pour visualiser
140. de l tat du Magasin Windows R sultat MG_01 Ins rer une carte CPx dans le lecteur Rafra chir le CCM en cliquant droit sur l ic ne du CCM et en MG_02 choisissant Rafra chir l tat du lecteur voir pr sentation du CCM plus haut Visualiser le magasin de certificats Microsoft Windows e lancer Internet Explorer e s lectionner le menu Outils puis Options internet MG_03 e dans l onglet Contenu cliquer sur le bouton Certificats La fen tre qui appara t affiche le magasin des certificats personnels de l utilisateur Certificats ue es R le pr vu lt Tout gt Personnel Autres personnes Autorit s de certification interm diaires Autorit s de certi gt MG_04 D livr D livr par Expiration Nom convivial EA 0081055413 TEST CLASSE 1 29 02 2016 lt Aucun gt C10081055413 TEST CLASSE 1 31 03 2016 lt Aucun gt Figure 36 Windows V rification du magasin de certificat Les deux certificats d authentification et de signature associ s la MG_05 X carte CPx pr sente dans le lecteur doivent tre pr sents Tableau 42 Contr les Contr le de l tat du Magasin Windows ID Contr le de l tat du Magasin Windows Gestion des erreurs R sultat MG _81 V rifier que le lecteur de cartes est bien branch MG _82 V rifier que la carte CPx est bien ins r e dans le lecteur Rafra chir
141. de l utilisateur des produits document s Sur les copies d cran et les lignes de commande Les lignes de commandes donn es ci apr s le sont titre indicatif Elles documentent des cas passants qui peuvent diff rer d un syst me l autre Les copies d cran pr sent es dans ce document sont donn es titre illustratif Les pages ou crans r ellement affich s peuvent tre diff rents notamment en raison de mont es de version ou de configurations d environnements diff rentes Citations L ASIP Sant est contrainte de citer le nom de certaines entreprises recens es au tableau n 5 afin d apporter toute l aide n cessaire aux utilisateurs de la Cryptolib CPS v5 dans son installation et son utilisation Les entreprises cit es peuvent prendre contact avec l ASIP Sant l adresse email editeurs asipsante fr pour toute demande en lien avec la citation les concernant Les entreprises non cit es dans ce manuel et ayant une activit en lien avec la Cryptolib CPS v5 peuvent galement se faire conna tre aupr s de l ASIP Sant en la contactant la m me adresse Contact Toute question en rapport avec le contenu du pr sent manuel doit tre adress e l adresse suivante editeurs asipsante fr Tableau 6 Avertissements 22 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 8 Pr sentation g n rale 8 1 La famille de cartes CPx Les c
142. de vert doit tre pr sente comme indiqu sur la figure ci dessous Figure 7 CCM Exemple de barre des t ches sous Windows avec CCM en tat 1 Pour les autres environnements Linux et Mac aucun l ment visible de ce type n est contr ler La phase d installation est termin e La phase de v rification de l installation peut commencer 47 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 12V rifications de l installation avec CPS Gestion 12 1 Pr sentation de CPS Gestion CPS Gestion est un programme distribu par l ASIP Sant avec la Cryptolib CPS permettant de visualiser le contenu de la carte CPx connect e au poste de travail Cet outil offre galement la possibilit de d bloquer ou de changer le code porteur d une CPx CPS Gestion est particuli rement utile au moment de tester l installation de la Cryptolib CPS sur poste de travail CPS Gestion est disponible sous tous les syst mes d exploitation Sous Windows par exemple CPS Gestion est accessible depuis le menu D marrer D marrer gt Cryptolib CPS gt Gestionnaire de la carte CPS Accessoires Applications distantes Cisco Systems VPN Client d Corel DVD MovieFactory Lenovo Edition LT cyproie as gt M Gestionnaire de certificats CPS lt E Gestionnaire de la carte CPS d Intel Cryptolib CPS v4 4 Pr c dent Figure 8 CPS Gestion Lancement de CPS Gestion sous
143. der conf n existe pas ou si il existe de le renommer en reader gip 206 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 RE Statut Statut Ticket OS Archi Limitation Alternative F probl me alternative Corrig par Citrix se r f rer http support citrix com article CTX 136248 http support citrix com article CTX 136922 Section Smartcard et appliquer les clefs HKEY_LOCAL_MACHINE SOFTWARE Citrix Smart Card Name TransactionTimeoutEnable Type REG_DWORD Value 1 enable Env Citrix HKEY_LOCAL_MACHINE SOFTWARE Citrix Smart Card lait ti tei i Name TransactionTimeoutValue es transactions carte puce ma Hot AT_0070 0001047 p Type REG_DWORD Clos Confirm ferm es peuvent affect es les sessions courantes et emp cher la cr ation de nouvelles sessions en contexte Citrix Value lt any value more than 5 seconds gt HKEY_LOCAL_MACHINE SOFTWARE Citrix Smart Card Name SendRecvTimeout Type REG_DWORD Value Minimum timeout value in seconds should be 30 seconds or more Any lesser value defaults to 30 seconds This value must be at least 10 seconds less than TransactionTimeoutValue HKEY_LOCAL_MACHINE SOFTWARE Wow6432N ode Citrix SmartCard Name SupLowintegrityProc Type REG_DWORD Data 1 HKEY_LOCAL_MACHINE SOFTWARE Citrix Smart Card Name SupLowintegrityProc Type REG_DWORD Data 1 207 237
144. dows Point d attention 0010 Sous Windows 7 le Gestionnaire de certificat CPS CCM est masqu ce qui emp che l utilisateur de voir l tat de sa carte dans le lecteur Solution 0010 Configuration du syst me suivant la proc dure suivante 1 param trage configurer la zone de notification pour que tous les ic nes soient toujours visibles EF Panneau de configuration Tous les Panneaux de configuration 10 x go E Panneau de configuration Tous les Panneaux de configuration v Rechercher a Ajuster les param tres de l ordinateur Afficher par Petites ic nes Y I Affichage LA Barre des t ches et menu D marrer e Centre de maintenance Centre de synchronisation se Centre R seau et partage Bo Chiffrement de lecteur BitLocker 2 Clavier amp Comptes d utilisateurs Ez Connexions distantes D Courrier H Date et heure ral Emplacement et autres capteurs mg Ex cution automatique Flash Player E Gadgets du Bureau EZ Gestion des couleurs 3 Gestionnaire de p riph riques Gest Lea Graphiques et m dia Intel R Groupe r sidentiel Ic nes de la zone de notification M informations et outils de performance j Java T Mise en route 2 Options d alimentation Options d ergonomie 4 Options d indexation Options des dossiers Options Internet A Outils d administration K Pare feu Windows E Personnalisation P riph riques et imprimantes
145. du navigateur Safari avec des lecteurs bi fentes PSS Ce fichier doit en revanche tre renomm en reader gip ou supprim pour une utilisation avec des lecteurs PC SC Une utilisation avec une configuration de lecteurs mixte PSS PC SC est proscrire 93 237 asiPSanT AGENCE DES SYST MES D INFORMATION 15 2 Installations et utilisations avanc es sous Microsoft PARTAG S DE SANT Windows 15 2 1 Utilisation avanc e de la technologie MSI Se reporter 9 Command Line Switches for the Microsoft Windows Installer Tool Les fichiers MSI peuvent s installer en ligne de commande Ceci s av re tr s utile pour obtenir des traces de l installation ou effectuer des installations 1 unattended a sans intervention de l utilisateur i en particulier pas de clic ou de saisie b mais avec une restitution graphique possible i par ex tat d avancement 2 silent a sans aucune saisie utilisateur b sans aucune restitution graphique l utilisateur La ligne de commande d installation pr conis e est la suivante start wait msiexec I v PATH_ TO _LOG module name msiexec install txt i msi name qn Figure MSI Ligne de commande pr conis e Explication des param tres de la ligne de commande d installation MSIEXEC pr conis e D marrer une commande et attend qu elle finisse mode synchrone start wait facultatif Particuli rement utile pour enchainer les
146. e s curit CPS ce qui rend inop rante la d tection de la carte CPS par Firefox Dans ce cas la r installation du XPI ne r active pas non plus le module il faut se rendre dans la liste des modules et 82 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 14 1 5 Etat du module L tat d activation du module de s curit CPS peut tre aussi v rifi en allant dans outils gt Modules compl mentaires ou en tapant about addons dans la barre d adresse Si le module apparait gris avec la possibilit de l Activer le module est dans l tat d sactiv Freto aboutaddons 2 Rech Y hr 9 Le Les plus visit s D buter avec Firefox Catalogue Extensions A Apparence Plugins Gr Services ma Extension CPS 6 0 2 d sactiv Figure 60 Module de s curit CPS d sactiv Il est donc possible de l activer n cessaire pour que le carte CPx soit d tect e en cliquant sur Activer Ce cas de figure peut apparaitre si 1 La fen tre d installation du module de s curit n a pas t valid e ver dition Affichage Historique Marque pages Outils 2 Installation de module x Firefox aboutnewaddon id CPS2ter 2020_Firefox asipsante fr Les plus visit s _ D buter avec Firefox Un autre programme sur votre ordinateur souhaiterait modifier Firefox avec les modules compl ment
147. e confiance des certificats X 509 de la carte CPS eesssssesssssrrrrersseerrrrrrsrssrsrrens 167 22 Annexe Installation du lecteur Xiring Prium 3S Ingenico IHC800 168 23 Annexe Installation et utilisation en environnements TSE Citrix 171 23 1 Description de l installation GALSS 171 23 11 l Architecture Lin ER TRS ET MN TA E MR IE A at nue eat da 171 23 1 2 D roulement nn nnnnsnssscssssnennnnees es cssssnennne senu Eaunes ueue seen 172 23 13 V rification du bon fonctionnement de la Cryptolib CPS 173 23 1441 ParaMetrage r ns ire E este nee bete ire scene tee fran nent e Sent A E E tes 174 23 2 Description de l installation Full PC SC ssssssssssesississrssissrrrissreeresrasresresrisrissrrrrssrnsresreseae 175 23 2 1 Architecture inst a mnt eee M inner aeh e mnt a tro ran dia abat 175 23 22 D roulement pare nt ae ten et ten 176 23 2 3 V rification du bon fonctionnement de la Cryptolib CPS 176 23 24 Param trage sis en Re N RE 176 23 3 Emplacements des fichiers issus 177 23 3 1 Chemin d acc s profil utilisateur USER 177 23 4 Lignes d commande muse instant ie etiinteneerrereeisreh te 178 23 4 1 Commande change user inner 178 23 42 Commande change port changer le port 180 23 4 3 Configuration du fichier galss ini 181 23 4 4 Installer des applications sur Terminal Server
148. e cryptographique RSA utilise une cl en deux parties bi cl l une est publique diffus e dans le certificat X 509 et l autre est priv e gard e secr te dans un coffre fort logiciel ou dans une carte comme la CPx Il existe deux certificats X 509 donc deux bi cl s dans une CPx l un d authentification et l autre de signature auquel s ajoute un certificat X 509 technique pour la partie sans contact de la CPS3 166 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 21 2 Cha nes de confiance des certificats X 509 de la carte CPS Si un certificat X 509 est sign par une autorit de certification Celle ci a elle m me un certificat lui aussi sign par une autorit et ainsi de suite jusqu rencontrer en t te de cha ne un certificat auto sign dit Racine ou Root pour lequel ce sera bel et bien l utilisateur de manifester explicitement sa confiance Dans le cas de la carte CPS les certificats racines sont publi s sur le site http annuaire asipsante fr Toutes ces informations peuvent tre v rifi es avant d accorder sa confiance ces certificats G n ral D tails Chemin d acc s de certification Chemin d acc s de certification GIP CPS E aC CLASSE 3 CEE x G n ral D tails Chemin d acc s de certification Chemin d acc s de certification GIP CPS PROFESSIONNEL E GIP CPS CLASSE 1 23 f0751048497
149. e l installation 10 La prise en charge des lecteurs s rie i e lecteurs bi fente avec le navigateur Safari sous L opard OS X 10 5 n est possible qu partir de la release 10 5 6 de cet OS Cet OS n est aujourd hui plus support 39 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 11 2 Logique d installation Une fois les pr requis v rifi s la logique d installation est la suivante v Identification du type de lecteur Les lecteurs vis s sont uniquement PC SC Les lecteurs vis s peuvent tre des lecteurs PSS Installation du GALSS _ Installation de la Cryptolib CPS v5 Figure 5 Cryptolib CPS logique d installation Remarques concernant la logique d installation Pour des indications sur l identification du type de lecteur vis voir Annexe Choix de lecteur Depuis la Cryptolib CPS va la Cryptolib CPS n installe plus le GALSS 1 L installation correcte des pilotes des lecteurs de carte est un pr requis important l installation de la Cryptolib CPS Le GALSS est consid r vu de la Cryptolib CPS comme le pilote des lecteurs PSS 2 L ordre d installation Cryptolib CPS GALSS n a pas d importance En fusionnant les fili res GALSS et Full PC SC la Cryptolib CPS v5 assouplit les conditions de migrations lecteurs PSS vers lect
150. e la Cryptolib CPS 09 07 2015 Installation manuelle du module de s curit CPS Par ordre de pr f rence Version Syst me PKCS 11 Archi Commande 1v5 Linux Aa x86 usr lib libcps3_pkcs11_lux so lien symbolique 2 v4 PKCS 11 RE 2 GALSS Linux 32 bit x86 usr lib libcps_pkcs11_lux so lien symbolique 3 v4 Full inuk PKCS 11 JBE N A la Cryptolib v4 Full PC SC n est pas install e PC SC 32 bit par l installeur de la Cryptolib v5 sous linux Figure Cryptolib CPS Firefox Linux Configuration du module de s curit CPS Valider les param tres en appuyant sur OK La fen tre suivante est mise jour a Device Manager x Security Modules and Devices Detalls Value YNSS Internal PKCS 11 Module Module Module des Generic Crypto Services Path libcps3_pkes Software Security Device CPS3v1 2400140649 Load YBuiltin Roots Module Unload Builtin Object Token Enable FIPS voKk 1 Device Manager x Security Modules and Devices Details value Login YNSS Internal PKCS 11 Module Status Not Logged In Generic Crypto Services Description Gemalto PC Twin Reader 0 Software Security Device Manufacturer Change Password YModule de s curit CPS HW Version 0 0 Fw Version 0 0 Load YBuiltin Roots Module Label CPS3v1 2400140649 Builtin Object Token Manufacturer ASIP SANTE Serial Number 00979204 Enable FIPS HW Version 0 0 FW Version 0 0 OK
151. e la fen tre suivante Afficher 4 CARTE DE PROFESSIONNEL DE Figure 21 CPS Gestion Lecture de carte CPS OK 54 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 Utilisation de CPS Gestion sous Mac OS X Faire un Tests des services Lecture Donn es Lectures amp Enregistrements X509 Lecture Situations Figure 22 CPS Gestion Lancement des Tests des services Le code porteur est demand Code porteur reste 3 tentative s Valider Annuler Figure 23 CPS Gestion Saisie du code porteur Les tests se d roulent Gestion Carte Services CPS T l mis jour Gestion Lecteur 5 Service CPS 22 CPS_LectureTopoCarte Figure 24 CPS Gestion D roulement des Tests des services Un r sum Diagnostic du r sultat des tests est affich Ao CPS GESTION Journal Donn es CPS Diagnostics Trace 06 NOV 2013 17 29 04 CPS_PresCodePorteur OK 06 NOV 2013 17 29 05 CPS_ListeAppli OK 06 NOV 2013 17 29 05 CPS_LectureTopoCarte OK 06 NOV 2013 17 29 08 CPS_CondenseFichier OK 06 NOV 2013 17 29 08 CPS_CondenseFichi 06 NOV 2013 17 29 08 CPS_CondenseFichi 06 NOV 2013 17 29 08 CPS_CondenseFichier OK 06 NOV 2013 17 29 08 CPS_CondenseMessage OK 06 NOV 2013 17 29 08 CPS_CondenseMessage OK 06 NOV 2013 17 29 08 CPS_CondenseMessage OK 06 NOV 2013 17 29 08 CPS_CondenseMessage OK 06 NOV 20
152. e navigateur lui affiche 5 r f rence http blogs msdn com b ie archive 2014 08 06 internet explorer begins blocking out of date activex controls aspx et https technet microsoft com library security ms14 sep A partir de Chrome 42 les plugins NPAPI sont bloqu s par d faut https www chromium org developers npapi deprecation e passer par les flags o chrome flags Henable npapi e passer par la ligne de commande o enable npapi o always authorize plugins 6 e passer par la base de registre o Software Policies Chromium EnabledPlugins o Software Policies Google Chrome PluginsAllowedForUrls e passer par les GPO Chrome Policy Templates o EnabledPlugins_Policy Indiquer une liste de plug ins activ s Google Chrome o PluginsAllowedForUrls_Policy Autoriser les plug ins sur ces sites Google Chrome gt Param tres de contenu 7 ODI utilise le cache Java qui doit tre activ et ventuellement purg en cas d instabilit s av r es cf Gestion cache Java 36 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 Les limitations d ODI Des probl mes de figeage d ODI ont pu tre constat s avec l antivirus Avast qui peut tre d sactiv jusqu au prochain red marrage le temps de l installation ODI sous r serve de prendre toutes les pr cautions de s curit en parall le pas d installation de logiciels tiers ou de navigati
153. e server back into Execute mode before using the application 3 Double click on the MSI On a terminal server in App mode it automatically installs it in Install Mode Tableau 156 Installation des applications sur Terminal Server M thodes M thode 1 To put Terminal server in application mode Control Panel gt Add Remove programs gt Add Windows component gt Terminal Services If you are running Windows 2000 you will be given an additional choice between Remote Administration and Application Server mode If you are running Windows 2003 you will not be given this choice since installing Terminal Services on Windows 2003 already implies Application Server mode Tableau 157 Installation des applications sur Terminal Server M thode 1 181 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 M thode 2 R f rences How to install application on Windows 2008 Terminal Server TS RemoteApp Step by Step Guide Remote Desktop Services in Windows 2008 R2 Part 1 Installation with screenshots Remote Desktop Services in Windows 2008 R2 Part 2 RD Gateway with screenshots Remote Desktop Services in Windows 2008 R2 Part 3 RD Web Access amp RemoteA with screenshots Terminal Server Installation Tableau 158 Installation des applications sur Terminal Server M thode 2 M thode 3 Cas MSI Term
154. ection des cl s priv es ainsi que les respects des droits accord s sur chacun des objets contenus dans la carte sont assur s par la puce lectronique de la carte CPx Tableau 105 S curit Certificats et cl s priv es 135 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 18 3 Common Vulnerabilities and Exposures CVE La Cryptolib CPS ne fait l objet d aucune CVE r f renc e en date d dition de ce document 18 4 Code porteur 18 4 1 Saisie des codes porteur et d blocage Cryptolib CPS Saisie du code porteur Le nombre de saisies du code porteur est limit 3 essais Pass s 3 essais faux il faut d bloquer la carte l aide du code de d blocage Le nombre de d blocages est lui aussi limit la carte est alors inutilisable du moins les parties prot g es par code porteur Dans tous les cas la saisie du code porteur est masqu e Le nombre de tentatives restantes est indiqu La raison d un code porteur faux n est pas compl tement pr cis e sciemment afin de ne pas divulguer trop d informations un ventuel attaquant 3 Les m mes remarques sont valables pour le code de d blocage Cryptolib CPS v4 La saisie du code porteur est assur e par la partie PKCS 11 de la Cryptolib CPS voir architecture Cryptolib CPS v5 La saisie du code porteur est assur e par la partie CSP de la Cryptolib CPS Windows voir architec
155. eensseressse 95 524 Utilisation avanc e du GALSS ns 100 15 2 5 Cryptolib CPS VS hr tt a nr ne lon ENT A dd Mel Eee dre ft anaE 106 15 3 Installations et utilisations avanc es sous Linux 111 15 3 1 Fedora Installation d un lecteur PSS 111 15 3 2 Proc dure de v rification du fichier galss ini nsennnsseneenseneenseneessenensserenssereessreees gt 112 16 Configuration de la Cryptolib CPS enr 113 16 1 Configuration de la Cryptolib CPS sous Microsoft Windows 113 16 1 1 Param trage de la Cryptolib CPS v4 us 113 16 1 2 Param trage de la Cryptolib CPS V5 114 16 1 3 Param trage d Internet Explorer mode prot g am lior EPM 116 16 14 GPO et ADM sens nr nn trente ne en de ete El ee de di 120 16 2 Configuration de la Cryptolib CPS sous Linux ss 121 16 2 1 Param trage de la Cryptolib CPS v4 ui 121 16 2 2 Param trage de la Cryptolib CPS V5 121 16 3 Configuration de la Cryptolib CPS sous Apple Mac OS XL 122 16 3 1 Param trage de la Cryptolib CPS V5 us 122 16 3 2 Edition des fichiers de configuration ss 123 16 4 Fichiers detract ton ir en er RE Een Ro nan LA de 124 16 4 1 Formats des fichiers de traces 124 16 4 2 Emplacements des fichiers de traces ss 125 16 4 3 Crashdumps 4 use tn En dr dinde te dre letters tr de a d 127 17 Mises jour et d sinstallations de la Cryptolib CPS 128 17 1 Mises jour et d sinstallations de
156. efox een attentat aeia aeeai dues dental nt dent edant dre des dns late 76 14 1 Utilisations avec Firefox sous Microsoft Windows 76 14 1 1 V rification du Module de s curit CPS 76 14 1 2 V rification du magasin de certificats Firefox 79 14 13 Installation du module de s curit CPS depuis http testssl asipsante fr 00 000 00 80 14 1 4 Installation manuelle du module de s curit CPS 81 14 15 Etat du modul 4er ne te Gr ele ARR ve ia tan RC Ta tn En d de SET 83 14 16 Connexion HTTPS a Re nt ne en Re ne Rad a aat 84 14 2 Utilisations avec Firefox sous Linux sise 86 14 2 1 V rification du Module de s curit CPS 86 14 2 2 V rification du magasin de certificats Firefox 88 14 23 Installation du module de s curit CPS depuis http testssl asipsante fr 00 000 00 89 14 2 4 Installation manuelle du module de s curit CPS 89 142 5 gt Etat du modulene mire he ir nier nie e EE rater a a 91 142 67 Connexion ATIPS 22 5 a en Re ra ee tr ee sl 91 15 Installations et utilisations avanc es 92 15 1 Contr les des fichiers logiciels install s 92 15 2 Installations et utilisations avanc es sous Microsoft Windows 94 15 2 1 Utilisation avanc e de la technologie MSI 94 15 2 2 R pertoire temporaire d installation nossnnnsenenssenensseneesseoenssenesssensnssennnsseeenssreesssee 95 15 2 3 Gestion avanc e des drivers lecteur GIE SESAM Vitale s nnssnnnessenenssennesse
157. egrateurs cps asipsante fr 5 enSSL Installer une version r cente i por de la Cryptolib CPS Serveur 212 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 Ticket OS Archi Limitation Alternative maur storur 3 probl me alternative S lectionner le certificat ASIP Sant pour l usage souhait en Corrig La mise en uvre du code exemple C utilisant le filtre propos par l objet avec la R x86 g n re des messages carte absente X509Certificate2Collection comme Cryptolib AT_021 W CI arenu indows 64 en Cryptolib CPS 5 0 13 50 15 50 16 illustrer dans ce document g CPS v5 0 18 et 5 0 17 Windows Passer sur la Cryptolib CPS 5 0 18 Rebasculer sous 1E11 avec 1E11 fourni parall lement aussi sous Coriir La Cryptolib CPS ne fonctionne pas avec cet OS la Cryptolib CPS fonctionne 8 avec la le nouveau navigateur Spartan Edge cf IE11 sous Windows 10 plus bas cvato lt fourni par Microsoft avec les versions AT_0220 Windows x86 preview de Windows 10 avec ce nn D autres impacts sont clos V5 0 19 et 10 x64 navigateur sous cet OS les pr voir sous cet OS n cessit es EEE B les lecteurs authentifications Web par carte CPS ne d avoir une fili re full 64bits PC SC fonctionnent pas abandon du support de VBScript Windows d ActiveX de Java nouveau User Agent cf Cryptolib CPS et
158. ertificat G n ral tais Chemin d acc s de certification L 8 Informations sur le certificat Ce certificat est con u pour les r les suivants Permet aux donn es d tre sign es avec l heure en cours D livr Microsoft Timestamping Service D livr par Microsoft Timestamping PCA Installer le certificat D daration de l metteur En savoir plus sur les Erbficats LA Informations sur le certificat Ce certificat est con u pour les r les suivants Permet aux donn es d tre sign es avec l heure en cours D livr Microsoft Time Stamp Service D livr par Microsoft Timestamping PCA dl Valide du 25 07 2008 au 25 07 2013 Installer le certificat D daration de l metteur Ca Figure 114 GALSS expiration des certificats de timestamping 1 Figure 115 GALSS expiration des certificats de timestamping 2 169 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 Aspect Description Windows 8 D a ii a a a Windows 8 1 http www distrimed com telechargement NOTICE_WINDOWS8 1_PILOTE_LE CTEUR pdf Param trage du lecteur http www distrimed com telechargement SESAM_VITALE PRIUM3S_GUIDE_ UTILISATION pdf Firmware 3 07 http www distrimed com telechargement SESAM_VITALE PRIUM3S_FIRMW ARE_3 07 zip
159. es ATR des cartes CPx au CSP e Sous Windows 7 x64 si la Cryptolib CPS v4 32b ou si la Cryptolib CPS v5 32b sont install s o Dans ces cas aucun CSP natif 64b n est install Pour viter ces messages il est n cessaire d installer la Cryptolib CPS v5 dans sa version destin e l architecture de l OS courant Voir aussi section Windows 7 Association manuelle de la carte CPx avec le CSP La configuration de Windows Update sur le poste doit tre pr cis ment maitris e afin d viter toute d convenue li e une mont e de version induite par une mise jour du syst me Pour les usages professionnels la recommandation est de se rapprocher d un environnement dit qualifi Un environnement qualifi est un environnement dont e a configuration est tout le temps connue en tout point ex Win7 SP1 build IE10 build e a configuration a t valid e pour un p rim tre fonctionnel connu en tout point DMP version 1 0 1 fonctionnant avec Win7 SP1 build IE10 build e la configuration de mise jour est validable sans impact sur les environnements de production e les processus de mise jour et de retour arri re sont connus et eux m mes valid s Pas de mise jour intempestive Windows Update d sactiv Exemple de strat gie pour un poste isol Mises jour manuelles r guli res sur des cr neaux temporels d di s afin de bien valider les condit
160. esereene 73 Figure 46 Authentification sous Safari TestSSL OK 73 Figure 47 Linux D tection insertion carte par pcscd ss 74 Figure 48 Extension Firefox ASIP Sant Installation 76 Figure 49 Firefox Param trage du module de s curit 77 Figure 50 Firefox Param trage du module de s curit 77 Figure 51 Extension Firefox ASIP Sant Module de s curit ASIP Sant en pr sence d une carte E a en M An St A A A OR ARTE MA nt tent tnt en a TE 78 Figure 52 Firefox V rification du magasin de certificat 79 Figure 53 Firefox V rification du magasin de certificat 79 Figure 54 Firefox V rification du magasin de certificat 79 Figure 55 Firefox V rification du magasin de certificat 80 Figure 56 Firefox Installation du module de s curit CPS depuis http testssl asipsante fr 80 Figure 57 Firefox Param trage du module de s curit 81 Figure 58 Firefox Param trage du module de s curit avec les Cryptolib CPS v4 82 Figure 59 Firefox Param trage du module de s curit avec les Cryptolib CPS V5 ss nsssnsessenenssenee 82 Figure 60 Module de s curit CPS d sactiv iii 83 Figure 61 fen tre d installation du module de s curit ss 83 Figure 62 Authentification sous Firefox Saisie du code porteur avec la Cryptolib CPS va 84 Figure 63 Authentification sous Firefox Saisie du code porteur avec la Cryptolib C
161. esesesssesssssssssesssesesssessssssssssssnsssssssrsrsrsssssenne 48 12 1 Pr sentation de CPS Gestion ss ss seressnnrrsnsscececenenennesescecemennnnneseeeecenenennnnsee 48 12 2 Fonctionnalit s de CPS Gestion esesesesssssesssssssssssesesersreserersrerererererereserererersreterererererererene 49 12 3 Lancement de CPS Gestion ni nersrrssss se renennrsnsseececenenecssescecemcnnnnseseeeecenenennsnsee 50 12 4 Utilisation de CPS Gestion sous WindoOWs rs nennnreneseeeecennnennsssee 51 12 5 Utilisation de CPS Gestion sous Mac OS X nr nnnnrsrer ee rene nn eseseeeemennnnnnsnsee 54 12 6 Utilisation de CPS Gestion sous LINUX ner nnnrsses ee cenennneseseeeeeenennnnsnsee 57 13 Premi res tilisations 22 88 us t en ee ea bete ones tetes s nt eea e a means etes neta ne 59 13 1 Premi res utilisations sous Microsoft WiNdOWS rss rerennrnrssnse 59 13 1 1 Le magasin de certificats Windows 59 13 1 2 Contr le de l installation iii e a 64 13 2 Premi res utilisations sous Apple Mac OS Xe 71 13 2 1 Contr les visuels de l installation irrrrrrrrrrsrsrsesrsrenenenesenesenennne 71 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 13 252 Connexion H PO a ren ne re rene en ee en ie 73 13 3 Premi res utilisations sous LiNuX ie 74 13 3 1 Contr les de l installation 74 13 3 2 Configurations manuelles suppl mentaires 75 13 3 37 Connexions HITES aee nee ne umo nr ee en ete 75 14 Utilisations avec Fir
162. esktop app Settings Internet Options 3 Connect to the Internet 3 Connect to a network Change temporary Internet file settings Apps E Project Spartan Web internet explorer internet speed test internet truckstop oeii v internet providers by zip code My stuff Web Internet Figure 139 Windows 10 Recherche de Internet Explorer 223 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 Internet Explorer Run as administrator Open file location Pin to Start Pin to taskbar Uninstall B Project Spartan Web internet explorer internet speed test internet truckstop internet providers by zip code aa My stuff Web Internet Figure 141 Windows 10 L ic ne Internet Explorer appara t dans la barre de t che 38 3 Cryptolib CPS et Edge Sous Edge l interface navigateur carte CPS se fait exactement comme sous Internet Explorer i e via le CSP La Cryptolib CPS v5 ne fonctionnait pas sous Edge du fait de l utilisation d APls d affichage de la boite de dialogue de saisie du code porteur rendues obsol tes sous la nouvelle architecture applicative promue par Microsoft Universal Apps La Cryptolib CPS v5 a donc t corrig e en cons quence mais 1 Une Cryptolib CPS v5 r cente gt ou gale 5 0 18 dont la sortie est pr vue pour fin juillet 2015 en conjonction avec la sortie de Windows
163. est pas le 2 cas ODI signale que le plugin Java n est pas activ ce qui peut peut tre un probl me avec les services utilisant des applets Java mais ODI fonctionne tout de m me en utilisant la JVM du syst me ODI est une application JNLP pas une applet Dans ce contexte il est pr f rable que le poste et ses logiciels ne d pendent pas d une version ant rieure de Java j Si c est le cas ne pas utiliser ODI en tant que proc dure rapide d installation de la Cryptolib CPS 4 Syst me d exploitation Windows ou Mac OS X ODI ne prend pas en charge les environnements Linux 5 Connexion Internet 6 Configurations des Firewall et antivirus maitris es V rification du plug in Java https www java com puis Est ce que je dispose de Java et V rifier la version de Java Recherche T l charger Aide ai ie V rification de l installation ri PTT D tection de Java sur votre ordinateur nn Version de Java v rifi e Java qu est ce que c est F licitations Supp i Supprimer les anciennes Vous disposez de la version de Java recommand e Version 7 Update 51 versions D sactivation de Java Messages d erreur D pannage de Java Aide suppl mentaire Ex cuter pour poursuivre peut tre invit r pon Figure 2 Java V rification du plug in Java OK Figure 3 Java V rification du plug in Java KO 33 237
164. eurs PC SC 4 La Cryptolib CPS v4 GALSS n est plus support e Pr f rer l installation de la Cryptolib CPS v5 5 La Cryptolib CPS v4 Full PC SC n est plus support e Pr f rer l installation de la Cryptolib CPS v5 En cas de doute contacter les supports e logiciels LPS e ASIP Sant pour confirmer la pertinence de l installation de la Cryptolib CPS v4 Full PC SC ou GALSS Tableau 22 Cryptolib CPS Remarques sur la proc dure d installation 40 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 11 3 Installation du GALSS amp Cette proc dure ne s applique pas avec la Cryptolib CPS v4 Full PC SC GALSS Remarques pr alables la proc dure d installation du GALSS 1 Les versions 4 ou sup rieures de la Cryptolib CPS n installent pas le GALSS 2 L utilisation de la derni re version du GALSS est recommand e L installeur du GALSS d tecte les lecteurs de carte physiquement connect la machine et cr e un fichier galss ini en cons quence Il est donc essentiel de connecter le lecteur de carte au poste de travail avant de lancer l installation du GALSS Le composant GALSS n est pas en lui m me compliqu installer Par contre il est utilis par de nombreux logiciels pr sents sur les postes Son installation ou sa mise jour peuvent tre tr s impactantes pour le fonctionnement du poste perte compl te des f
165. fait de ne pas installer pr alablement le GALSS l installation de cette fili re est vivement recommand e e Pour les postes quip s uniquement de lecteurs PC SC e En particulier pour les postes de d veloppements l installation de cette fili re tait obligatoire pour faire du Smartcard logon avec la Cryptolib CPS va Le Smartcard logon est d sormais support avec la Cryptolib CPS v5 uniquement et fait l objet d un document d di 17 pr f rer l utilisation de la Cryptolib CPS v5 qui factorise les 2 fili res ne pas l installer en parall le de la Cryptolib CPS v4 GALSS 31 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 Pr requis sur les versions de la Cryptolib CPS Version Sp cificit s factorise les fili res GALSS et PC SC adresse les cartes CPS2Ter et les cartes CPS3 exploite le profil CPS3 IAS ECC sur les cartes CPS3 3 Cryptolib CPS v5 n exploite pas le profil CPS2Ter sur les cartes CPS3 exploite le profil sans contact de la carte CPS3 pas de sans contact en CPS2ter installe la Cryptolib CPS v4 en parall le cf ci apr s est disponible en 32b et 64b sous Windows Consulter le support de l diteur du LPS pour v rifier la compatibilit de la version du LPS avec la version de la Cryptolib CPS vis e Tableau 12 Pr requis Versions des Cryptolib CPS La Cryptol
166. g Nombre maximum de tentatives cps_busy reader max _ try 10 cons cutives d appel une fonction CPS qui retourne un CR lecteur occup D lai en milliseconde entre deux tentatives cps_busy reader try sleep 1000 cons cutives d appel une fonction CPS qui retourne un CR lecteur occup Configuration du coffre fort help count 0 0 Pas de coffres forts en mode secours Configuration du coffre fort safe directory coffre R pertoire des coffres forts Configuration des traces directory traces R pertoire des traces trace 0 Pas de traces level 0 50 Trace de niveau DEBUG 100 Traces de niveau MAX Tableau 83 Windows Param trage de la Cryptolib CPS v4 14 Cette section config est facultative et peut tre absente du fichier de configuration Ce sont alors les valeurs par d faut indiqu es dans ce tableau qui sont utilis es par le module Cryptolib CPS 113 237 asSiPSanT Dnrormarion 16 1 2 Param trage de la Cryptolib CPS v5 PARTAGES DE SANTE Le param trage de la Cryptolib CPS v5 permet essentiellement de d terminer le niveau d expression des logs des changes avec la carte et PKCS 11 Les param tres de configuration support s avec la Cryptolib CPS v5 sont Section Cl Type D faut Valeurs possibles Effet Param trage des fonctionnalit s PKCS 11 Traces REG_DWORD 0 Ooul Active les traces HKCU ou HKLM Software ASIP Debug REG DWORD 0 0
167. gie est annonc e par Microsoft comme tant en rupture avec celle de Internet Explorer IE Windows 10 contiendra cependant aussi Internet Explorer 11 IE11 Cet OS sera gratuit en mise jour depuis Win7 Win 8 Win 8 1 et Win 8 1 Update 1 Il sera aussi diffus par les vendeurs de mat riels informatiques en tant qu OS par d faut des PC neufs D s lors le parc d OS sous Windows du secteur Sant amp Social principalement les PS lib raux commencera migrer vers Windows 10 progressivement 10 points d attention pour le support de ce nouveau couple OS navigateur sont d ores et d j identifi s Ce nouvel OS a t test par l ASIP Sant dans ses versions beta d s sa sortie en beta d c 2014 L ASIP Sant a repris ses tests en veille technologique l occasion de la sortie de la beta 10130 Lors de cette reprise des tests ont t constat s 1 que Spartan Edge sera le navigateur par d faut de Windows 10 a l utilisateur acc de difficilement utilisateur avanc averti au IE11 fourni avec ce nouvel OS 2 que la Cryptolib CPS v5 5 0 16 ne fonctionne pas telle qu elle est fournie avec ce nouveau navigateur a l authentification Web par carte CPx ne fonctionne pas avec les versions inf rieures ou gales la 5 0 16 3 que la Cryptolib CPS v5 fonctionne cependant avec IE 11 a b mol ce n est pas le navigateur par d faut de cet OS et l utilisateur y acc de difficilement utilisateur avanc
168. ial g Proc dure de concessions des 1 0 0 02 04 2013 ASIP Sant PR 8 94 anse sp cifications de la carte CPS3 7 Command Line Switches for the 9 PaM 22 02 200E i Microsak Microsoft Windows Installer Tool Note de publication 10 1 0 0 31 10 2013 ASIP Sant Installation MSI Cryptolib CPS Version 5 0 8 32bits Note de publication 11 1 0 0 31 10 2013 ASIP Sant Installation MSI Cryptolib CPS Version 5 0 8 64bits 4 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 Documents de r f rence N Version Date Auteur Document Manuel de programmation de la 12 1 5 0 16 10 2013 ASIP Sant Cryptolib CPS v5 Documentation programme d exemple 13 1 1 0 29 05 2011 ASIP Sant Me inc 14 10 1 10 10 2012 ASIP Sant Te PKCS 11 de la 15 1 0 0 23 01 2012 ASIP Sant Li ne Guide de r f rence de la 16 1 1 0 16 10 2013 ASIP Sant Impacts de la migration Cryptolib CPS v4 vers la Cryptolib CPS v5 Guide de mise en uvre d un Smartcard 17 2 5 3 17 10 2013 ASIP Sant logon avec une Carte de Professionnel de Sant CPS 18 10 2 02 04 2013 ASIP Sant Guide de mise uvre des profils itin rants 19 1 0 0 18 10 2013 ASIP Sant T l chargements logiciels esante gouv fr PGSSI S 20 1 0 0 26 09 2013 ASIP Sant R f rentiel D Authentification des acteurs de Sant 1 2 L i x N
169. ias 1 ou plus et NomAliasZ TRANSPA2 avec Z inf rieur ou gal NbAlias Important L installeur port par l applet Java de l AW PS DMP g re uniquement les 2 cas suivants pour la configuration lecteur e _1lecteur bi fente connect au poste de travail e 2 lecteurs mono fente PC SC connect s au poste de travail 150 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 CANAL1 PAD1 LAD1 LAD 1 NomLAD CPS NbAlias 1 NomAliasi TRANSPAI CANAL1 PAD1 LAD3 LAD 2 NomLAD Vitale NbAlias 1 NomAliasi TRANSPA2 Tableau 121 API de lecture SESAM Vitale Exemple de fichier galss ini pour un poste utilisant un lecteur bi fente CANAL1 PAD1 LAD1 LAD 1 NomLAD CPS NbAlias 1 NomAliasi TRANSPAI CANAL2 PAD1 LAD1 LAD 1 NomLAD Vitale NbAlias 1 NomAliasi TRANSPA2 Tableau 122 API de lecture SESAM Vitale Exemple de fichier galss ini pour un poste utilisant deux lecteurs PC SC 151 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 19 5 Int gration via les APIs logicielles L int gration logicielle avec la carte CPx et la Cryptolib CPS peut se faire aux diff rents tages de l architecture pr sent e plus haut 19 5 1 PC SC L int gration via une communication directe avec la carte CPx est possible partir des cartes CPS3 Les documents de r f rence n cessitant la signature d une
170. ib CPS GALSS A la fin de l installation le setup demandera de red marrer votre serveur pour la version GALSS de la Cryptolib CPS aly Ce reboot n est g n ralement plus demand par les installeurs MSI des Cryptolib CPS va et v5 Passage en mode ex cution du serveur en ligne de commandes lancer la commande change user execute 3lx Pour v rifier en quel mode le serveur se trouve lancer la commande change user query Cette tape n est pas requise avec des installeurs MSI http technet microsoft com en us library cc754288 28 WWS 10 29 aspx D placer les 2 fichiers INI de la Cryptolib CPS galss ini et cps_pkcs11_safe ini du r pertoire WINDIR C Windows par d faut vers le sous r pertoire Windows du r pertoire de base de chaque utilisateur se USERPROFILE Windows 1 par d faut sous W2003 a C documents and settings utilisateur Windows ji 2 par d faut sous W2008 a C Users utilisateur Windows a Nae lx Important Bien v rifier que ces deux fichiers ne sont plus pr sents dans le r pertoire Windows WINDIR C Windows par d faut Tableau 144 Installation en fili re GALSS 172 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 Dans le cas o le setup est ex cut sur le serveur sans tre pass en mode installation tous les fichiers seront copi s e dans le r pertoire de base de l uti
171. ib CPS v3 n est plus support e Les remarques li es son installation sont n anmoins conserv es pour m moire ou pour comparaison avec les versions Cryptolib CPS v4 et Cryptolib CPS V5 Tout au long de ce document les labels v3 v4 v4 Full PC SC et v5 rappellent la version de Cryptolib CPS laquelle se r f re la remarque mention pr cision courante 9 6 T l chargements logiciels Les composants logiciels sont t l chargeables au choix depuis T l chargements logiciels 1 Cryptolib CPS Espace T l chargements logiciels esante gouv fr 19 2 Cryptolib CPS Espace int grateurs ASIP Sant 3 GALSS Espace int grateurs ASIP Sant 4 Cryptolib CPS GALSS Installeurs logiciels LPS Tableau 13 Installation Sources des installeurs 32 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 10Proc dures rapides d installation du poste de travail 10 1 Installation du poste de travail via ODI OS Windows et Mac OS X Pr requis L Outil de Diagnostic et d Installation ODI propose un diagnostic non intrusif avant une 1 ventuelle installation Les risques li s l utilisation d ODI sont donc minimes Seul b mol l affirmation pr c dente le poste doit disposer d une version de Java jour Id alement le plug in Java doit tre activ sur le navigateur qui sera utilis Si ce n
172. ier galss ini Si diff rents fichiers galss ini existent cf IC 91 liste d emplacements pr cis e dans la Les installations et les ex cutions ont eu lieu proc dure GALSS Proc dure de avec diff rents niveaux d UAC sauvegarde du fichier galss ini Contacter le Support diteur du LPS afin de Dans ce cas si un LPS est pr sent sur le p R AS IC_92 pr ciser avec lui les modalit s d ex cution de poste sx son logiciel Dans ce cas comparer les diff rents fichiers galss ini existants cf liste IC_93 d emplacements pr cis e dans la proc dure GALSS Proc dure de sauvegarde du fichier galss ini Les diff rents fichiers galss ini doivent tre identiques Contacter un support informatique e e Support diteur du LPS e un Support priv si le poste fait l objet d un contrat de maintenance IC_93 Siles fichiers ne sont pas identiques Si le probl me persiste e le CCM reste au rouge e malgr un Contr le de l tat du GALSS positif e malgr la Proc dure de r g n ration du galss ini positif Contacter le Support CPx de l ASIP Sant cf tableau des services Support en d but de document Tableau 41 Contr les Contr le de l tat du CCM Gestion des erreurs 67 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 13 1 2 3 Contr le de l tat du Magasin Windows ID Contr le
173. iers journaux Applications et applets en m moire cache Figure 130 ODI Gestion cache Java 202 237 asiPsanT AGENCE DES SYST MES D INFORMATION PARTAG S DE SANT 35Annexe Ecarts d impl mentation CSP CryptoAPl API Disponibilit CSP Disponibilit ASIP CSP CPS3 v2 10 0 Cryptolib CPS 5 0 13 CSP CPS3 v2 11 0 Cryptolib CPS 5 0 15 CPAcquireContext Requise Impl ment CPCreateHash Requise Impl ment CPDecrypt Requise Impl ment CPDeriveKey Requise Non impl ment G n re une cl de session partir d un condensat pr calcul CPDestroyHash Requise Impl ment CPDestroyKey Requise Impl ment CPEncrypt Requise Impl ment CPExportKey Requise Impl ment CPGenKey Requise Non impl ment G n re une cl de session ou une bi cl RSA al atoire CPGenRandom Requise Impl ment CPGetHashParam Requise Impl ment valeurs non prises en compte de valeurs non prises en compte de CPGetkeyParam Reguisa TT avec dwParam KP_SALT KP_PERMISSIONS dwParam KP_SALT KP_PERMISSIONS KP_IV KP_PADDING KP_MODE KP_IV KP_PADDING KP_MODE KP_KEYLEN KP_KEYLEN Google Chrome 41 valeurs non prises en compte de valeurs non prises en compte de dwParam PP_PROVTYPE PP_KEYSPEC dwParam PP_PROVTYPE PP_KEYSPEC CPGetProvParam Requise Impl ment avec carts PREVA TEARC REA PER E A E PP_SMARTCARD_GUID PP_SMARTCARD_GUID PP_USE_HARDWARE_RNG PP_USE_HARDWA
174. ifications de signatures avec Outlook par exemple Acc s htt www outil diagnostic asipsante fr N cessaire pour une installation par ODI Acc s http esante gouv fr N cessaire e Acc s aux documents ASIP Sant e Acc s libre aux installeurs de la Cryptolib CPS L ASIP Sant n met aucune recommandation sur le fournisseur d acc s Internet Tableau 11 Pr requis Connexion d acc s Internet 30 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 9 5 Pr requis sur les versions de la Cryptolib CPS Pr requis sur les versions de la Cryptolib CPS Version Sp cificit s Cryptolib CPS Cryptolib CPS v4 fili re GALSS adresse les cartes CPS2Ter et les cartes CPS3 exploite le profil CPS2Ter uniquement sur les cartes CPS3 fonctionne avec le GALSS et les lecteurs PSS ou PC SC cette documentation adresse express ment cette fili re ne pas l installer en parall le de la Cryptolib CPS v4 Full PC SC Cryptolib CPS v4 fili re PC SC adresse les cartes CPS2Ter et les cartes CPS3 exploite le profil CPS2Ter uniquement sur les cartes CPS3 fonctionne avec les lecteurs PC SC uniquement bien que cette documentation n adresse pas express ment cette fili re l essentiel de l information qu elle contient est valable pour la fili re Full PC SC modulo le
175. inal Server Installation If you install a program from an msi package you do not have to run these command s to switch the system in and out of install mode Instead you can run the msi package or associated Setup file directly Tableau 159 Installation des applications sur Terminal Server M thode 3 182 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 23 4 5 Pr requis des environnements TSE CITRIX Pour que la librairie Cryptolib CPS PC SC fonctionne correctement en environnement TSE CITRIX Il faut donner un droit particulier privil ge aux comptes utilisateurs de la librairie Cr er des objets globaux SeCreateGlobalPrivilege Que les utilisateurs standards n ont pas par d faut en environnement TSE CITRIX Manipulation 1 Console MMC gt strat gies ordinateur local gt configuration ordinateur gt Param tres Windows gt param tres de s curit gt strat gies locales gt attribution des droits utilisateur gt cr er des objets globaux 2 Ajoutez les comptes utilisateurs concern s Plus de d tails ici http msdn microsoft com en us library bb530716 28v VS 85 29 aspx 23 4 6 Configuration des redirections des interfaces lecteurs Configurer la redirection des lecteurs de carte du poste client vers le serveur en fonction de leur type e lecteur PSS s rie lecteur dit bi fente co
176. ion de ce fichier avec TextEdit ne pose pas de probl me La m thode pour sauvegarder un fichier texte avec TextEdit avec un nom d extension personnalis est la suivante Dans TextEdit quand on a dit un nouveau fichier et qu on veut le sauvegarder au format texte il faut 1 Dans les pr f rences TextEdit gt Pr ferences gt Onglet Ouverture et enregistrement a d cocher l option ajouter une extension txt aux fichiers au format Texte 2 Dans le menu TextEdit gt Format s lectionner Convertir au format Texte 3 Lors de la sauvegarde du fichier a l encodage par d faut doit tre Unicode UTF8 b indiquer l extension souhait e c sauvegarder Il est possible de supprimer l extension txt a posteriori en ditant les propri t s du fichier avec cmd i ou pommei dans le Finder Agence des syst mes d information partag s de sant 9 rue Georges Pitard 75015 Paris T 33 0 1 58 45 32 50 www asipsante fr Agir ensemble pour soigner mieux asipsanTt AGENCE DES SYST MES D INFORMATION PARTAG S DE SANT Chaque fichier de trace est activable de mani re ind pendante 16 4 Fich iers de traces 16 4 1 Formats des fichiers de traces cps3p11_ pid _ tid log cps3p11_d84_db4 log Trace PKCS 11 Mac OS X V5 cps3opsc_ pid _ tid log cps3opsc_d84 db4 log Trace OpenSC cps3p11 pid _ tid log cps3p11 d84 db4 log Trace PKCS 11 Linux
177. ion sur votre carte CPS Valeurs IGC CPS ORGANISATION TEST AUTORITE TEST STRUCTURE CLASSE TEST CLASSE 2 IDENTITE Pr nom CHARLES Nom RESPONSABLE0000018110001 Identifiant 500000000018119 CPATO001 Ville Paris 75 Figure 65 Authentification sous Firefox TestSSL OK Tableau 54 Firefox Connexion HTTPS L apparition de cette page garantit que l installation des composants logiciels s est d roul e correctement 85 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 14 2 Utilisations avec Firefox sous Linux 14 2 1 V rification du Module de s curit CPS Firefox V rification du Module de s curit CPS 1 Fermer toutes les instances de Firefox si cela n avait pas t fait avant 2 Lancer CPS Gestion et faire un test des services cf Utilisation de CPS Gestion sous Linux 3 Relancer le navigateur Firefox Aller dans menu Edit gt Pr f rences gt Avanc gt Certificats gt P riph riques de s curit Edit View History Bookmarks Tools Help E lt e fr v Br Google a L A j TESTSSL ASIP ISante H a K Igo General Tabs Content Applications Privacy Security Sync General Data Choices Network Update Certificates When a server requests my personal certificate Select one automatically Ask me every
178. ions de d part de bien suivre les red marrages 131 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 Commentaires Windows Update 9 pour Exemple de strat gie un parc de postes Windows Update programm Pas de mise jour intempestive sur les postes Configuration de serveurs de mises jour sur le r seau local WSUS Machines de tests et d homologation des mises jour Tableau 99 Commentaires Windows Update Exemple de param trage de Windows Update sous Windows 7 1 reg HK rem Device Software Installation 0 au lieu de 1 add EY LOCAL MACH NE SOFTWAR E Microsoft Windows CurrentVersion Dr iverSearching v SearchOrderConfig t REG DWORD d 0 f 2 reg HK rem Windows Update add EY LOCAL MACH 1 au lieu de 4 NE SOFTWAR E Microsoft Windows CurrentVersion Wi ndowsUpdate Auto Update v AUOptions t REG DWORD d 1 f Tableau 100 Param trage de Windows Update sous Windows 7 Les documents de r f rence sur ces aspects sont Aspect Documentation de r f rence Installation de 1 a Step By Step Guide to Controlling Device Installation Using Group Policy mat riels 2 Windows Update Windows Server Update Services conseill en SI ES Configure Automatic Updates by Usi
179. ioth que i ES Dune PIRE T i J 1 l ment Figure 93 GALSS MSI Lancer une fen tre de commande avec les droits administrateur Programmes 1 Bime v 2 Touche Windows gt bo te Rechercher ou Microsoft Ex cuter en tant qu administrateur dans la bo te Ex cuter gt cmd gt clic droit sur E Insta HardLink gt C Programmes gt cmd exe gt Ex cuter en TE tant qu administrateur Figure 94 GALSS lancer cmd en tant qu administrateur Ex cuter les commandes suivantes C cd C INSTALLS GALSS mkdir C INSTALLS GALSS 32b mkdir C INSTALLS GALSS 32b Extract nn start wait msiexec a C INSTALLS GALSS galss a x yy zz msi qb TARGETDIR C INSTALLS GALSS at a aenn 3 32b Extract ici C Figure 95 GALSS MSI extract cd C INSTALLS GALSS mkdir C INSTALLS GALSS 32b mkdir C INSTALLS GALSS 32b Extract start wait msiexec a C INSTALLS GALSS galss 3 36 01 msi qb TARGETDIR C INSTALLS GALSS 32b Extract 102 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 Proc dure de v rification et de r g n ration manuelle du fichier GALSS ini Un programme ListSerial exe apparait dans C INSTALLS GALSS 32b Extract CommonA ppData santesocial galssv3 4 Ex cuter la commande suivante dir C INSTALLS GALSS 32b Extract CommonAp pData santesocial galssv3 ListSerial exe antesocial galssviNListSerial exe
180. iques de pointage Figure 89 Lecteur GIE SESAM Vitale Installation drivers 8 Contacter le Support GIE SESAM Vitale en cas de probl me de mat riels Tableau 64 Lecteur GIE SESAM Vitale Proc dure d installation manuelle des drivers lecteur GIE SESAM Vitale 99 237 ASIP Sant 15 2 4 Utilisation avanc e du GALSS 15 2 4 1 Proc dure d arr t du GALSS Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 Cette proc dure d crit la proc dure d arr t du GALSS tuer le GALSS Proc dure d arr t du GALSS 1 Lancer le Gestionnaire de t ches Touches Ctrl shift Echap 2 Arr ter le processus CCM exe s il existe 3 Arr ter le processus galsvw32 exe ou galsvw64 exe s il existe Tableau 65 GALSS Proc dure de lancement manuelle du serveur GALSS 15 2 4 2 Proc dure de lancement manuelle du serveur GALSS Proc dure de lancement manuelle du serveur GALSS Gestionnaire de p riph riques Fichier Action Affichage e 9 06 e ErS 4 g DS094 Autres p riph riques E Cartes graphiques E Cartes r seau 2 Claviers a Contr leurs audio vid o et jeu Contr leurs de bus USB Lancer le Gestionnaire de p riph riques a EN Lecteurs de cartes puce 1 Lecteurs de disque Touche Windows gt menu de saisie Rechercher ou Far 2 15 Ordi r Ex cuter gt mmc devmgmt msc gt Touche
181. ivation de l EPM ne d termine pas l architecture du ContentManager iexplore exe avec VEPM activ iexplore exe en 64b si UAC est activ en parall le iexplore exe fonctionne en 32b EPM N A activ et Si EPM UAC l Carte CPS dans lecteur PC SC OK e Carte CPS dans lecteur PC SC OK Que i Carte CPS dans lecteur PSS OK GALSS x64 Carte CPS dans lecteur PSS KO 1E11 activ i d sactiv d sactiv Cryptolib CPS v5 64b requise GALSS i ni pe 1 gt 64b rE Si G4b requis mais GALSS 64b KO Si i GALSS 64b requis mais GALSS EPM 64b N A N A N A EE N A EPM 64b KO oee A Carte CPS dans lecteur PC SC OK sn CAR PERS MIROIR activ i er FR activ i OK 1 NAE i i Carte CPS dans lecteur PSS KO Tableau 85 Windows Installation par d faut Internet Explorer UAC PM et EPM Le mode prot g PM est activ par d faut sur la zone Internet Remis en cause par https technet microsoft com en us security bulletin ms13 088 KB2888505 119 237 aSiPSanT AGENCE DES SYST MES D INFORMATION PARTAG S DE SANT 16 1 4 GPO et ADM L utilisation de GPO ou d ADM X est pr conis e sous Windows en lieu et place des acc s directs en base de registre afin de param trer les comportements de l OS Description 1 Configuration des mises jour automatiques 2 Configuration de la recherche automatique des drivers 3 Configuration de
182. l galssv3 galss old Contacter le support GIE SESAM Vitale en cas de probl me Tableau 68 GALSS Automatisation de la proc dure de v rification et r g n ration manuelle du fichier GALSS ini 105 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 15 2 4 4 GALSS 3 40 01 Activation des traces Le GALSS 3 40 01 permet d activer des traces ce qui permet de D identifier plus facilement l origine d un probl me GALSS De les communiquer au support GIE SV pour analyse Se r f rer au manuel d installation et d utilisation du GALSS v1 9 0 6 Le GALSS 3 40 02 corrige un probl me de performance du 3 40 01 li la verbosit des logs 15 2 5 Cryptolib CPS v5 L installeur de la Cryptolib CPS v5 permet de fixer des param tres de fonctionnement en les passant en ligne de commande l installeur MSI 15 2 5 1 Param tres d installation propos s par d faut L installation par d faut correspond e Installation des composants en mode de d tection manuel e Fr quence de d tection des v nements lecteurs en mode automatique 2sec e Fr quence de d tection des v nements lecteurs en mode manuel 600 sec Soit start wait msiexec i CryptolibCPS xx yy zz msi DETECTIONMODE 0 WATCHONTIMER 2 WATCHOFFTIMER 600 qn Tableau 69 Param trage par d faut de l installeur de la Cryptolib CPS v5 15 2 5 2 Param tres d installation Il est
183. lancer la machine si demand Tableau 19 Installation rapide MSI sous Windows Installation V rifications 1 CPS Gestion affiche les donn es d identification du porteur et de la carte 2 CCM passe au vert 3 Les magasins de certificats sont provisionn s 4 Le test d authentification SSL avec un navigateur et http testssl asipsante fr est OK Tableau 20 Installation rapide MSI sous Windows V rifications 38 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 11installation de la Cryptolib CPS 11 1 Pr paration de l installation Pr paration de l installation V rifier les pr requis Pr requis mat riels Pr requis sur les syst mes d exploitation Pr requis logiciels Pr requis sur l acc s Internet Pr requis sur les versions de la Cryptolib CPS Le syst me d exploitation OS de la machine doit tre l un des trois Windows Windows XP SP3 Server 2003 Server 2008 Windows 7 SP1 Windows 8 1 Mac OS X partir de la version 10 6 Linux Noyau 2 4 ou 2 6 Au moins un des trois types de lecteurs suivants est connect la machine Lecteur bi fente SESAM Vitale connect sur un port COM La valeur constructeur par d faut de l adresse physique PAD de ce type de lecteur est configur e 2 L installeur du GALSS met la valeur du PAD 2 dans le fichier g
184. lasse 4 support CleoCPS Tableau 2 Contacts 15 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 4 2 Contacts mat riels informatiques et ditions logicielles Nom Niveau R le Contact Support diteurs 1 2et3 Support des LPS D pendant des diteurs logiciels Support Microsoft 1 2et3 Support des PS et SIH sur les produits Microsoft D pendant des produits Support Apple 1 2et3 Support des PS sur les produits Apple D pendant des produits Support Redhat 1 2et3 Support aux int grateurs et diteurs sur les produits Redhat D pendant des produits Support lecteurs de cartes puce 1 2et3 Support aux PS int grateurs diteurs et SIH sur pour l int gration et l utilisation des lecteurs de cartes puce D pendant des fabricants de cartes Il est indispensable de bien respecter les niveaux de supports en particulier en contactant un support de niveau 1 en premier lieu Tableau 3 Recommandations utilisation niveaux de support 16 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 5 Glossaire Abr viation Signification AGPL Affero General Public License ANSSI Agence Nationale de la S curit des Syst mes d Information API Application Prog
185. le CCM en cliquant droit sur l ic ne du CCM et en Mosa choisissant Rafra chir l tat du lecteur MG _84 V rifier l tat du GALSS cf plus haut MG _85 V rifier l tat du CCM cf plus haut Tableau 43 Contr les Contr le de l tat du Magasin Windows Gestion des erreurs 68 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 13 1 2 4 Contr le de Connexion HTTPS Contr le de Connexion HTTPS sous Windows avec Internet Explorer Lancer Internet Explorer et saisir dans la zone adresse e _ http testssl asipsante fr puis cliquer sur le lien e _ https testssl asipsante fr Accepter et valider les diff rentes fen tres jusqu voir celle ci Authentification du client 1x FN men xl S curit de Windows r Identification Le site Web que vous voulez visiter requiert une identification sg A S lectionnez le certificat utiliser pour vous connecter Confirmer le certificat Cliquez sur OK pour confirmer le certificat S il ne s agit pas du bon certificat cliquez sur Annuler am 00B1055413 2 metteur TEST CLASSE 1 Valide partir du 01 02 2013 au 29 Cliquez ici pour afficher les propri Plus d infos 0K Annuler Figure 38 Authentification S lection du certificat sous Figure 37 Authentification S lection du certificat Windows 7 sous Wind
186. le magasin de certificats Microsoft Windows e lancer Internet Explorer e s lectionner le menu Outils puis Options internet e dans l onglet Contenu cliquer sur le bouton Certificats La fen tre suivante appara t et affiche le magasin des certificats personnels de l utilisateur Certificats gt R le pr vu lt Tout gt Personnel Autres personnes Autorit s de certification interm diaires Autorit s de certi D livr D livr par Expiration Nom convivial A TEST CLASSE 1 29 02 2016 C41008 1055413 TEST CLASSE 1 31 03 2016 lt Aucun gt ER 500000000018119 TEST CLASSE 2 29 02 2016 lt Aucun gt j Ek 500000000018119 TEST CLASSE 2 31 03 2016 lt Aucun gt i Figure 31 Windows Affichage du contenu du Magasin de certificats Windows 59 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 13 1 1 3 L alimentation du Magasin Windows L API CryptoAPl CSP de Microsoft impose aux applications de consulter le magasin de certificat avant de d clencher les op rations cryptographiques mettant en jeu les objets qu il contient Le CSP ASIP Sant fourni par la Cryptolib CPS remonte donc les certificats X 509 vers le magasin afin que les applications puissent solliciter les objets qu il contient Cette t che est effectu e en t che de fond soit e intervalles r guliers o e
187. les composants v4 fonctionnera toujours apr s installation de la Cryptolib CPS v5 200 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 34Annexe ODI Chaque version d ODI MSSant DMP g n rique est accompagn e d une FAQ accessible depuis un navigateur Web et qui recense les questions probl mes et contournements connus 34 1 Gestion cache Java ODI a besoin que le cache Java soit activ pour fonctionner Description 1 Panneau de configuration 2 Java ou Java 32bits 3 G n ral 4 Fichiers Internet Temporaires 5 Param tres 6 S assurer que Stocker les fichiers temporaires sur mon ordinateur est coch 7 S assurer que la quantit d espace disque allou e au stockage des fichiers temporaires est suffisante quelques dizaines de MB pour ODI suffisent 8 En cas d instabilit s constat es avec ODI vider le cache java en 9 Cliquant sur Supprimer les fichiers 10 Cochant Applications et applets install es en plus de Fichiers traces et Applications et applets en m moire cache 11 Cliquer sur OK Tableau 172 ODI Gestion Cache Java 201 237 ASIP Sant L Panneau de configuration Java Manuel d installation et d utilisation de la Cryptolib CPS 5 x Param tres des fichiers temporaires 09
188. lien k c CryptolibCPS x y z i386 rpm Linux install sudo dpkg D 3777 i cryptolibcps_x y z 1_i386 deb gt tmp logs cryptolibcps install txt 2 gt amp 1 untar sudo tar xvzf CryptolibCPS x y z i386 rpm tar gz rpm install sudo rom i vh CryptolibCPS x y z i386 rpm Mac OS X e ouvrir Cey ptolBCPSXY 2 dmg e lancer CryptolibCPS x y z pkg 45 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 Cryptolib CPS Proc dure d installation l installation se termine parfois par un message de 5 Windows demande de red marrage 6 Accepter le red marrage de la machine s il est demand 7 Red marrer de la machine Le compte de l utilisateur qui va utiliser la Cryptolib CPS Droits doit poss der les droits en lecture et en criture sur les r pertoires suivants et leurs sous r pertoires 8 Windows ALLUSERSPROFILE santesocial CPS Mac OS X Library Logs santesocial CPS Linux etc opt santesocial CPS Tableau 26 Cryptolib CPS Proc dure d installation 46 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 Si l installation s est bien termin e les composants logiciels sont maintenant disponibles sur la machine En environnement Windows sauf pour la Cryptolib CPS v4 Full PC SC cf pr sentation du CCM ci apr s l ic ne du programme CCM avec une couleur jaune bord e
189. lisateur XUSERPROFILE Windows e par d faut sous W2003 C documents and settings utilisateur Windows Remarque 1 Par d faut sous W2008 C Users utilisateur Windows Il faudra alors recopier tous ces fichiers dans le r pertoire WINDIR C Windows par d faut l exception du galss ini et cps_pkcs11_safe ini La logique voudrait que tous les postes client soient correctement install s et configur s Cela implique que les pilotes de chaque p riph rique soient install s correctement pilotes port Cela concerne en particulier les lecteurs bi fente 2 cas de figure 1 le lecteur bi fente est branch sur un port s rie 2 le lecteur bi fente est branch sur un port USB avec une mulation de port s rie virtuel driver USB lt gt COM Dans le premier cas TSE Citrix fonctionnera avec la redirection de port COM sans Remarque 2 qu il soit n cessaire d installer les drivers du lecteur sur le serveur Dans le deuxi me cas TSE Citrix devrait fonctionner avec la redirection de port COM sans qu il soit n cessaire d installer les drivers du lecteur sur le serveur de la m me mani re que pour le cas 1 Cependant la redirection s rie d un port COM virtuel peut poser probl me dans certains cas tester au cas par cas Dans ce cas il peut tre pr f rable e d installer aussi le driver USB s rie sur le serveur e d effectuer ensuite une redirection du p riph rique USB du client
190. liste des propri t s disponibles 2 Node AssignmentType Caption Description HelpLink HelpTelephone identifyingNumber InstallDate InstallDate2 inst allLocation lnstallSource lnstallState Language LocalPackage Name PackageCache PackageCode PackageName Pro ductID RegCompany RegOwner SKUNumber Transforms URLinfoAbout URLUpdatelnfo Vendor Version WordCount output Rem sortie Node 1 Composants Cryptographiques CPS v5 0 8 Composants Cryptographiques CPS v5 0 8 4748C15E 92F4 4FE8 BB47 6234D0CAE49B 20131213 C Program Files santesocial CPS InstallSource 5 1036 C Windows Installer 5d931 msi C omposants Cryptographiques CPS v5 0 8 C Windows Installer 5d931 msi 3D1D65DD 210C 4BF4 A40C 5E725244BCF9 CryptolibCPS v5 0 8 msi none RegOwner http esante gouv fr ASIP Sant 5 0 8 0 Does Get WmiObject Class win32 product filter Vendor like Shell SASIPS Sort name ft Name Version IdentifyingNumber Vendor Autosize i a 3 Exemple de sortie de cette commande Name Version IdentifyingNumber output Vendor Composants Cryptographiques CPS v5 0 8 x64 5 0 8 4748C15E 92F4 4FE8 BB47 6234D0CAE49B ASIP Sant Tableau 165 D tection d une installation Cryptolib CPS 192 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 29Annexe D claration des cartes de sant sous Windows 7 D claration des cartes de Sant sous Windows 7 La d claration de la carte CP
191. lit s 3 D sinstaller ou modifier un programme 4 S lectionner Composants cryptographiques CPS vx y z architecture 5 Cliquer sur D sinstaller 22 D sinstaller la Cryptolib CPS via la ligne de commande start wait msiexec x msi name qn Ou via la ligne de commande start wait msiexec x 4748C15E 92F4 4FE8 BB47 6234D0CAE49B 2 3 qn 2 4 Supprimer les logs cf Emplacements des fichiers de traces 2 5 Vider le cache cf S curit Cache de fichier carte Tableau 98 Cryptolib CPS Proc dure de d sinstallation compl te sous Windows 130 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 17 1 3 Windows Update Commentaires Windows Update L ASIP Sant ne distribue pas de composants logiciels via Windows Update Certains p riph riques peuvent avoir besoin de Windows Update pour s installer correctement lecteur de carte puces ou cartes puce Sous Windows 7 la Cryptolib CPS enregistre un CSP et l associe en base de registre aux cartes CPx de sorte que le message pilote de carte puce non trouv ne s affiche plus au moment de l insertion d une carte CPx dans un lecteur PC SC Sous Windows 7 les messages pilote de carte puce non trouv s affichent lors d une insertion de carte CPx e Sous Windows 7 x86 si la Cryptolib CPS v4 32b est install e o La Cryptolib CPS v4 n associe pas l
192. lp e zip e msi GALSS distribu par le GIE SESAM Vitale pour les A 8 La derni re version est pr conis e lecteurs PSS ScardSvr carte puce Windows Msiserver MSI Les services de gestion de cartes CertPropSvc propagation f A puces doivent tre pr sents p Mac OSX pcscd Sous Windows le MSI lance le 9 Services service SCardSvr pcscd PC SC libpcsclite Sous Linux le RPM assure le Linux dev d marrage de pcscd au boot PSS usbserial L ASIP Sant n met aucune recommandation logicielle particuli re Tableau 10 Pr requis Logiciels 29 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 9 4 Pr requis sur l acc s Internet Pr requis sur l acc s Internet pour l installation et l utilisation de la Cryptolib CPS Site Description Acc s Internet Acc s http integrateurs cps asipsante fr Facultatif G n ralement r serv aux diteurs et aux tablissements N cessaire si le GALSS n est pas fournie avec un logiciel tiers Acc s prot g par mot de passe Acc s http testssl asipsante fr et https testssl asipsante fr Facultatif pour l installation Tr s utile pour la v rification de l installation Acc s http annuaire asipsante fr http annuaire gip cps fr Facultatif pour l installation N cessaire pour des cas d usage avanc s signatures et v r
193. lss ini est recr en cons quence Si le poste est correctement configur pour Java 4 1 Remplacer l tape 3 par un diagnostic et une installation ODI Tableau 94 GALSS Proc dure de mise jour du fichier galss ini 17 1 1 2 D sinstallation Cf 6 GALSS v3 xx Gestionnaire d acc s aux lecteurs Sant Social La d sinstallation du GALSS ne d truit pas le fichier galss ini Il est donc inutile de d sinstaller le GALSS dans l espoir de r g n rer sa configuration lecteur Pour mettre jour la configuration lecteur il faut appliquer la proc dure GALSS r g n ration du fichier galss ini Tableau 95 GALSS Remarque d sinstallation sous Windows 128 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 La proc dure de d sinstallation compl te du GALSS sous Windows est la suivante GALSS Proc dure de d sinstallation compl te du GALSS Arr ter tous les processus li s au GALSS e Navigateurs e LPS e CCM e galsvw32 exe e galsvw64 exe D sinstaller le GALSS via Panneau de configuration Programmes et fonctionnalit s D sinstaller ou modifier un programme S lectionner GALSS v3 3x Cliquer sur D sinstaller 2 1 HE DURE 53 D sinstaller le GALSS via la ligne de commande start wait msiexec x msi name qn Ou via la ligne de commande 23 start wait msiexec x 6
194. lux so rwxr_xr_x Librairie PKCS11 CPS2ter cpgeslux old rwxr_xr_x Application de Gestion de la CPS2ter Jusr local galss libcpslux so rwxr_xr_x Librairie CPS libcptablux so rwxr_xr_x Module de gestion du dictionnaire libsscaslux so rwxr_xr_x Couche d Abstraction Syst me CPS Fichier de configuration pour le chargement des etc ld so conf d Cryptolib conf rwr r librairies pr sentes dans le r pertoire usr local galss Tableau 114 Linux Droits accord s par d faut 144 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 19 Architecture 19 1 Principales API Cryptographiques du poste de travail 19 1 1 CryptoAPI ou CAPI CSP CAPI est le sigle de Cryptographic Application Program Interface CAPI est une API d velopp e par Microsoft qui d finit un jeu de fonctions cryptographiques utilisables par les applications Windows Un module logiciel qui impl mente ces fonctions se nomme un CSP pour Cryptographic Service Provider Un CSP doit tre sign par Microsoft ou par Authenticode cf KBs en Annexe avant d tre utilisable 19 1 2 Common Data Security Architecture ou CDSA Tokend CDSA est une architecture d velopp e par Apple qui d finit un jeu de fonctions cryptographiques utilisables par les applications Macintosh Un module logiciel qui impl mente ces fonctions se nomme un Tokend 19 1 3 PKCS 11 PKCS est le sigle de Public Key Cryptography Standa
195. ment Tableau 173 Ecarts d impl mentation CSP CryptoAPl 204 237 asSiPSanT AGENCE DES SYST MES D INFORMATION PARTAG S DE SANT 36Annexe Points d attention et contournements Ticket OS Archi Limitation Alternative Statut Statut 4 probl me alternative Sous Win7 64b si l UAC est positionn un niveau diff rent de d sactiv et La Cryptolib CPS v5 64b est alors que l EPM est activ IE10 passe en requise pour que le CSP 64b soit AT_0010 Win7 x64 mode 64b charg Si la carte CPx est ins r e Confirm Confirm dans un lecteur PSS il faut aussi un Des erreurs carte absente peuvent GALSS 64b pour IE puisse utiliser la alors appara tre en authentification SSL carte par exemple Wing x86 La Cryptolib CPS ne fonctionne pas avec Utiliser Internet Explorer en TUON S AT 0020 Win8 1 x64 Internet Explorer en interface Metro interface desktop EORFIRNE FONANS Au choix Le CCM et CPS Gestion install s par la 1e stralen ia Cryptohi cS 32B Re 2 Mettre la carte CPS dans un Win7 Cryptolib CPS 64b sont des applications lecteur PC SC AT_0030 Wing x64 64b Ils ne fonctionnent pas si la carte Confirm Confirm AA 3 Installer le GALSS 64b Win8 1 CPx est ins r e dans un lecteur PSS en ee attente du GALSS 64b 4 Utiliser le CCM et CPS f Gestion 32b pr lev s dans l installeur Cryptolib CPS 32b Agence des syst
196. ment de CPS Gestion CPS Gestion est disponible apr s l installation de la Cryptolib CPS Lancement de CPS Gestion Cryptolib CPS v5 deux versions du programme CPS Gestion sont fournies avec cette Cryptolib CPS e CPS Gestion v6 xx version disponible par d faut accessible depuis le menu D marrer gt Programmes gt Sant Social gt CPS gt Gestionnaire de la carte CPS e CPS Gestion v5 xx version utiliser pour v rifier l installation de la fa on suivante Lancer au choix d pendant de l architecture de l OS e ProgramFiles santesocial CPS cpgesw32_CPS2ter exe e ProgramFiles x86 santesocial CPS cpgesw32_CPS2ter exe et faire les m mes manipulations 1 Windows C Program Files santesocial CPS E i i ol x Fichier Edition Affichage Favoris Outils 2 Q Pr c dente gt i a A Rechercher E gt Dossiers E Adresse C C Program Files santesocialCPS z OK Dossiers x Nom Taille_ Type Date de modification J amp a activation_traces reg 1Ko Inscription dans le Registre 27 04 2012 17 19 mn FU cc exe 1646Ko Application 08 11 2012 12 40 m cleocPs_2 3 2 ccm automatique reg 1Ko Inscription dans le Registre 27 04 2012 17 19 D os Ei den manuel reg 1Ko Inscription dans le Registre 27 04 2012 17 19 diagam ds 1866Ko Application 14 11 2012 11 49 ra 412Ko Application 27 04 2012 17 19 s re _traces
197. mes d information partag s de sant 9 rue Georges Pitard 75015 Paris T 33 0 1 58 45 32 50 www asipsante fr Agir ensemble pour soigner mieux ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 Ticket OS Archi Limitation Alternative maur Statut probl me alternative Ceci est d une limitation du GALSS Au choix Internet Explorer en interface desktop 1 Mettre la carte CPS dans un Win8 x86 ne fonctionne pas avec une carte CPS lecteur PC SC TEDE EoLA AT 0090 060086 Win8 1 x64 ins r e dans un lecteur PSS si l EPM est 2 Ajouter le site courant la Lantin CARRE activ liste des sites de confiance 3 D sactiver VEPM 4 Installer le KB2888505 L fichi Iss ini effectu Toute x86 i S a Re Re Eviter la distribution du galss ini via AT_0050 0001122 plate P YP le r seau local ou les profils Confirm N A x64 trop fr quents entrainant des ire forme itin rants probl mes de performances Le fichier reader conf n est pas copi l installation si le GALSS n est pas install du fait d une limitation de pcscd Le probl me affecte les Mac quip s sous Mac OS X de lecteurs PSS AT_0060 Mac OS X https smartcardservices macosforge o L alternative consiste s assurer que Confirm Confirm rg trac ticket 40 La pr sence de ce fichier reader conf sans avoir de lecteur PC SC branch fait crasher PC SC le fichier rea
198. n Firefox ASIP Sant Module de s curit ASIP Sant en pr sence d une carte EE LR RETENIR EE EE TT I EU PRE IRL 90 Extension Firefox ASIP Sant Module de s curit ASIP Sant en pr sence d une carte renal E rein einen rte Mn nn l nn terne etiener este 90 Extension Firefox ASIP Sant V rification magasin de certificats 90 Extension Firefox ASIP Sant V rification magasin de certificats 90 Authentification sous Firefox Linux TestSSL OK ss 91 Lecteur GIE SESAM Vitale MSI GALSS ire 95 Lecteur GIE SESAM Vitale cmd as admin 96 Lecteur GIE SESAM Vitale MSI extract sise 96 Lecteur GIE SESAM Vitale Drivers issues 96 Lecteur GIE SESAM Vitale V rification Installation drivers 97 Lecteur GIE SESAM Vitale V rification Installation drivers 97 Lecteur GIE SESAM Vitale V rification Installation drivers 97 Lecteur GIE SESAM Vitale Installation drivers 98 Lecteur GIE SESAM Vitale Installation drivers 98 Lecteur GIE SESAM Vitale Installation drivers 99 Lecteur GIE SESAM Vitale Installation drivers 99 GALSS devmgmt 2 8 8 a nn far cit den rar ne iris 100 GALSS devmgemt t COM inner nm nie vlan 100 GALSS Ftaskmanager sisie lin ni nn Nr nie trie iite 101 GALSS MSh int ne intranet nm anis 102 GALSS lancer cmd en tant qu administrateur sssesssssssessseesrsssseseressrssssesernesnsssseseeeene 102 GALSS MSV extract sacr ment Rennes 102 GALSS LIStS rial 455 etant ae A nn ne
199. n com p 5 Tableau 80 Fedora Source installation p riph riques USB S rie Etape Description D tails Formatage de la ligne de la sortie de la commande lsusb 1 Isusb Bus nBus Device nDevice ID vendorlD ProductID D nommination produit Ex Bus 00X Device 00Y ID 0000 1111 Chaine 2 dmesg tail Liste des pilotes install s charg s 11 d tty renvoie dev ttyUSBO sudo modprobe usbserial dev tty dev tty Fedora 15 vendor 0x0000 product 0x1111 setserial dev ttyUSB0O ne renvoie pas d erreur Le fichier ressemble Editer etc default grub 1 GRUB DISTRIBUTOR Fedora Fedora 15 A la fin de 2 GRUB DEFAULT saved 3 GRUB CMDLINE LINUX rd md 0 3 le module GRUB_CMDLINE_LINUX rd dm 0 rd lvm lv vg office lv root usbserial est quiet SYSFONT latarcyrheb sun16 compil dans le Ajouter rhgb KEYTABLE uk rd luks 0 noyau rd lvm lv vg office lv swap usbserial vendor 0x0000 LANG en_US UTF 8 usbserial product 0 x1111 usbserial vendor 0x0000 usbserial product 0x1111 Fedora 16 ii z grub2 mkconfig gt grub la place Mettre jour la configuration grub boot grub2 grub cfg de grub 4 Red marrer la machine 11 dev tty renvoie dev ttyUSBO Tableau 81 Fedora Installation d un lecteur PSS 111 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 15 3 2 Proc dure de v rification du fichier galss ini Etape Description Le fichier usr local gals
200. n ere 00 L 84K D sactiv Meter d Soeber ere a 00 GAMK D sscav volet Wir eped exe ya 00 135 dres 4 MSASCuS ese a 00 BAK D sactiv Windows MEL eve a 00 Z2416K Actv Apcbcaro Lached exe ra 00 JSK D sactv Java p ianhe cwe yon x 1 Desactv la TM e ra 00 MBK D sactv Jevo TM epore exe vap Lu 4096K Actv internet epre ene LL 2 2 AINK Av Pienet gasvwl 2 exe r GK Ac r rves d frer exe x M NA D sactiv fref explorer e x 7394k D sartv Expior ste dm exe x K D si Gestora 41 11 1 x LR L F AfScher les processus de tous les utisses Anty le process Processus 54 UC utilis e 7 M meorre physique 72 Figure 123 V rification de la virtualisation avec le gestionnaire de t ches Windows La virtualisation est activ e pour GALSVW32 CPS Gestion CCM utilisent le galss ini La virtualisation est d sactiv e pour Java Firefox La virtualisation est activ e pour Internet Explorer mais Internet Explorer tourne en mode Low Integrity Level il n utilise donc pas le virtualstore de l utilisateur 189 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 l utilitaire mt exe permet d tudier les fichiers manifests des diff rentes applications Application Fichier manifest GALSVW32 CPS Gestion CCM ne contiennent pas de fichier manifest Internet Explorer Java Firefox contiennent un fichier manifest avec l
201. n particulier si le lecteur est un lecteur PSS e sur l v nement d insertion carte dans le lecteur o en particulier si le lecteur est PC SC A titre de comparaison le standard PKCS 11 pr voit un renvoi des certificats X 509 aux applications quand celles ci les sollicitent Voir la section Architecture pour plus de pr cisions 13 1 1 4 Le CCM La t che de fond d alimentation du magasin en certificats CPx implique la mise en uvre d une fonction de surveillance de la pr sence d une carte CPx dans le lecteur Cette t che est assur e par un utilitaire appel CCM fourni par la Cryptolib CPS Le couple CCM CSP ASIP Sant assure la coh rence entre l tat du magasin de certificats Microsoft et la pr sence absence de la carte CPx dans le lecteur e Si une carte CPx est introduite dans un lecteur connect au poste o le CCM d tecte l introduction de la carte e Si une carte CPx est retir e d un lecteur connect au poste o le CCM d tecte le retrait de la carte e Dans tous les cas suite la d tection de l v nement carte par le CCM o le CCM v rifie l tat des lecteurs et des cartes o le CCM signale au CSP l v nement o le CSP efface les certificats ASIP Sant pr sents dans le magasin de certificats personnels o le CSP ajoute les certificats associ s des cartes encore pr sentes au magasin de certificats personnels 60 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2
202. n tn en AE A RE ln An en OO AR ne eme ense 139 18 8 Sans CONTAC aane a irei E EAE a AE AAEE EA A E a E E A aa AE ETEN 140 18 97 ANTIVIRUS mn a i eaa eaa eme Mdr nn tree rer 140 18 10 Pare feds sise ture innenan ananas manne See en ETN nine nte ans 140 18 11 Consid rations de s curit sous Microsoft Windows ssssssssssssssssssssrsseresssressrnssenssensses 141 18 11 1 Gestion des fichiers MSi acsee iris 141 18 11 2 Comptes utiliSateur 45sruminrn a a i Tintin rise 141 18 113 SEVICE S En rene E A E EA E RERE ten tement e E Du 141 TEILA D marrag s s miss den een en le AOE IERO 141 18 13 Consid rations de s curit sous LINUX in 144 18 13 1 Comptes utiliSateurs ir nn nr Tnt naine nan 144 18 132 DOITS ae r a E E a e E E EAE a AE E A a N 144 19 Architecture nie E E E A EEEREN ea tn de tn destine ne 8 145 19 1 Principales API Cryptographiques du poste de travail 145 19 11 CryptoAPl ou CAPI CSP interne arme h tan tint ar fe ttes 145 19 1 2 Common Data Security Architecture ou CDSA Tokend sssssssssseesssssnssersseesserssee 145 1913 APKESHIT 550 mue nt soie dite anne ate re cS ne nn nn a ere ee en une 145 19 2 Architecture du poste de travail de sant ss 146 19 3 Sp cificit s de l architecture Mac OS Xe 147 19 4 Int gration avec l API de lecture SESAM Vitale annsnssessseesnssssesereerrssssesereesrssssrsereenesss 149 19 4 1 Configuration de l API de lecture SESAM Vitale pour PAW PS DMP
203. ng Group Policy Tableau 101 Documentation de r f rence 132 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 17 2 Mises jour et d sinstallations de la Cryptolib CPS sous Linux 17 2 1 Cryptolib CPS 17 2 1 1 Mont e de version La proc dure de mont e de version de la Cryptolib CPS sous Linux est la suivante Cryptolib CPS Proc dure de mise jour de la Cryptolib CPS rpm rpm U vh CryptolibCPS x y z 1386 rpm 1 Dpkg Appliquer la proc dure d installation dpkg i Tableau 102 Cryptolib CPS Proc dure de mise jour sous Linux 17 2 1 2 D sinstallation de la Cryptolib CPS La proc dure de d sinstallation de la Cryptolib CPS sous linux est la suivante Cryptolib CPS Proc dure de d sinstallation compl te de la Cryptolib CPS rpm qa grep i cryptolib rpm rpm qa grep i Cryptolib rpm e lt package name gt sudo dpkg D 3777 force all purge cryptolibcps gt tmp logs cryptolibcps uninstall txt 2 gt amp 1 dpkg Tableau 103 Cryptolib CPS Proc dure de d sinstallation compl te sous Linux 133 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 18 Performances et s curit 18 1 V rification des fournitures ASIP Sant Remarque Pr cisions Les fournitures ASIP Sant sont sign es L
204. nn RE NS hit 103 Windows Lancement de l diteur de base de registre 107 Param trage de l UAC UserAccountControlSettings exe ss nnsseensseneesseeerrsennnsserenssee 116 Mode prot g 1 par zone inetcpl cpl 116 227 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 Figure 100 inetcpl cpl Options Internet EPM Windows 7 64b IE11 117 Figure 101 inetcpl cpl Options Internet EPM et EPM 64b Windows 8 et Windows 8 1 IE11 117 Figure 102 Authentification Saisie du code porteur avec la Cryptolib CPS v5 sans EPM 118 Figure 103 Authentification Saisie du code porteur avec la Cryptolib CPS v5 avec EPM 118 Figure 104 Architecture Architecture du poste de travail de Sant 146 Figure 105 Architecture Tokend iii 147 Figure 106 Exemple d un certificat X 509 d authentification d une CPS2bis CPA 166 Figure 107 Exemples de cha nes de confiance de CPS 167 Figure 108 d une CPS2bis CPA ii E TOOR CEE OTE 167 Figure 109 d une CPS2ter CPS et CPF iii 167 Figure110 d une CPS2ter CDE naren mn aan n ant AN teste eds 167 Figure 111 lecteur Xiring Prium 3S Ingenico IHC800 nnnsssseeneensnsssseseneesrsssseserensnsssseeerresnssssenee 168 Figure 112 GALSS expiration des certificats de signature des d
205. nnellement elles sont disponibles en acc s libre via les Ordres ou les annuaires de sant Les informations contenues dans un certificat ne donc sont pas sensibles Les certificats peuvent tre diffus s en clair sans crainte Une cl priv e est associ e une cl publique elle m me g n ralement associ e une identit au sein d un certificat Cette association cl priv e certificat cl publique identit est assur e en premier lieu par et dans la carte CPx Une cl priv e est une donn e sensible La carte CPS3 h berge 3 cl s priv es authentification signature et technique qui ne sortent jamais de la carte Les middlewares cryptographiques assurent eux aussi une association cl priv e certificat g n ralement par l interm diaire de la mise en uvre d un identifiant de cl priv e 2 Cl priv e La Cryptolib CPS demande ainsi la r alisation d op rations cryptographiques la carte CPx en lui pr cisant des identifiants de cl priv e et non en exportant les cl s priv es pour les manipuler en dehors de la carte La carte CPx autorise o au contraire interdit certaines op rations cryptographiques avec les cl s priv es l op ration de signature est ainsi seulement autoris e avec l identifiant de cl priv e de signature Au contraire les op rations de d chiffrement de donn es ou d export de cl priv e sont tout simplement interdites Le stockage et la prot
206. nnsseneosseneessenensserensserensseresssee 38 Tableau 19 Installation rapide MSI sous Windows Installation ssosesssennessssesssensrssssesereesrsssseene 38 Tableau 20 Installation rapide MSI sous Windows V rifications ssssnnssesensseeeesserensserenssereessee 38 Tableau 21 Pr paration de l installation nonnnnssenennsennesseoensseneessenenssennessernnssernnsseennssernnssernnsseennsee 39 Tableau 22 Cryptolib CPS Remarques sur la proc dure d installation 40 Tableau 23 GALSS Remarques sur la proc dure d installation snsssseeesennesssseseeensnssssesereesnsssseene 41 Tableau 24 GALSS Proc dure de sauvegarde du fichier galss ini nsnnnnnnnnnnnsennnssenenssenenssernssseenssee 43 Tableau 25 GALSS Proc dure d installation ss 44 Tableau 26 Cryptolib CPS Proc dure d installation 46 Tableau 27 CPS Gestion Lancement sous Windows ssssssssssssssssssssssssrsssesssesesstsessesetsstnssensstnsensseesees 48 Tableau 28 CPS Gestion Liste des fonctionnalit s ssessessesssssisssrsssrsssrsssisssrrssinssrrssrnsrnsseesses 49 Tableau 29 CPS Gestion Lancement de CPS Gestion sssesssessssssiessrsssissrssrtssssssirsserssrrsenssensseesees 50 Tableau 30 CPS Gestion Utilisation pour v rification de l installation de la Cryptolib CPS 53 Tableau 31 Utilisation de CPS Gestion sous Mac OS Xe 56 230 237 ASIP Sant Manuel d installation et d utilisation de la Crypt
207. nssnsesereenrssssesererrrssssesernesnsssserereesnssns 191 Tableau 165 D tection d une installation Cryptolib CPS 192 Tableau 166 D claration des cartes de Sant sous Windows 7 193 Tableau 167 D tails des d clarations des cartes de Sant sous Windows 7 194 234 237 ASIP Sant Tableau 168 registre Tableau 169 Tableau 170 Tableau 171 Tableau 172 Tableau 173 Tableau 174 Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 Windows Configuration Rendre tous les ic nes toujours visibles via la base de Eaa Ta EE REA EEEE A E T E a AEE Aa AA E a GEE A E a aa 197 identifiants CPX teenaan a a e aea a au te a 198 Gestion des identifiants CPx via C_GetTokenlnfo et TOKEN_ INFO 198 EcosySteme CPi eaaa a e e nee aaa al 199 ODI Gestion Cache Java iii nr A aeiae erias ah aadar iaetb ner rc 201 Ecarts d impl mentation CSP CryptoAPI 204 Points d attentions et contournements 213 235 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 41Notes fin du document 236 237 Agence des syst mes d information partag s de sant 9 rue Georges Pitard 75015 Paris Tel 01 58 45 32 50 PARTAG S DE SANT esante gouv fr
208. ofile v S AUSERPROFILE AppData Lo alVirtudlstore Win Oui C INSTALLS GALSS Config yyyyMMdd xx virtualstore 3 dows galss ini T 2 z ALLUSERSPROFILE santesocial galss galss ini Oui CA INSTALLS GALSS Config yyyyMMdd xx programdata PUBLIC AppData santesocial galss galss ini Non C INSTALLS GALSS Config yyyyMMdd xx public USERPROFILE AppData Local Microsoft Windo ws Temporary Internet Files Virtualized C ProgramData santesocial galss Non C INSTALLS GALSS Config yyyyMMdd xx tempinet galss ini USERPROFILE AppData Local Microsoft Windo ws INetCache VIRTUALIZED C PROGRAMDATA SA Non C INSTALLS GALSS Config yyyyMMdd xx inetcache NTESOCIAL GALSS GALSS INI Optionnel Supprimer manuellement les fichiers galss ini La suppression des fichiers galss ini est pr conis e en cas de R installation R g n ration de configuration M me liste d emplacement que ci dessus La restauration sera possible partir des fichiers du r pertoire C INSTALLS GALSS Config yyyyMMdd xx Tableau 24 GALSS Proc dure de sauvegarde du fichier galss ini 43 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 Sur un poste vierge la proc dure d installation du GALSS se r duit alors ceci GALSS Proc dure d installation 1 Connecter le les lecteur s de cartes au poste de poste de travail M me si le poste est suppos tre vierge appliquer
209. ographic Provider comment this in favor of Crypto Provider DisablesCPnP I I IIIONLY over x64 system installed 4 with Cryptolib GPS 325 III LITONEZILLIL to remove scary faulty device driver installation messages ATRMask hex ff ff ff ff ff ff ff ff 00 00 ff c0 ff ff ff ff ff ff ff ff Vitale HKEY LOCAL MACHINE SOFTWARE Microsoft Cryptography Calais SmartCards Carte Vitale 1 ATR hex 3 f 65 25 00 00 09 00 90 00 Crypto Provider DisablesCPnP ATRMask hex ff ff ff ff 00 f 00 f f f f HKEY LOCAL MACHINE SOFTWARE Wow6432Node Microsoft Cryptography Calais SmartCards Car te Vitale 1 gann MATR hex 3f 65 25 00 00 09 00 90 00 Crypto Provider DisablesCPnPp ATRMask hex ff ff ff ff 00 f 00 f f f HKEY LOCAL MACHINE SOFTWARE Microsoft Cryptography Calais SmartCards Carte Vitale 2 garn ATR hex 3b 75 13 00 00 40 09 ea 90 00 Crypto Provider DisableSCPnP ATRMask hex ff ff ff ff ff f0 ff ff ff ff HKEY_LOCAL MACHINE SOFTWARE Wow6432Node Microsoft Cryptography Calais SmartCards Car te Vitale 2 ATR hex 3b 75 13 00 00 40 09 ea 90 00 Crypto Provider DisableSCPnP ATRMask hex ff ff ff ff ff f0 ff ff ff ff Tableau 167 D tails des d clarations des cartes de Sant sous Windows 7 194 237 ASIP Sant 09 07 2015 Manuel d installation et d utilisation de la Cryptolib CPS 30Annexe Configuration des ic nes de la barre de t che Win
210. olib CPS 09 07 2015 Tableau 32 Utilisation de CPS Gestion sous Linux ss 58 Tabl au 33 CCME R marques sine delai RS Re dinde dentistes a a i e eaaa tee estate lens 61 Tableau 34 CCM Activit du CCM ssssssssesssesssssssesssessstsssressressresstesstenseeaseraseensstusoeunosuuserssorssoensoensees 61 Tableau 35 CCM configuration ad quate de l ic ne du CCM sous Windows 7 61 Tableau 36 CCM Fonctionnalit s de l interface graphique sssssssssissssssssesrrsssseserennrssssesereenrsssseene 63 Tableau 37 Pr conisations CCM vs service de propagation Windows 63 Tableau 38 Contr les Contr le de l tat du GALSS ss 64 Tableau 39 Contr les Contr le de l tat du GALSS Gestion des erreurs 64 Tableau 40 Contr les Contr le de l tat du CCM 65 Tableau 41 Contr les Contr le de l tat du CCM Gestion des erreurs 67 Tableau 42 Contr les Contr le de l tat du Magasin Windows 68 Tableau 43 Contr les Contr le de l tat du Magasin Windows Gestion des erreurs 68 Tableau 44 Contr le de Connexion HTTPS sous Windows avec Internet Explorer 70 Tableau 45 Mac OS X Contr les visuels de l installation 72 Tableau 46 Contr le de Connexion HTTPS sous Mac OS X avec Safari 73 Tableau 47 Linux Contr les de l installation sssssesesssssssesssreessssrsrsresrsesstnennsrnstnsnnstnstestneenseneensnt 75 Tableau 48 Firefox
211. olitique G n rale de S curit des Syst mes d information de Sant PKCS Public Key Cryptographic Standards PKI Public Key Infrastructure IGC PM Protected Mode Mode prot g PS Professionnel de Sant PSS Protocole Sant social RDP Remote Desktop Protocol RGS R f rentiel G n ral de S curit RPM Redhat Package Manager SI Syst me d Information SSL Secure Sockets Layer TBW A compl ter TLS Transport Layer Security TSE Terminal Server Edition 19 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 Abr viation Signification UAC User Account Control URL Uniform Resource Locator WMI Windows Management Instrumentation Tableau 4 Glossaire 20 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 6 Liste des entreprises cit es Le pr sent document cite les produits des entreprises ou organismes suivants Nom Site Web Lien avec la Cryptolib CPS ANSSI www ssi gouv fr Co r dacteur du RGS Recommandations sans contact Apple www apple com Mac OS X BouncyCastle www bouncycastle org API cryptographique pour C et Java Citrix www citrix com Env TSE Citrix Debian www debian org Linux deb Fedora fedoraproject org Linux rpm Google www google com Google Chrome GIE SESAM Vitale www sesam vitale fr PSS GALSS API de lecture Vitale
212. ompatibles avec les architectures client l gers impl ment s via TSE Citrix Leur int gration dans ce type d architecture est report e en annexe de ce guide La Cryptolib CPS a pour ambition de respecter au mieux les standards du march et les architectures des syst mes sur lesquels elle est d ploy e Cryptolib CPS A FTE AE EN YP La Cryptolib CPS peut d s lors potentiellement tre int gr e dans toutes les fonctionnalit s de s curit ou de s curisation des syst mes d exploitation qu elle cible Tableau 141 Cryptolib CPS Remarques sc narios d int gration fonctionnelle Cryptolib CPS 164 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 20Annexe Pr cisions techniques T v3 v4 v5 Remarques En environnement 64 bits les Cryptolib CPS v3 et v4 fonctionnent en mode mulation 32 bits Avec les Cryptolib CPS v3 et v4 les applications utilis es ne peuvent donc tre que des applications 32 bits navigateurs clients de messagerie Avec les Cryptolib CPS v3 et v4 le m canisme de Smartcard logon mis en uvre de mani re native par le syst me ne fonctionne pas sur un syst me 64 bits du fait de l mulation 32 bits La Cryptolib CPS v5 64 bits est requise dans ce cas de figure La Cryptolib CPS v5 est compil e pour les syst mes 32 bits ou 64 bits 2 installeurs MSI diff rents 1
213. on et d utilisation de la Cryptolib CPS 09 07 2015 7 Avertissements Sur le n cessaire strict respect des proc dures d crites dans le manuel L attention de l utilisateur est attir e sur l importance de respecter strictement les proc dures d crites dans le pr sent manuel d installation et d utilisation de la Cryptolib CPS v5 Toutes les proc dures qui y sont d crites ont t pr alablement test es par ASIP Sant Elles doivent permettre l utilisateur d installer et d utiliser la Cryptolib CPS v5 sur son poste de travail ou tout autre dispositif informatique En cas de non respect de ces proc dures et des conditions normales d utilisation de la Cryptolib CPS v5 sa mise en uvre est susceptible d engendrer des dysfonctionnements dans l environnement de travail de l utilisateur En cas de dysfonctionnement quel qu il soit ASIP Sant pr tera dans la mesure du possible assistance l utilisateur qui ne pourra rechercher sa responsabilit en cas de non respect des proc dures d crites dans le pr sent manuel Sur les liens externes Le pr sent manuel contient des liens vers des sites Internet Ces liens ne visent qu informer l utilisateur Ces sites Web ne sont pas g r s par l ASIP Sant et l ASIP Sant n exerce sur eux aucun contr le leur mention ne saurait engager l ASIP Sant quant leur contenu L utilisation des sites tiers mentionn s rel ve de la seule responsabilit du lecteur ou
214. on web en parall le par exemple Avec ODI v5 l outil fonctionne avec des connexions HTTP HTTPS configur es pour utiliser un proxy 10 ODI n est pas destin aux d ploiements sur des r seaux administr s typiquement en tablissement de sant Pr f rer l utilisation du Pack Etablissement cf site integrateurs cps asipsante fr dans ces cas de figure Tableau 17 Installation rapide ODI Limitations 37 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 10 2 Installation du poste de travail via les MSI sous Windows Pr requis 1 Avoir peu de doute sur les pr requis list s plus haut 2 Connaissances en informatique 3 Connexion internet Disposer d un ordinateur Windows Mac OS X ou Linux d j quip physiquement d un lecteur e PSS bi fente de type FSE e ou PSS mono fente NF CPS e ou mono fente PC SC Disposer d une carte CPx e non bloqu e 4 e code porteur connu e non expir e e non r voqu e Tableau 18 Installation rapide MSI sous Windows Pr requis Installation 1 Arr ter toutes les applications en particulier celles qui acc dent la carte CPS 2 T l charger les derniers composants logiciels Ex cuter l installation partir du package logiciel r cup r e installer le GALSS galss x yy zz msi Puis e installer la Cryptolib CPS CryptolibCPS x y z msi 4 Re
215. onctionnalit s possible 4 La pr paration de l installation doit donc tre minutieuse Les logiciels LPS pr sents sur le poste et utilisant le GALSS doivent avoir t qualifi s pour la version de GALSS qui va tre install e En cas de doute il est pr f rable de contacter le support de l diteur logiciel afin d obtenir la confirmation de la compatibilit entre la version courante du LPS et la version du GALSS installer Les informations contenues dans le fichier galss ini sont essentielles Si les informations contenues dans le fichier galss ini s av raient tre d corr l es par rapport aux connexions physiques lecteurs poste de travail le poste de travail ne pourrait pas mettre en uvre correctement les cartes CPx ins r es dans les lecteurs PSS Cette documentation n est pas le guide d installation et d utilisation du GALSS Pour plus de pr cision se reporter 6 GALSS 3 xx Gestionnaire d Acc s aux Lecteurs Sant Social Tableau 23 GALSS Remarques sur la proc dure d installation 41 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 La proc dure d installation du GALSS est la suivante Pr paration installation du GALSS Branchement lecteur PSS Support lecteur Trois cas 1 Pas de LPS sur le poste Un cas 2 LPS non d pendant du GALSS 3 LPS non fonctionnel 1 LPS fonctionnel V rification tats des Dans
216. onduit chaque red marrage de la machine 5 Quitter Permet de quitter le programme CCM Tableau 36 CCM Fonctionnalit s de l interface graphique 13 1 1 6 Le service de propagation Microsoft Le service de propagation de certificat est un service standard sur le syst me d exploitation Microsoft Windows depuis les versions Vista Il apporte en standard des fonctionnalit s offertes jusque l par le CCM Il ne fonctionne qu avec e Les lecteurs PC SC o Il pest pas mis en uvre si la carte CPx est ins r e dans un lecteur PSS e La Cryptolib CPS v5 Dans ce cas il s ex cute en parall le du CCM A la diff rence du CCM il n efface pas les certificats ASIP Sant sur l v nement de retrait de carte du lecteur Ce point ne pose aucun probl me de s curit les certificats X 509 ne contenant que des donn es publiques non confidentielles cf partie S curit et performances Ce point peut cependant poser probl me en utilisation avec les LPS qui pr supposaient g n ralement jusque l qu il n y avait que la paire de certificats de la carte courante en magasin l utilisation du CCM reste donc pr conis e sous les versions de Windows sup rieures ou gales Windows Vista pour deux raisons principales e Compatibilit des LPS vis vis de la pr sence de plus de 2 certificats CPx dans le magasin v rifier e Lecteur PSS non compatible avec le Service de Propagation Tableau 37
217. onfiance Autoriser cette installation V n tout moment en vous rendant dans le entaires Vous devez red marrer Firefox pour terminer l installation de ce module Red marrer Firefox Annuler compl mentaire Figure 48 Extension Firefox ASIP Sant Installation 4 Relancer Firefox en cliquant sur Red marrer Firefox 76 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 Firefox V rification du Module de s curit CPS Aller dans menu Firefox gt Options gt Options cnisa Paae de d marraae de Mozilla Firefox Nouvel onglet 7 Marque pages F Nouvelle fen tre de navigation priv e Historique gt dition r T l chargements pi Z Entourer Rechercher dans la page d Modules compl es Enregistrer sous Options Options Envover nar courriel un lien vers la nane Aide b Figure 49 Firefox Param trage du module de s curit Puis dans gt Avanc gt Certificats airen F e E a T ad x E Fo a Q A G n ral Onglets Contenu Applications Napis S curit Sync G n ral Donn es collect es R seau Mises jour Certificats Lorsqu un serveur demande mon certificat persono en s lectionner un automatiquement me demander chaque fois Afficher les certificats Validation P riph riques de s curit Figure 50 Firefox Param trage du module de s
218. ons de mise jour de la JVM impact sur les logiciels utilisant Java impact sur les logiciels utilisant des applets Java 3 Plugin Java pour les navigateurs web et JavaScript N cessaires pour une installation via activ s ODI Facultatif sur les machines de roduction 4 Adobe Acrobat Reader p se Requis afin de consulter la n TD documentation Oo 00 4 Sous Windows Sous Windows e Les droits administrateurs ne 5 e Les fichiers de type MSI doivent pouvoir sont pas requis en premi re tre install s intention voir plus loin e L UAC peut tre activ e e Les droits des comptes par d faut sont suffisants L ASIP Sant ne teste pas de configuration avec antivirus Attention aux actions de d sactivation de l antivirus Les installations sont g n ralement possibles avec APETO A ADO E ER 6 8 possives v rifications fonctionnelles Cf manuel des diteurs d antivirus Certains antivirus ou anti malware d sactive le module XPI d extension Firefox de l ASIP Sante module de s curit CPS 28 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 Pr requis logiciels pour l installation et l utilisation de la Cryptolib CPS Description Pr cisions ODI t l charge en particulier des fichiers de type 7 Les installations sont g n ralement possibles sur e jar des postes prot g s par un firewall e jn
219. ont plus chers que les PinPAD lecteurs PC SC USB simples Les diteurs d sireux d offrir la saisie du code porteur CPx support lecteur PC SC avec ie A 3 PinPAD sur le PinPAD sont invit s se faire conna tre aupr s de editeurs asipsante fr La majorit des logiciels g rant les lecteurs PC SC n utilise 4 support lecteur PC SC USB pp pas le PinPAD Ces lecteurs sont tous USB Les lecteurs PC SC sans PinPAD sont peu on reux 7 5 support lecteur PC SC USB j pour un lecteur Navigo Les lecteurs PC SC USB peuvent tre mono fente 6 contact sans contact ou dual contact sans 7 support lecteur PC SC USB contact Les lecteurs dual coutent environ 90 Le choix 8 se fait par analyse des fonctionnalit s vis es ou par anticipation des fonctionnalit s venir Figure 137 Choix de lecteur remarques Agence des syst mes d information partag s de sant 9 rue Georges Pitard 75015 Paris T 33 0 1 58 45 32 50 www asipsante fr Agir ensemble pour soigner mieux ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 38Annexe Utilisations de Edge et de IE11 sous Windows 10 38 1 Situation Microsoft distribuera son nouvel OS Windows 10 partir du 29 07 2015 Cet OS embarquera qui plus est un nouveau navigateur appel Edge jusqu pr sent son nom tait Spartan d o la double nomenclature dans ce qui suit dont la technolo
220. ows XP Cette fen tre correspond au certificat X 509 d authentification de votre carte CPS 3 Appuyer sur Afficher le certificat pour afficher le d tail du certificat 4 Appuyer sur OK La fen tre suivante appara t Saisissez votre Code Porteur x Saisissez votre Code Porteur a a Il vous reste 3 tentative s Il vous reste 3 tentatives pour la carte CPS 2400158476 I vous reste 3 tentative s pour la carte CPS3v1 2300959718 Code Porteur E o j 5 Code Porteur arpa M Annuler Anruies Ea v5 0 13 64b v02 10 00 32b Figure 39 Authentification Saisie du code porteur avec la Cryptolib CPS v4 GALSS du code porteur avec la Cryptolib code porteur avec la Cryptolib CPS v5 CPS v4 Full PC SC Figure 40 Authentification Saisie Figure 41 Authentification Saisie du 6 Saisir les 4 chiffres du code porteur de la carte CPS 7 En cas de succ s de l authentification la page suivante appara t 69 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 a z Contr le de Connexion HTTPS sous Windows avec Internet Explorer f ES nups hestsstasips O R O TESTSSL pour Librairies Cry gt 12 i Fichier Edition Affichage Favoris Outils A TESTSSL ASIP Sante firoamaT PARTAGE ve san Accueil esante gouv
221. pour chaque architecture sont disponibles La Cryptolib CPS v5 32 bits s installe sur les syst mes 64 bits Cette configuration est n anmoins fortement d conseill e Avec la Cryptolib CPS v5 les applications 64 bits fonctionnent d sormais du fait de la disponibilit de la version 64 bits 1IE10 en mode 64 bits par exemple Avec la Cryptolib CPS v5 le m canisme de Smartcard logon mis en uvre de mani re native par le syst me fonctionne sur un syst me 64 bits du fait de la disponibilit de la version 64 bits Lors de l installation de la version GALSS de la Cryptolib CPS v3 le serveur doit disposer pr alablement d au moins un lecteur de carte PC SC ou PSS pr sent et correctement install sur le poste Si le serveur tourne dans un environnement virtualis type VMware Hyper V XenServer le lecteur de cartes devra tre pr sent sur le poste client pilotant le serveur pas sur la machine o est h berg physiquement le serveur L utilisateur doit disposer des droits administrateur 10 Cette limitation n a plus cours avec la Cryptolib CPS v4 ou la Cryptolib CPS v5 11 Except dans le cadre du Smartcard logon l installation de la Cryptolib CPS se fait exclusivement sur le serveur aucun composant CPS n a besoin d tre install sur les postes client Tableau 142 Pr cisions techniques 165 237 ASIP Sant Manuel d install
222. r pertoire de base Tous les fichiers ini sont lus install et enregistr s dans le r pertoire syst me Le mappage du fichier ini doit tre d sactiv lors de l installation des applications sur un serveur Terminal Server query Affiche le param trage actuel relatif au mappage du fichier ini Affiche l aide l invite de commandes Tableau 152 Param tres de la commande Change user 23 4 1 3 Remarques R Remarques sur l utilisation de la commande Change user Utilisez la commande change user install avant d installer une application pour cr er des fichiers ini pour cette application dans le r pertoire syst me Ces fichiers servent de sources pour les fichiers ini sp cifiques aux utilisateurs Apr s avoir install l application utilisez la commande change user execute pour revenir au mappage du fichier ini standard La premi re fois que l application est ex cut e elle recherche ses fichiers ini dans le r pertoire de base Si les fichiers ini ne se trouvent pas dans le r pertoire de base mais dans le r pertoire 2 syst me ces fichiers sont copi s dans le r pertoire de base par les services Terminal Server garantissant ainsi que chaque utilisateur dispose d une copie unique des fichiers ini de l application Les nouveaux fichiers ini sont cr s dans le r pertoire de base Chaque utilisateur doit disposer d une copie unique des fichiers ini d une application 3 Cela permet d viter les situations o
223. r GIE SESAM Vitale V rification de l installation des drivers lecteur GIE SESAM Vitale 97 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 15 2 3 3 Installation manuelle des drivers lecteur GIE SESAM Vitale Proc dure d installation manuelle des drivers lecteur GIE SESAM Vitale 1 LIRE LE MANUEL DU LECTEUR 2 Suivre la Proc dure d extraction manuelle des drivers lecteur GIE SESAM Vitale Suivre la Proc dure de v rification de l installation des drivers lecteur GIE SESAM Vitale 3 i PEN Et notamment sauf indication contraire du manuel d utilisation du lecteur BRANCHER LE LECTEUR f f D 4 Gestion de l ordinateur lt s f Fichier Action Affichage En cas de probl me sur un lecteur e 20 0140 E 1 4 GIE SESAM Vitale mettre jour le Gestion de l ordinateur local 4 3 DS094 PE 9 a i Outils syst me 4 b Autres p riph riques pilote de p riph rique planificateur de t ches tn P ri J observateur d v neme a wo sg Mettre jour le pilote Figure 86 Lecteur GIE SESAM Vitale Installation drivers s K Il Mettre jour le pilote P riph rique inconnu mn m a Comment voulez vous rechercher le pilote Rechercher automatiquement un pilote mis jour Windows va rechercher sur votre ordinateur et sur Internet le pilote le plus r cent pour votre p riph rique sauf si vous avez d sactiv cet
224. ramming Interface ASIP Sant Agence des Syst mes d Information Partag s de Sant ATS Answer To Select r ponse de la carte puce sans contact la s lection par le lecteur sans contact ATR Answer To Reset r ponse de la carte puce la mise sous tension AW PS DMP Acc s Web PS au DMP CAPI CryptoAPl architecture de s curit Microsoft CCM CPS Certificates Manager CNIL Commission Nationale de l Informatique et des Libert s CDR Consultation en ligne des droits de l assur CDSA Common Data Security Architecture architecture de s curit Macintosh CDA Carte de Directeur de structure Autoris e CDE Carte de Directeur d tablissement CPA Carte de Personnel Autoris CPE Carte de Personnel d Etablissement CPF Carte de Professionnel de sant en Formation CPS Carte de Professionnel de Sant CPx Famille de cartes puce mises par l ASIP Sant comprenant CDA CDE CPA CPE CPF et CPS CSP Cryptographic Service Provider biblioth que impl mentant la Microsoft CryptoAPI CAPI 17 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 Abr viation Signification CVE Common Vulnerabilities and Exposures DEB DEBian software package DLL Dynamic Link Library fichier de biblioth ques logicielles des syst mes d exploitation Microsoft DMP Dossier M dical Personnel DPKG Debian PacKaGe m
225. rds ensemble de standards de cryptographie cl publique initialement dit s par RSA Labs PKCS 11 d finit un jeu de fonctions cryptographiques utilisables par les applications locales Un module logiciel qui offre des fonctions PKCS 11 se nomme Cryptoki Le standard PKCS 11 volue d sormais sous l gide de OASIS version 2 3 et ult rieures 145 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 19 2 Architecture du poste de travail de sant La Cryptolib CPS est le nom donn au composant logiciel distribu par l ASIP Sant e r pondant aux trois interfaces CSP Tokend PKCS 11 e utilisant les cartes CPx Ce composant pr sente donc les trois interfaces e La biblioth que CryptoAPl CSP CPS environnements Windows e Le Tokend CDSA GIP CPS tokend environnements Macintosh e La biblioth que PKCS 11 PKCS 11 CPS environnements Windows Mac OS X et Linux Ces trois composants Cryptolib CPS constitu des trois biblioth ques CSP CPS GIP CPS tokend et PKCS 11 CPS API CPS et GALSS s articulent suivant ce sch ma de principe Navigateurs ou Messageries ou autres applications CSP CPS GIP CPS tokend Biblioth que PKCS 11 CPS Composant API CPS Composant GALSS Figure 104 Architecture Architecture du poste de travail de Sant 18 Le CSP n existe que pour les OS Windows La biblioth que
226. reg 1Ko Inscription dans le Registre 27 04 2012 17 19 F7 objets Espace disque TT 1 56 co 1 83 Mo 4 Poste de travail Figure 10 CPS Gestion Lancement de CPS Gestion 2ter Dans le dossier Applications lancer Gestion de la carte CPS2ter et faire les m mes manipulations 600 Gx Applications 5 al gt EEE 1m 7 a APPAREILS Firefox BO Biblioth que amp Front Row O T Macintosh HD 7 ccert bin S Gestion de la carte CPS 2 Mac OS X A CE Developer Ex iDisk x Syst me a Google Chrome bai Utilisateurs 2 ical PARTAGES 1 il O iChat Il deskp010 v L Macintosh HD_3 Applications 39 l ments 24 88 Go disponibles Figure 11 CPS Gestion Lancement de CPS Gestion 2ter sous Mac OS X 1 Lancer un terminal 2 Entrer la commande sudo usr local galss cpgeslux old 3 Linux o Cette version de CPS Gestion pour linux utilise le GALSS libgalcllux so i e le GALSS linux doit tre install 3 Entrer la commande sudo opt santesocial CPS bin cpgeslux o Cette version de CPS Gestion pour linux utilise la Cryptolib CPS v5 Tableau 29 CPS Gestion Lancement de CPS Gestion 50 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 12 4 Utilisation de CPS Gestion sous Windows Utilisation de CPS Gestion sous Windows 1 Ins rer la carte CPx dans le lecteur de cartes 2 Lancer CPS Gestion en suivant Lancement de CPS Gestion La fen
227. rivers ssssssessssssrssssessrrrsssssseeee 169 Figure 113 GALSS timestamMping i 2 r eme en Mine Mets ati e tee Mi eirhne 169 Figure 114 GALSS expiration des certificats de timestamping 1 169 Figure 115 GALSS expiration des certificats de timestamping 2 169 Figure 116 Architecture Cryptolib CPS TSE Citrix en fili re GALSS ssessssssoeseoeseesseessrrssrnssersseessee 171 Figure 117 Architecture Cryptolib CPS TSE Citrix en fili re PC SC 175 Figure 118 Windows Configuration Param trage des ic nes de la zone de configuration depuis le panneau de configuration 22 listen nr ren it lente tante tit dns et orient enai 186 Figure 119 Windows Configuration Param trage des ic nes de la zone de configuration depuis la barre de tachos oratii eii Eaa AA AEAEE estime rer anse te tente etes c te 186 Figure 120 Windows Configuration Afficher tous les ic nes 187 Figure 121 Windows Configuration Tous les ic nes toujours visibles dans la barre de t ches 187 Figure 122 Windows Configuration Gestionnaire de certificat CPS toujours visible 000000 188 Figure 123 V rification de la virtualisation avec le gestionnaire de t ches Windows 189 Figure 124 Windows Configuration Param trage des ic nes de la zone de configuration 195 Figure 125 Windows Configuration Afficher tous les ic nes 196 Figure 126 Windows Configuration
228. rivers lecteur GIE SESAM Vitale Proc dure de v rification de l installation des drivers lecteur GIE SESAM Vitale LIRE LE MANUEL DU LECTEUR Sauf indication contraire du manuel d utilisation du lecteur BRANCHER LE LECTEUR Lancer le Gestionnaire de p riph riques Touche Windows gt menu de saisie Rechercher ou Ex cuter gt mmc devmgmt msc gt Touche entr e r Gestionnaire de p riph riques Fichier Action Affichage e 9 ElE 4 a DS094 4 Bb Autres p riph riques P riph rique inconnu a WD SES Device USB Device E Cartes graphiques 4 2 Cartes r seau Figure 83 Lecteur GIE SESAM Vitale V rification Installation drivers Probl mes de p riph riques Gestionnaire de p riph riques Fichier Action Affichage e 9 m Roc 4 g5 DS094 4 Autres p riph riques fn P riph rique inconnu A WD SES Device USB Device E Cartes graphiques 4 2 Cartes r seau Figure 84 Lecteur GIE SESAM Vitale V rification Installation drivers P riph riques correctement install s 41 P riph riques syst me a YF Ports COM et LPT E Port de communication COM1 z 7 Port de communication COM2 TM Port imprimante ECP LPT1 y XIRING USB CDC 0B COM5 Le Processeurs 4 Souris et autres p riph riques de p Figure 85 Lecteur GIE SESAM Vitale V rification Installation drivers Tableau 63 Lecteu
229. rsion GALSS Prog r siduels Installation du GALSS Installation package GALSS Support diteur Support GIE SESAM Vitale Nouvelle version de GALSS support e Reconfiguration du LPS Nouvelle version Pas de MAJ du GALSS us gt Support diteur Figure 6 GALSS Proc dure d installation 42 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 Le composant GALSS ainsi que les logiciels traditionnellement pr sents sur un poste de travail Sant Social sont sensibles la qualit du fichier de configuration galss ini Avant d installer ou de mettre jour le GALSS il est donc pr f rable de sauvegarder toutes les occurrences du fichier galss ini pr sentes sur le poste de travail OS GALSS Proc dure de sauvegarde du fichier galss ini Cr er un r pertoire de sauvegarde d di CA INSTALLS GALSS Config yyyyMMdd xx Ex C INSTALLS GALSS Config 20120229 01 date du jour au format ann e Ex 20120229 date du jour au format ann e mois 1 yyyyMMdd mois jour jour num ro de la sauvegarde du XX jour 8 Ex 01 1ere sauvegarde Sauvegarder manuellement les fichiers suivants Signal nn Source par ODI Destination WINDIR galss ini Oui C INSTALLS GALSS Config yyyyMMdd xx windir USERPROFILE Windows galss ini Oui C INSTALLS GALSS Config yyyyMMdd xx userpr
230. rtificat CPS CCM est masqu ce qui emp che l utilisateur de voir l tat de sa carte dans le lecteur Solution 1 Configuration du syst me suivant la proc dure suivante 1 param trage configurer la zone de notification pour que tous les ic nes soient toujours visibles EF Panneau de configuration Tous les Panneaux de configuration lo x go E Panneau de configuration Tous les Panneaux de configuration K Rechercher 2 Ajuster les param tres de l ordinateur E Affichage Centre de synchronisation Clavier D Courrier Eg Ex cution automatique Eil Gestion des couleurs Lea Graphiques et m dia Intel R M informations et outils de performance 3 Options d alimentation E Options des dossiers r7 Pare feu Windows LL Barre des t ches et menu D marrer CE Centre R seau et partage a Comptes d utilisateurs y Date et heure Flash Player a Gestionnaire de p riph riques Groupe r sidentiel j Java Options d ergonomie Options Internet 2 P riph riques et imprimantes Ic nes de la zone de notification Afficher par Petites ic nes Y e Centre de maintenance Be Chiffrement de lecteur BitLocker W Connexions distantes a Emplacement et autres capteurs Ea Gadgets du Bureau Mise en route d Options d indexation A Outils d administration EX Personnalisation Figure 118 Windows Configuration Param trage des ic
231. ryptographic Provider Sans ASIP_SMARTCARDS_TAG_CL Carte de Professionnel de Sante CPS3 CL contact ASIP_SMARTCARDS_ATR_CL 3B8F80010031B86404B0ECC1739401808290000E ASIP_SMARTCARDS_ATRMASK_CL fffffffffffffffFOOOOffcOff fff Tableau 75 Variables et valeurs li es aux cl s de registre de la carte CPx L enr lement de la carte CPx dans le syst me se fait sous les cl s suivantes Archi Volet Cl Contact HKEY_LOCAL_MACHINE SOFTWARE Microsoft Cryptography Calais SmartCards ASIP_SMARTCARDS_TAG x86 ans HKEY_LOCAL_MACHINE SOFTWARE Microsoft Cryptography Calais SmartCards ASIP_SMARTCARDS_TAG_C contact 1 Contact HKEY_LOCAL_MACHINE SOFTWARE Wow6432Node Microsoft Cryptography Calais SmartCards ASIP_SMAR ontac TCARDS_TAG x64 Sans HKEY_LOCAL_MACHINE SOFTWARE Wow6432Node Microsoft Cryptography Calais SmartCards ASIP_SMAR contact TCARDS_TAG_CL Tableau 76 Cl s de registre de la carte CPx 109 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 Ces cl s contiennent les 3 valeurs suivantes Valeurs Type D faut Description ATRMask REG_BINARY ASIP_SMARTCARDS_ATRMASK _CL Masque de l ATR ATR REG_BINARY ASIP_SMARTCARDS_ATR _CL ATR Chaine de caract re vds correspondant la Yp REG_SZ ASIP_SMARTCARDS_CRYPTO _CL d claration en base Provider de registre au CSP Asip Sant Tableau 77 Cl s de registre de la
232. s Lorsque le Module de s curit CPS est bien install la fen tre suivante apparait Certificate Manager x Your Certificates People Servers Authorities Others You have certificates on file that identify these certificate authorities Certificate Name Security Device Gid YASIP SANTE ACIGC SANTE ELEMENTAIRE PERSONNES Software Security Device AC IGC SANTE FORT PERSONNES Software Security Device ACIGC SANTE STANDARD ORGANISATIO Software Security Device ACIGC SANTE FORT ORGANISATIONS Software Security Device AC IGC SANTE ELEMENTAIRE ORGANISA Software Security Device AC RACINE IGC SANTE ELEMENTAIRE Software Security Device AC RACINE IGC SANTE STANDARD Software Security Device AC RACINE IGC SANTE FORT Software Security Device AC IGC SANTE STANDARD PERSONNES Software Security Device YAutoridad de Certificacion Firmaprofesion Autoridad de Certificacion Firmaprofesi Builtin Object Token Autoridad de Certificacion Firmaprofesi Builtin Object Token Import voKk Certificate Manager Your Certificates People Servers Authorities Others You have certificates on file that identify these certificate authorities Certificate Name GeoTrust SSL CA Google Internet Authority G2 YGIP CPS GIP CPS AC CLASSE 5 GIP CPS GIP CPS PROFESSIONNEL GIP CPS GIP CPS CLASSE 1 GIP CPS CLASSE 3 GIP CPS CLASSE 2 GIP CPS PROFESSIONNEL GIP CPS GIP CPS CLASSE 0 AC CLASSE 4 GIP CPS GIP CPS CLASSE
233. s e E Toutes les images E Tous les films E Tous les documents Cm Utilisateurs Keyspan Serial Assistant Lecteur DVD Livre des polices Mail o Opera Ki Pacifist E Photo Booth LZ PlistEdit Pro E Pr f rences Syst me QuickTime Player Safari B SrvSVcnam_Lanceur A Teamviewer E Expos Grapher Informations Syst me Installatio e Mac OS X Moniteur d activit L Pr f rences Java ES Spaces M Terminal Transfert de podcast Utilitaire AirPort Utilitaire ColorSync amp Utilitaire de disque 7 TextEdit utilitaire de r seau Time Machine Utilitaire RAID T E Transfert d images v Utilitaire VoiceOver u GJ Utilitaires X X11 1 A Macintosh HD_3 Ga Applications 5 Utilitaires Trousseau d acc s 800 E Utilitaires am Lale 88 p a a APPAREILS Applications gt iChat M Configurat dio et MIDI Aper u Cm Biblioth que locomcnf 5 Console r A Macintosh HD E Developer iSync gt change d s Bluetooth f Ga Syst me iTunes 1 diteur AppleScript H FN Nom Trousseau d acc s Type Application Taille 9 5 Mo sur le disque Cr le 31 07 09 09 19 Modifi le 30 06 11 14 07 Derni re 04 09 12 14 46 ouverture version 4 1 1 Plus d infos 1 sur 27 s lectionn 24 96 Go disponibles Figure 43 Installation Mac OS X Trousseau d acc s Cat gorie Une fois cette application lanc e
234. s io_comm ini contient la d claration du mapping dev ttyUSBO lt gt num ro de port COM via une ligne du type COMX dev ttyUSBO Le num ro de port COM ainsi mapp est reporter dans le fichier Jusr local galss galss ini suivant la m me logique que sous Windows CANAL1 TCanal 1 Index X TConnexion 1 Protocole 0 Caracteristiques 19200 1 8 0 0 NbPAD 1 Tableau 82 Linux Proc dure de v rification du fichier GALSS ini 112 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 16Configuration de la Cryptolib CPS 16 1 Configuration de la Cryptolib CPS sous Microsoft Windows 16 1 1 Param trage de la Cryptolib CPS v4 La Cryptolib CPS2Ter se configure via le fichier ALLUSERSPROFILE santesocial CPS coffre cps_pkcs11_safe ini v4 Full PC SC Avec la Cryptolib CPS v4 Full PC SC le fichier s appelle cps_pkcs11_pcsc ini La section config regroupe les cl s permettant de faire des ajustements sur le fonctionnement des diff rents modules composant la Cryptolib CPS v4 La liste des sections et cl s permettant de configurer le module Cryptolib CPS v4 est la suivante Section Cl D faut Effet Configuration des acc s lecteurs D lai en secondes entre 2 tests de tpc_polling time 1 i pr sence carte effectif ER ER 10 Nombre maximum de tentatives fier ps_open_ a d ouverture de session CPS confi
235. s raisons de s curit il est recommand de ne pas conserver les MSI sur les machines de production A d faut e Les fichiers peuvent tre renomm s afin de casser l association MSI lt gt msiexec e Les droits d ex cution accord s sur les MSI aux utilisateurs du syst me doivent tre maitris s e Le r pertoire de stockage des MSI doit tre prot g par des r gles d acc s pr cis lecture criture ex cution pour les administrateurs 18 11 2 Comptes utilisateur La Cryptolib CPS ne n cessite pas de cr ation pr alable de compte utilisateur particulier Elle ne n cessite pas non plus de modification des comptes existants sur le poste L installeur de la Cryptolib CPS requiert une l vation de privil ges Le compte administrateur par d faut peut tre utilis mot de passe du compte ou pr sence de l administrateur du poste requis 18 11 3 Services Afin d installer des MSI le service msiserver doit tre lanc il l est par d faut il peut avoir t arr t par mesure de s curit L installeur de la Cryptolib CPS s assure que le service SCardSvr se lance automatiquement SCardSvr est indispensable avec les lecteurs PC SC Le service de propagation du certificat CertPropSvc n est pas indispensable si le CCM est utilis 18 11 4 D marrage L installeur de la Cryptolib CPS positionne l ex cutable CCM exe pour qu il se lance au d marrage des sessions utilisateur Il le
236. sam vitale fr CPS Info Service Support ASIP Sant 1 Support CPS 0 825 85 2000 Support CPS OR s Support ASIP Sant 1 incident incident asipsante fr Support CPS f Support ASIP Sant 1 d ploiement jegeneraliselacarte sante gouv fr ppor Pom ane 2 HABOrE etablissement asipsante fr Etablissements tablissements S t ASIP Sant DMP PE ee nes 2 Support DMP DMPCOMPATIBILITE sante gouv fr Compatibilit Support ASIP Sant gt Support pa MSSant MSSant A mssanteinfoservice sante gouv fr Support SUPROREERIR zante 2 MSSant en mssanteinfoservice es sante gouv fr MSSant Etablissement Support S t ASIP Sant 5 uppor i anse 2 MSSant aux espacedeconfiance mssante sante gouv fr MSSant op rateurs Support ASIP Sant TOM 2 Support TOM TOM support technique asipsante fr 14 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 Nom Niveau R le Contact Demande Support ASIP Sant RPPS 2 d extractions RPPSextraction sante gouv fr RPPS aupport AAF Samie 2 aupport r annuaire sante gouv fr Annuaire Annuaire Sant Support S t ASIP Sant ni SPES AE 3 diteurs editeurs asipsante fr Editeurs TE int grateurs SIH C ded Support ASIP Sant uiai a T ee 3 certificats certificat classe4 asipsante fr Certificat Classe 4 serveur classe 4 Support ASIP Sant San 2e RET 3 certificats et support inscription asipsante fr Certificat C
237. sesssensessssesereesnssssesereesessne 126 Tableau 92 Windows Emplacement des fichiers de crashdump 127 Tableau 93 CCM Emplacement des fichiers de crashdump sssssssssssrrssssesererrrsssseserresnsssseeereesesses 127 Tableau 94 GALSS Proc dure de mise jour du fichier galss ini 128 Tableau 95 GALSS Remarque d sinstallation sous Windows 128 Tableau 96 GALSS Proc dure de d sinstallation compl te sous Windows sssssssssesesseensseeeeso 129 Tableau 97 Cryptolib CPS Proc dure de mise jour sous Windows 130 Tableau 98 Cryptolib CPS Proc dure de d sinstallation compl te sous Windows 130 Tableau 99 Commentaires Windows Update ss 132 Tableau 100 Param trage de Windows Update sous Windows 7 132 232 237 ASIP Sant Tableau 101 Tableau 102 Tableau 103 Tableau 104 Tableau 105 Tableau 106 Tableau 107 Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 Documentation de r f rence sise 132 Cryptolib CPS Proc dure de mise jour sous Linux 2 133 Cryptolib CPS Proc dure de d sinstallation compl te sous Linux 133 V rification des fournitures ASIP Sant 134 S curit Certificats et cl s priv es 135 Cryptolib CPS Saisie du code porteur ssssssssssssesrsssssesrrennesssseserersrssssenereennssesreeneese 136 Cr
238. sous Vista Microsoft Avec les classes NET la taille de buffer des donn es soumises au CSP est de 4096 bytes et non param trable ce qui est mettre en relation avec la taille moyenne des donn es que l application est sens e signer Langages manag s Par d faut le provider sunMSCAPI d l gue le calcul du SHA 1 Oracl TE au provider SUN Tableau 110 Cryptolib CPS Performances en signature num rique 18 7 2 S curit Le RGS recommande que l op ration de signature effective soit effectu e en faisant calculer le dernier tour de hash la carte pour signature La carte CPS3 est conforme cette recommandation le volet CPS3 et la librairie PKCS 11 de la CPS3 rejettent l op ration de signature de hash pr calcul Le hash peut tre calcul en dehors de la carte et soumis la Volet 2Ter i carte pour signature PC SC PKCS 11 Conform ment au RGS la signature est obligatoirement faite Volet CPS3 en faisant calculer le dernier tour de hash la carte pour signature Le pr sent document parle par la suite de signature IAS ECC pour d signer cette fonctionnalit CSP Langages Les 2 comportements sont possibles param tr s par la valeur de Sign_Hash manag s Tableau 111 Cryptolib CPS signature num rique et RGS 139 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 18 8 Sans contact Le volet sans cont
239. srirsissrnssrnssrnssenses 50 CPS Gestion Lancement de CPS Gestion 2ter sous Mac OS X 50 CPS Gestion Initlalisation sss meia iniii KEE EEA e E a 51 CPS Gestion Lecture de carte CPS OK sise 51 CPS Gestion Lancement des Tests des services ssssssssessiessisssissrrssriresrnssressressresees 52 CPS Gestion Saisie du code porteur iii 52 CPS Gestion D roulement des tests des services ssesssssssssisssesirsrrsrrssrsressrrsessrnsrsreet 52 CPS Gestion R sum du r sultat des tests des services sssseessesessessrsseserssssrnsensrrserses 52 CPS Gestion Prise de traces CPS Gestion 53 CPS Gestion Fichier de traces sienne 53 CPS Gestion Initialisation us eaa aa ea Ee A d a aana 54 CPS Gestion Lecture de carte CPS OK sise 54 CPS Gestion Lancement des Tests des services usesssssessisssrsssissrissrrrsrrrssressrnsseesses 55 CPS Gestion Saisie du code porteur iii 55 CPS Gestion D roulement des Tests des services 55 CPS Gestion R sum du r sultat des tests des services sssssesssssessrssrerrssrrerssrrssrsreee 55 CPS Gestion Prise de traces CPS Gestion sssesssessssssrsesrrssrsssesesessserssesssessseesstessressressrese 56 CPS Gestion Fichier de traces eion raient on einen tentant 56 CPS Gestion Linux Ecran d accueil ss 57 CPS Gestion Linux Navigation dans les menus
240. ss 3 36 01 msi Set DIR _WKG C INSTALLS GALSS Rem DIR_WKG MSI_GALSS_NAME should exist cd DIR WKG mkdir DIR_WKG 32b mkdir DIR_WKG 32b Extract start wait msiexec a DIR WKG X MSI_GALSS_NAME qb TARGETDIR DIR_ WKG 32b Extract Comparaison des fichiers 2 C WINDOWS galss ini et st rt wait C PROGRAMDATA SANTESOCIAL GALSSV3 DIR_WKG 32b Extract CommonAppData santesocial galssv3 ListSe GALSS OLD rial exe FC aucune diff rence trouv e Le r sultat doit tre echo n comp exe WINDIR galss ini C ProgramData santesocial galssv3 galss old fc exe WINDIR galss ini C ProgramData santesocial galssv3 galss old En fonction des diff rences le fichier galss ini peut tre remplac sur la base du galss old Copy Y C ProgramData santesocial galssv3 galss old WINDIR galss ini 4 Cette proc dure peut faire partie d une tape de diagnostic du poste Cette proc dure permet de d tecter les probl mes de configuration du GALSS lecteur PSS branch sur un port USB o un lecteur PC SC avait t pr alablement branch Une fois l extraction du MSI effectu e une fois il n est plus n cessaire de la refaire La proc dure se r duit Set DIR_WKG C INSTALLS GALSS 6 start wait DIR_ WKG 32b Extract CommonAppData santesocial galssv3 ListSerial exe echo n comp exe WINDIR galss ini C ProgramData santesocial galssv3 galss old fc exe 4WINDIR galss ini C ProgramData santesocia
241. st bien install la fen tre suivante apparait E Device Manager x E Bhin miat Security Modules and Devices Details value Login Security Modules and Devices Details Value YNSS Internal PKCS 11 Module Status Not Logged In pee pes Modula aT Ee ie s Generic Crypto Services Description Gemalto PC Twin Reader 0 jeneric Crypto Services a ibcps3_pkcs s s paa eka mua Software Security Device Manufacturer Change Password YModule de s curit CPS HW Version 0 0 CPS3V1 2400140649 Los CPS3V1 2400140649 FW Version 0 0 Load 9 jra unload vBuiltin Roots Module Label CPS3v1 2400140649 Enable FIPS Builtin Object Token Manufacturer ASIP SANTE Serial Number 00979204 Enable FIPS HW Version 0 0 FW Version 0 0 voa L wok Figure 67 Extension Firefox ASIP Sant Module de s curit ASIP Sant en A 4 PR d Figure 68 Extension Firefox ASIP Sant Module de s curit ASIP r sence d une carte CPx 5 s p Sant en pr sence d une carte CPx Tableau 55 Firefox Linux V rification du Module de s curit CPS 87 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 14 2 2 V rification du magasin de certificats Firefox Firefox V rification du Module de s curit CPS Lancer le navigateur Firefox Aller dans menu Edit gt Pr f rences gt Avanc gt Certificats gt Voir certificat
242. sur votre carte CPS Valeurs IGC CPS ORGANISATION TEST AUTORITE TEST PROFESSIONNEL CLASSE TEST CLASSE 1 4 IDENTITE Pr nom KIT Nom DOC5392 Identifiant 0081053921 ville Certificat d AUTHENTIFICATION N de s rie AC81D5 Cr le Sep 1 00 00 01 2012 GMT Expire le Jul 31 21 59 59 2014 GMT V rification SUCCESS Cert X509 Votre certificat d auth X509 Site Web TEST SSL ASIP Sant Figure 46 Authentification sous Safari TestSSL OK Tableau 46 Contr le de Connexion HTTPS sous Mac OS X avec Safari L apparition de cette page garantit que l installation des composants logiciels s est d roul e correctement 73 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 13 3 Premi res utilisations sous Linux 13 3 1 Contr les de l installation Une fois l installation effectu e il est possible de v rifier le bon fonctionnement de la Cryptolib CPS sous Linux Linux Contr les visuels de l installation 1 Lancer pcscd en mode debug sudo systemctl stop pcscd socket sudo systemctl stop pcscd service systemctl status pcscd socket systemctl status pcscd service sudo pcscd foreground debug 2 Ins rer une carte CPx dans le lecteur L ATR de la carte ins r e doit appara tre dans la console pcscd Figure 47 Linux D tection insertion carte par pcscd Rpm rpm V CryptoLibCPS vx y z
243. t Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 23 4 3 Configuration du fichier galss ini 23 4 3 1 Configuration du fichier galss ini en mode serveur En environnement serveur Windows 2003 2008 l installateur du GALSS ne configure pas le fichier galss ini avec les lecteurs pr sent sur le serveur Dans ce cas de figure un fichier galss ini par d faut est install et ne correspond pas la configuration mat rielle Une fois l installation termin e il faut donc configurer manuellement le fichier galss ini sur le serveur ainsi que sur les postes client si besoin e Le manuel utilisateur du GALSS galss mu 005_galss3 xx_V1 6 pdf e utilitaire inigalss exe aidant la configuration du galss ini fourni par le GIE SESAM Vitale en dehors de l installeur GALSS Cf exemples de fichiers galss ini en annexe 23 4 4 Installer des applications sur Terminal Server 3 m thodes exclusives au choix ID M thode Using the Install Application on Terminal Server tool in Control Panel Programs This tool is available only when we install terminal server in App mode It will automatically put terminal server into execute mode when application installation is complete Run Change user install from command prompt to place the server into Install 2 mode and install the application After installing the application use the Change user execute command or restart the server to place th
244. t devait tre d ploy sur un parc de PDT sans lecteur de carte lequel choisirait il e sile projet devait tre d ploy sur un parc de PDT quip de lecteur de carte fonctionnerait il avec ces lecteurs Et permet donc de v rifier la bonne compr hension technique de la gestion du parc de lecteur induite Dans le cas o le d ploiement de PC SC est possible tablissements les co ts d acquisition et de possession de lecteurs PC SC ainsi que la couverture technique offerte 64b TSE mode prot g renforc sans contact Smartcard logon devrait tre syst matique Les sch mas ci apr s visent e orienter les choix vers des standards reconnus e sortir le support ASIP Sant de ces probl matiques l ASIP Sant n assurant pas de support lecteur ni PSS ni PC SC ni d ploiement e orienter les chefs de projets vers les recherches de niveau de support OS fabriquant diteur et GIE SV pour qu ils organisent leur support en cons quence Agence des syst mes d information partag s de sant 9 rue Georges Pitard 75015 Paris T 33 0 158 45 32 50 www asipsante fr Agir ensemble pour soigner mieux ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 La prise en compte de la probl matique lecteurs dans un projet Sant amp Social doit suivre la logique g n rale suivante CK nl s Pr conisation utilisation de standards du march USB PC SC CCID Figure
245. tallation avec CPS Gestion cf plus haut Tableau 50 Contr les Contr le de l tat du Magasin Firefox Gestion des erreurs 14 1 3 Installation du module de s curit CPS depuis http testssl asipsante fr Si le module de s curit CPS pour Firefox n est pas install il est possible de le faire depuis http testssl asipsante fr Installation du module de s curit CPS depuis http testssl asipsante fr En cliquant sur le lien Installeur XPI de l extension CPS pour Firefox Installeur XPI de l Extension CPS pour Firefox Configuration du P riph rique PKCS11 et int gration des Certificats racine ASIP Sante CPS Site Web TEST SSL ASIP Sant Figure 56 Firefox Installation du module de s curit CPS depuis http testssl asipsante fr Tableau 51 Firefox Installation du module de s curit CPS depuis http testssl asipsante fr 80 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 14 1 4 Installation manuelle du module de s curit CPS Si le module de s curit CPS pour Firefox n est pas install il est possible de le faire manuellement Installation manuelle du module de s curit CPS Charger un p riph rique PKCS 11 Ce jets Saisissez les informations sur le module que vous voulez ajouter Nom du module
246. tation documentent des API qui servent de points d ancrage aux fabricants de lecteurs ou de cartes dans les syst mes cibles Quels que soient le lecteur de cartes ou la carte puce utilis s il est donc n cessaire d installer des composants logiciels additionnels 1 Un Pilote driver pour le lecteur a afin de gommer les sp cificit s du lecteur aupr s de OS 2 Des logiciels d acc s la carte puce middleware a afin de gommer les sp cificit s cryptographiques de la carte puce vis vis des logiciels qui l exploitent Une fois ces deux composants additionnels correctement install s sur le poste de travail les logiciels traditionnels tels que les navigateurs Internet ou les outils de messageries peuvent exploiter les fonctionnalit s offertes par la carte puce ind pendamment de son type et du lecteur de carte dans lequel elle est ins r e La Cryptolib CPS impl mente ces points d ancrage pour les cartes CPx et pour les syst mes Windows Mac OS X et Linux 23 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 8 3 Le cycle de vie de la Cryptolib CPS sur le poste de travail Le cycle de vie de la Cryptolib CPS sur un poste de travail quel que soit le syst me d exploitation est le suivant Installation Installation rapide Diagnostic ODI Installation MSI Installation rapide Oui Installation via ODI Non Installation et
247. te CPS pr sente dans le lecteur 3 Cadre rouge Probl me dans la configuration du poste emp chant l acc s au lecteur de cartes Dans les 2 cas les certificats ont t effac s du magasin Tableau 34 CCM Activit du CCM Voir l annexe Windows 7 et ic nes de barre de t che pour une configuration ad quate de l ic ne du CCM sous Windows 7 Tableau 35 CCM configuration ad quate de l ic ne du CCM sous Windows 7 61 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 13 1 1 5 Fonctions de l interface graphique du CCM Le CCM est dot d un menu contextuel clic droit sur l ic ne permettant de le configurer ou d obtenir des informations sur ce dernier Les menus affich s sont les suivants ID Fonction Description 1 A propos Affiche les informations sur le programme CCM de CCM Permet de rafra chir explicitement l tat du lecteur afin de prendre en compte le a retrait linsertion d une carte CPS 2 Rafra chir ne Cette option est utiliser lorsque le CCM est en mode de surveillance manuelle surveillance des lecteurs d sactiv e Affiche l tat de tous les lecteurs pr sents et configur s sur le poste Fa Nom du Lecteur Etat rcysc reader on GALSS CPS Certificats synchronis s R initialiser la liste des lecteurs Activer la surveillance des lecteurs Lister
248. te fonctionnalit dans les param tres d installation du p riph rique 5 Choisir Rechercher un pilote sur mon ordinateur Rechercher un pilote sur mon ordinateur Recherchez et installez manuellement le pilote Annuler Figure 87 Lecteur GIE SESAM Vitale Installation drivers 98 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 Proc dure d installation manuelle des drivers lecteur GIE SESAM Vitale E mi Mee A oi PISAD EO AE inconnu raa gt Rechercher le pilote sur votre ordinateur Rechercher les pilotes cet emplacement T Choisir Parcourir AINSTALLS GALSS 32b Extract CommonAppData santesociagalss inf Parcourir 2 Choisir le r pertoire V Inclure les sous dossiers 6 C INSTALLS GALSS 32b Extr act CommonAppData santes ocial galss inf Choisir parmi une liste de pilotes de p riph riques sur mon ordinateur 3 Choisir Suivant pr S T Figure 88 Lecteur GIE SESAM Vitale Installation drivers 14 P riph riques syst me Ports COM et LPT I Port de communication COM1 L sribh ri doit t Eg Port de communication COM2 e peripnerique doit apparaitre z 3 P li i ai de 1 Port imprimante ECP LPT1 correctement installe qans la i F bri Ports COM et LPT 5 pF XIRING USB CDC 0B COM5 z ruprique orts e Processeurs p FA Souris et autres p riph r
249. teur SEDGAPSS NumCoupleur 1 NomRessource TRANSPAI LECTEURO 2 TypeLecteur SEDGAPSS NumCoupleur 1 NomRessource TRANSPA2 Tableau 117 API de lecture SESAM Vitale lecteur bi fentes Contenu du fichier sedica ini Mode Mode CPS _EN_LIGNE Timer Timerlnactivite 60 TimerControle 120 Tableau 118 API de lecture SESAM Vitale lecteur bi fentes Contenu du fichier api_lec ini 149 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 19 4 1 2 Poste utilisant deux lecteurs PC SC CONFIG NbLecteur 2 Mode NORMAL LECTEURO1 TypeLecteur SEDGAPSS NumCoupleur 1 NomRessource TRANSPAI LECTEURO 2 TypeLecteur SEDGAPSS NumCoupleur 2 NomRessource TRANSPA2 Tableau 119 API de lecture SESAM Vitale deux lecteurs PC SC Contenu du fichier sedica ini Mode Mode CPS _EN_LIGNE Timer Timerlnactivite 60 TimerControle 120 Tableau 120 API de lecture SESAM Vitale deux lecteurs PC SC Contenu du fichier api_lec ini 19 4 2 Configuration du fichier galss ini pour l API de lecture SESAM Vitale L API de lecture SESAM Vitale a besoin d une configuration particuli re du fichier galss ini Pour la ressource CPS l alias TRANSPA1 doit tre d clar c est dire NbAlias 1 ou plus et NomAliasZ TRANSPA1 avec Z inf rieur ou gal NbAlias Pour la ressource Vitale l alias TRANSPA2 doit tre d clar c est dire NbAl
250. tion Tableau 47 Linux Contr les de l installation 13 3 2 Configurations manuelles suppl mentaires SE_Linux Il peut tre n cessaire de passer la commande chcon ttextrel_shlib_t sur les librairies sur un OS Linux avec SE_Linux activ 13 3 3 Connexions HTTPS Se rapporter la section Utilisations avec Firefox 75 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 14Utilisations avec Firefox 14 1 Utilisations avec Firefox sous Microsoft Windows 14 1 1 V rification du Module de s curit CPS Firefox V rification du Module de s curit CPS 1 Fermer toutes les instances de Firefox si cela n avait pas t fait avant 2 Relancer le navigateur Firefox Accepter l installation de l extension CPS de l ASIP Sant pour Firefox en cochant Autoriser cette installation Len i i m 8 Installation de module ar about newaddon id CPS2ter 2020_Firefo CB cys PI E BD Y D sactiver amp Cookies Z CSS 1 Formulaires Images Infos E Divers L Entourer Fen tre x 3 Un autre programme sur votre ordinateur souhaiterait modifier Firefox avec les modules compl mentaires suivants mam Extension CPS 6 0 1 DE Par ASIP Sante 3 ement C Program Files 86 Mozilla Firefo brows N installez que des modules compl mentaires dont les auteurs ont votre c
251. tion de valeurs de param tres de configuration a Par exemple Les valeurs 1 type de CSP et ASIP Sante Cryptographic Provider nom du CSP peuvent changer par exemple la gestion des erreurs la g n ration de log la gestion de pr sence de plusieurs cartes sur un m me poste a e wW N la recherche de performances sp cifiques a cf Performances et s curit 6 les optimisations a ex caches factories b ex optimisation ergonomiques saisie de code porteur en dehors du CSP CryptoKeySecurity et SecureString en NET Par ailleurs la carte puce et le lecteur de carte sont deux ressources mat rielles qui peuvent en particulier 1 Tomber en panne 2 Etre arrach s avant ou pendant les op rations fonctionnelles 3 Etre rebranch s sur de nouveaux emplacements 4 Etre lents 5 Etre utilis s par plusieurs applications en parall le Agence des syst mes d information partag s de sant 9 rue Georges Pitard 75015 Paris T 33 0 1 58 45 32 50 www asipsante fr Agir ensemble pour soigner mieux ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 Au moment d int grer la carte CPx il convient donc 1 de bien avoir ces contraintes l esprit 2 dese plier aux bonnes pratiques num r es ci apr s Points d attention et bonnes pratiques 1 Gestion de la r cup ration de valeurs de param tres de configuration 2 Gestion des
252. tionnaire de certificat CPS Les ce s M Gestionnaire des t ches de Windows Afficher uniquement les notifications F UC utilis e 0 Afficher uniquement les notifications ba Afficher l ic ne et les notifications A igfxTray Module e Graphiques HD Intel R Afficher uniquement les notifications o Explorateur Windows Afficher uniquement les notifications X z Retirer le p riph rique en toute s curit Re Peony Afficher uniquement les notifications Privoxy Fa Centre de maintenance Afficher l ic ne et les notifications F R soudre les probl mes d ordinateur i Afficher l ic ne et les notifications Figure 122 Windows Configuration Gestionnaire de certificat CPS toujours visible Dans ce cas de figure l option Toujours afficher toutes les ic nes et les notifications sur la barre des t ches reste d cocher et la configuration se fait sp cifiquement pour l ic ne du Gestionnaire de certificats CPS en choisissant le comportement Afficher l ic ne et les notifications 188 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 26Annexe Virtualstore et UAC Le Virtualstore est un m canisme de Sandbox compl mentaire l UAC pr sent depuis Windows Vista pour g rer les applications non compatible UAC Il permet d enregistrer les modifications apport es aux objets virtualis s dans le profil de l utilisateur courant
253. tolib CPS 09 07 2015 Proc dure de v rification et de r g n ration manuelle du fichier GALSS ini Si le r sultat est Comparaison de C Windows galss ini et C ProgramData santesocial galssv3 galss old Les fichiers sont de taille diff rente Les diff rences doivent tre expliqu es Ex cuter la commande suivante 8 fc exe XWINDIR galss ini ALLUSERSPROFILE santesocial galssv3 g alss old Le r sultat doit tre Comparaison des fichiers C WINDOWS galss ini et C PROGRAMDATA SANTESOCIAL GALSSV3 GALSS OLD FC aucune diff rence trouv e Si des lignes X C WINDOWS galss ini Ou kkk k k C PROGRAMDATA SANTESOCIAL GALSSV3 GALSS OLD Apparaissent les diff rences doivent tre expliqu es Contacter le support GIE SESAM Vitale en cas de probl me Tableau 67 GALSS Proc dure de r g n ration manuelle du fichier GALSS ini 104 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 Cette proc dure non intrusive peut tre automatis e Automatisation de la proc dure de v rification et r g n ration manuelle du fichier GALSS ini Lancer une fen tre de commande avec les droits administrateur Touche Windows gt bo te Rechercher ou dans la bo te Ex cuter gt cmd gt clic droit sur Programmes gt cmd exe gt Ex cuter en tant qu administrateur Set MSI_GALSS_NAME gal
254. tore Open OpenFlags ReadOnly OpenFlags OpenExistingOnl1y X509Certificate2Collection collection X509Certificate2Collection store Certificates ASIP s lection du certificat de signature ASIP Sant sur la base de l examen des Usages X509Certificate2Collection fcollection X589Certificate2Collection collection Find X5 9FindType FindByTimeValid DateTime Now false Find X509FindType FindByExtension new X5089KeyUsageExtension 0id Value false Find X509FindType FindByKeyUsage X589KeyUsageFlags NonRepudiation false Find X509FindType FindByKeyUsage X509KeyUsageFlags DigitalSignature false Find X509FindType FindBylssuerName GIP CPS false if fcollection null amp amp fcollection Count 1 cert fcollection if cert HasPrivateKey false cert null store Close catch Exception ASIP gestion des exceptions ss RSACryptoServiceProvider rsa RSACryptoServiceProvider cert Privatekey ASIP suite de la signature lectronique Tableau 137 NET C exemple de code de s lection du certificat ASIP Sant de signature num rique avec la CPx et l API de cryptographie du framework NET 158 237 aSiPSanT oowoo 19 7 Matrice d int gration PARTAG S DE SANT La Cryptolib CPS permet de s interfacer logiciellement avec la carte CPx diff rents niveaux sur diff rentes plates formes et dans diff rents langages Le choix de l interfa age doit
255. tr s Une pr sentation technique d taill e pour comprendre le d tail des op rations r alis es et introduire les op rations d utilisations avanc es cas des tablissements des int grateurs et des diteurs Les installations TSE Citrix sont report es en annexe 1 elles n cessitent une bonne connaissance pr alable de l installation standard du poste de travail elles se r f rent activement aux ressources ou des points de contr le communs avec l installation standard du poste de travail La Cryptolib CPS v5 64bit est n cessaire sur les syst mes 64bit qui se d mocratisent Les sp cificit s de chaque syst me sont d taill es au cas par cas au sein de ces grandes parties 8 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 3 Sommaire 1 R f rences en end ne ann ea na anche ee De nee ee ant 4 2 R SUM Ernie Li el encens A let eee da sa Teens een nes da date te 7 3 Sommaire cran ee an ee Tee AAA TT ee A A nn se 9 4 Contacts sise tre Pda re tre ee aara tes elanan edited etant et dre eaea E net Gu des 14 4 1 Contacts Sant gS ocli e t dti a a 14 4 2 Contacts mat riels informatiques et ditions logicielles 16 Den EIo 11E E ee EAE E E E ET ET E TEE E E E ETE TA 17 6 List desentr pris s thees soseer nns Tena EnA ENNA ENESTE RESER r ns dessins eines 21 7 Avertissements 552488 2e a a ne de Le a aa a aa a
256. trage par d faut La couleur verte indique qu aucun probl me n a t relev La couleur rouge indique un point d attention Les cases gris es analysent l impact d un changement de param trage par d faut Incidence du param trage du mode prot g am lior EPM sur les acc s vers la carte CPx Windows 7 Windows 8 Windows 8 1 x86 x64 x86 x64 x86 x64 UAC activ activ activ activ activ activ PM activ activ IE9 EPM N A EPM 64b N A PM activ activ activ activ activ activ d sactiv d sactiv d sactiv L activation de l EPM passe IE en 64b si l UAC est activ l activation de l EPM ne d termine pas l architecture de IE en parall le avec l EPM activ iexplore exe fonctionne en 32b EPM N A Si EPM Cryptolib CPS v5 x32 OK GALSS x32 KO n IE10 Hg et i Carte CPS dans lecteur PC SC OK nu Carte CPS dans lecteur PC SC OK Activ Carte CPS dans lecteur PSS OK GALSS x64 Carte CPS dans lecteur PSS KO N A d sactiv Si l Cryptolib CPS v5 64b requise GALSS EPM 64b N A N A N A EPM 64b requis mais GALSS 64b KO 64b i Carte CPS dans lecteur PC SC OK activ l Carte CPS dans lecteur PSS KO PM activ activ activ activ activ activ d sactiv d sactiv d sactiv d sactiv activ activ L activation de l EPM passe le ContentManager L act
257. ture Cryptolib CPS v4 La validit du code porteur est partag e entre toutes les applications clientes Cryptolib CPS v5 Le code porteur doit tre saisi dans chaque contexte applicatif Tableau 106 Cryptolib CPS Saisie du code porteur 136 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 18 4 2 D blocage du code porteur 3 proc dures permettent de d bloquer le code porteur d une carte CPx Description 1 L outil CPS Gestion permet au porteur de d bloquer sa carte CPx en entrant le code de d blocage fourni avec le courrier d envoi de la carte CPx mailer 2 Le Support CPS Info Service 0 825 85 2000 propose une aide 24 24 7 7 au d blocage 3 L ASIP Sant propose un outil de d blocage en ligne l adresse http esante gouv fr services espace cps assistance deblocage de carte Tableau 107 Cryptolib CPS Proc dures de d blocage de la carte CPx 18 4 3 Changement du code porteur L utilisateur peut changer le code porteur de sa carte CPx L utilisateur peut donc sp cifier un code porteur qu il retiendra plus facilement que celui fourni par l ASIP Sant Cette fonctionnalit permet aussi de changer un code porteur que l utilisateur juge compromis L ASIP Sant n est pas inform du nouveau code porteur en cas de changement par l utilisateur En cas de recouvrement de code porteur par exemple le m
258. uthentification Y Y Y Y Yy Y Y 3 Dans le cas o le logiciel GALSS et le protocole PSS sont utilis s utiliser le GALSS version 3 40 01 ou sup rieure 160 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 Java JCE 24 Java JCE Domaine Section PC SC PKCS 11 CSP SunPKCS11 BouncyCastle CAPI NET Crypto Sans contact 17 Acc s certificat Y y Y Yy Y Y Y Tech Sans contact 18 Acc s conteneur de Y y N N N N N donn es Acc s aux objets 19 m tiers Y Y N N N N N Sant amp Sociale 20 Interop rabilit Y Y N Y Y Y N 21 Configurabilit Y Y N N N N N 22 Performance Y Y Y Y Y Y Y 23 o Client lourd Y Y Y Y Y Y Y 2 24 g Client l ger y y y y y y y 25 Embarqu Y Y N N N N N 26 Expertise carte y N N N N N N puce 27 Expertise Crypto Y Y Y N Y N N 28 D Expertise PKI Y Y Y N Y N N Q E ti 29 a Re y y y N y N N m programmation Tableau 138 Cryptolib CPS Matrice d int gration 161 237 asSiPSanT oomai 19 8 Points d attention et bonnes pratiques PARTAG S DE SANT Les portions de code fournies ci dessus ne peuvent bien videmment pas partir en production telles quelles Elles ont le m rite de fonctionner mais elles n int grent pas en particulier de code assurant 1 la gestion de la r cup ra
259. v rification de l activit de dpkg cat var log dpkg log 3 nes 5 Finsta lalong Is al usr lib firefox browser extensions l extension Firefox Dpkg Consultation des logs de la ligne dpkg D gt tmp logs cryptolibcps cat tmp logs cryptolibcps install txt install txt 2 gt amp 1 sudo dpkg l cryptolibcps La sortie de cette commande doit contenir les l ments suivants 4 Dpkg V rifier le statut du package e ii install install pas d erreur e cryptolibcps e x y z 1 e i386 e Composants Cryptographiques CPS vx y z 74 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 Linux Contr les visuels de l installation dpkg L cryptolibcps Les l ments significatifs sont usr bin cpgeslux usr local galss cpgeslux old usr local galss libcps_pkcs11_lux so usr local galss libcpslux so usr local galss libcptablux so usr local galss libsscaslux so etc opt santesocial CPS DICO FR GIP etc opt santesocial CPS cache etc opt santesocial CPS cps3_pkcs11 conf etc opt santesocial CPS cps_pkcs11_safe ini opt santesocial CPS bin cpgeslux opt santesocial CPS lib libcps3_pkcs11_lux so usr lib libcps3_pkcs11_lux so usr lib libcps3_pkcs11_lux so 0 usr lib libcps3_pkcs11_lux so 1 0 4 usr lib libcps_pkcs11_lux so usr lib libcptablux so Lister le contenu du package 5 Lancer CPS Gestion 6 Faire un test des services avec CPS Ges
260. v5 activ e valeur 1 appliqu e par d faut uniquement Tableau 131 Niveau d int gration de la Cryptolib CPS avec Java import java security KeyStore import java security KeyStoresSpi import java security Privatekey import java security Signature import java security cert X509Certificate A ASIP donn es signer final byte data ASIP initialisation du CSP final KeyStore ks KeyStore getInstance Windows MY SunMSCAPI ks load null null ASIP on obtient la r f rence sur la cl de signature final PrivateKey sigKey findSignaturekey ks ASIP initialisation de l algorithme de cryptographie final Signature rsa Signature getInstance SHAlwithRSA rsa initSign sigKey rsa update data data length ASIP calcul de la signature num rique byte signature rsa sign ASIP affichage de la signature num rique System out printin signature toHexString signature Tableau 132 Java JCA exemple de code de signature num rique avec la CPx et l API de cryptographie du JRE niveau CSP sous Microsoft Windows 155 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 import java security Provider import java security KeyStore import java security KeyStorespi import java security Privatekey import java security Signature import java security cert X509Certificate ei
261. ws 10 L ic ne Internet Explorer appara t dans la barre de t che 224 229 237 ASIP Sant Manuel d installation et d utilisation de la Cryptolib CPS 09 07 2015 40Annexe Liste des tableaux Tableau 1 Documents de r f rence sise 6 Table u 2 Contacts enee e ea aa aa a a Ra a ARNEE aa a E es nes Ne do 15 Tableau 3 Recommandations utilisation niveaux de support 16 Tabl au 4 Glossaire ini E EET E SEA 20 Tabl au 5 Entreprises E TE E E A ER E EA 21 Tableau 6 Avertissements sise 22 Tableau 7 Pr requis Ma t riels 2252558588 en nd EN O AREN EAE REA 26 Tableau 8 Pr requis Mat riels Choix de lecteur sssnnssnnnnssenensseneesseensseneessereessernnsserensseennsseeenssee 26 Tableau 9 Pr requis Syst me d exploitation 27 Tabl au10 Pr r quis Logiciels mener rte nt n e laine intel 29 Tableau 11 Pr requis Connexion d acc s Internet 30 Tableau 12 Pr requis Versions des Cryptolib CPS 32 Tableau 13 Installation Sources des installeurs ssssssssssssssssssssssssrsssssrssssssssrnsssnrssnnstrnsstnsenssensses 32 Tableau 14 Installation rapide ODI Pr requis 34 Tableau 15 Installation rapide ODI Installation 35 Tableau 16 Installation rapide ODI V rifications ss 35 Tableau 17 Installation rapide ODI Limitations ss 37 Tableau 18 Installation rapide MSI sous Windows Pr requis nsssn
262. x aupr s des syst mes Windows 7 est d crite dans la partie 1 installation et utilisation avanc e gt Association manuelle de la carte CPx avec le CSP de ce document Lorsque qu une carte Vitale est ins r e dans un lecteur PC SC connect un PC sous Windows 7 le m canisme d installation de drivers de Windows est d clench l image de ce qui a t d crit plus haut pour la carte CPx partie installation et utilisation avanc e gt Association manuelle de la carte CPx avec le CSP 3 Aucun CSP n est cependant fourni avec la carte Vitale le m canisme de recherche de pilote choue 4 La carte Vitale est utilisable mais l utilisateur peut tre perturb par ces messages d erreur 5 Une solution consiste d sactiver Windows Update et l installation automatique de dispositif voir partie Windows Update gt exemple de configuration simple 6 Une autre solution consiste associer un CSP fant me la carte Vitale Ces ATR peuvent tre ins r s en base de registre sous la cl 7 HKLM Software Microsoft Cryptography Calais Smartcards sous la valeur ATR voir plus haut Microsoft pr voit une chaine de caract re sp ciale pour associer s lectivement ces ATR un CSP qui ne fait rien 8 HKLM Software Microsoft Cryptography Calais Smartcards sous la valeur Crypto Provider voir plus haut mettre SDisableSCPnP Cette m thode peut
263. yptolib CPS Proc dures de d blocage de la carte CPX sssnnnsennnssenenssenensseeeessenee 137 Tableau 108 Cryptolib CPS Avertissement changement de code porteur et proc dure de Tableau 109 Tableau 110 Tableau 111 Tableau 113 Tableau 114 Tableau 115 Tableau 116 Tableau 117 Tableau 118 recouvrement nan ne ln nes nt A te ne At 137 Cryptolib CPS Cache de fichier carte 138 Cryptolib CPS Performances en signature num rique s ssssssssesssessrsssseserensnsssseeereese 139 Cryptolib CPS signature num rique et RGS ssssnnsseseessenenssenensseneessernnssennnsserensseens 139 LINUX COMPTES End er Pme PR A een ana e e ee eue E La De ds ST n 144 Linux Droits accord s par d faut ss 144 API de lecture SESAM Vitale Composants 149 API de lecture SESAM Vitale Exemple de r pertoire d installation DMP 149 API de lecture SESAM Vitale lecteur bi fentes Contenu du fichier sedica ini 149 API de lecture SESAM Vitale lecteur bi fentes Contenu du fichier api_lec ini 149 API de lecture SESAM Vitale deux lecteurs PC SC Contenu du fichier sedica ini 150 Tableau 119 Tableau 120 Tableau 121 lecteur bifentess fs nets ta tetes At le MAT nr lee RAS En A Tableau 122 Tableau 123 Tableau 124 Tableau 125 Tableau 126 Tableau 127 Tableau 128 Tableau 129 Tableau 130 Tableau 131 API de lecture SESAM Vitale deux lecteurs
Download Pdf Manuals
Related Search