Déclarer une identité numérique distante dans LP7SignBox
Bon à savoir
Une identité numérique distante est une clé de signature hébergée sur un service externe (par exemple un HSM ou un serveur de clés tiers), et non stockée localement sur le serveur LP7SignBox. Ce mode de fonctionnement est utilisé dans les configurations hybrides, où la clé privée ne quitte jamais le service distant.
Introduction
Cet article s'adresse aux administrateurs LP7SignBox souhaitant déclarer ou mettre à jour une identité numérique distante depuis l'interface d'administration. À l'issue de ces étapes, l'identité sera disponible et utilisable par vos applications métier pour signer des documents via LP7SignBox.
1. Prérequis
Ci-dessous les prérequis nécessaires :
- Accès à l'interface d'administration LP7SignBox (http://<Serveur>:8080/LP7SignBoxAdminWeb)
- Droits d'administration sur LP7SignBox
- Les éléments fournis par Goodflag : URL du web-service, certificat (.cer ou .crt), fichier PKCS#12 d'authentification et mots de passe associés
2. Accéder à l'interface d'administration
Ouvrez un navigateur et connectez-vous à l'adresse suivante :
- http://<Serveur>:8080/LP7SignBoxAdminWeb
Remplacez "Serveur" par l'adresse IP ou le nom DNS de votre serveur LP7SignBox.
3. Accéder à la gestion des clés distantes
Dans le menu de navigation à gauche, cliquez sur "Trousseau".
Cliquez ensuite sur "Clés distantes".
4. Ajouter ou mettre à jour une identité distante
Cliquez sur "Ajouter une nouvelle clé distante".
Remplissez les champs suivants :
Empreinte SHA-1 du certificat : | Hash du certificat utilisé pour signer |
|---|---|
Description : | Description libre |
Fichier contenant le certificat associé à la clé (*.cer, *.crt) : | Certificat associé à l’identité (au format PEM ou DER). |
URL du Web-Service contenant la clé distante : | Adresse du service distant Goodflag |
Mot de passe : | Mot de passe de l’identité numérique |
Confirmation du mot de passe : | Confirmation du mot de passe de l’identité numérique |
Fichier PKCS#12 pour l'authentification cliente : | Importation du certificat d’authentification forte. |
Mot de passe du fichier PKCS#12 pour l'authentification cliente : | Mot de passe du certificat d’authentificatication forte. |
Attention — Le fichier PKCS#12 et ses mots de passe sont des éléments sensibles. Ne les partagez pas et ne les stockez pas en clair dans vos configurations applicatives.
5. Valider et enregistrer
Cliquez sur "OK" pour confirmer.
L'identité distante apparaît alors dans la liste des clés distantes. Notez l'empreinte SHA-1 affichée : elle servira de référence dans vos appels applicatifs.
6. Utiliser l'identité depuis une application métier
Une fois l'identité déclarée, votre application métier peut l'utiliser en référençant son empreinte SHA-1 dans les requêtes REST ou SOAP adressées à LP7SignBox.
Exemple de paramétrage dans une requête REST :
"SigningKey": {
"KeyReference": {
"Reference": "007AD08A9E5732BE18CC58CCA4B6DA8871213456T",
"Password": "motdepasse"
}
L'application doit également transmettre le certificat d'authentification forte (PKCS#12) et son mot de passe.
Remarque : En cas de renouvellement du certificat distant, pensez à mettre à jour dans votre application métier : l'empreinte SHA-1 du nouveau certificat, le nouveau fichier PKCS#12 et les mots de passe associés.
7. Résoudre les problèmes de connexion
Si l'identité distante n'est pas exploitable, vérifiez les points suivants :
- L'URL du web-service est correcte et accessible depuis le serveur LP7SignBox.
- Le certificat fourni correspond bien à l'identité déclarée.
- Les mots de passe sont exacts.
Utilisez le bouton "Ping" disponible dans l'interface pour tester la connectivité avec le service distant.
L'identité numérique distante est désormais déclarée et opérationnelle. Vos applications métier peuvent l'utiliser pour signer des documents via LP7SignBox. En cas de renouvellement du certificat, répétez ces étapes en veillant à mettre à jour l'ensemble des éléments associés dans vos applications.
Related Articles
Déclarer une identité numérique distante dans LP7Command
Bon à savoir LP7Command est un outil en ligne de commande permettant de cacheter électroniquement des documents aux formats XAdES, CAdES ou PDF signé. Comme LP7ProcessSigner et LP7SignBox, il prend en charge les identités numériques distantes : la ...Déclarer une identité numérique distante dans LP7ProcessSigner
Bon à savoir Dans LP7ProcessSigner, chaque profil de signature doit être associé à une identité numérique. Une identité distante repose sur une clé hébergée sur un service externe : la clé privée ne quitte jamais ce service, ce qui renforce la ...Générer son fichier .P12 d'authentification pour les certificats de cachetage QSCD
Vous venez de recevoir les éléments de livraison Goodflag. Cet article vous guide dans la génération de votre fichier .P12 d'authentification pour les certificats de cachetage QSCD, étape indispensable pour configurer votre application de création de ...