Générer son fichier .P12 d'authentification pour les certificats de cachetage QSCD

Générer son fichier .P12 d'authentification pour les certificats de cachetage QSCD

Vous venez de recevoir les éléments de livraison Goodflag. Cet article vous guide dans la génération de votre fichier .P12 d'authentification pour les certificats de cachetage QSCD, étape indispensable pour configurer votre application de création de cachets et vous connecter au service hébergeant votre certificat de cachet serveur.

Bon à savoir 


Pour suivre cette procédure, vous devez disposer des éléments suivants fournis lors de la livraison :
  1. sunnystamp_services_[nom_du_client].pem
  2. QSealCD_EE_QUALIFIED_SEAL-[nom_du_client].pem
  3. chaine_de_certification.cer
  4. L'URL du Service de création de Cachets (Exemple : https://signbox-prod01.goodflag.com/signature/LP7SignBoxBean)
Ainsi que :
  1. OpenSSL installé sur votre machine
  2. Le mot de passe de votre clé privée, sauvegardé lors de la création de la CSR.
Alert
Le fichier .P12 généré ici sert uniquement à s'authentifier auprès du service hébergeant le certificat. Il ne doit pas être utilisé pour signer des documents.


1. Vérifier les fichiers à disposition

Les éléments ci-dessous vous seront envoyés dans le mail de livraison : 

Fichier
Rôle
sunnystamp_services_[nom_du_client].pem
Certificat d'authentification
QSealCD_EE_QUALIFIED_SEAL-[nom_du_client].pem
Certificat de cachetage qualifié
chaine_de_certification.cer (disponible dans le formulaire de demande de certificat Goodflag)
Chaîne de certification

2. Générer le fichier .P12


Cette étape a pour objectif de construire le fichier .P12 à partir de votre clé privée (dont vous seul avez accès), des fichiers sunnystamp_services_[nom_du_client].pem (transmis lors de la livraison) ainsi que chaine_de_certification.cer (disponible dans le formulaire de certificat Goodflag)
  1. Ouvrez un terminal sur votre machine.
  2. Placez-vous dans le répertoire contenant les trois fichiers.
  3. Exécutez la commande suivante :
openssl pkcs12 -export \
  -certfile chaine_de_certification.cer \
  -in sunnystamp_services_[Nom_Du_Client].pem \
  -inkey clePrivee.pem \
  -out auth_cert.p12

  • Lorsque le mot de passe de votre clé privée est demandé, sauvegardé lors de la création de la CSR.
  • Définissez ensuite un mot de passe pour protéger le fichier .P12 généré.

    • Warning
    Attention : choisissez un mot de passe complexe et conservez-le précieusement. Ce mot de passe vous sera demandé à chaque utilisation du fichier .P12.

    Le fichier auth_cert.p12 est maintenant généré dans votre répertoire courant.

    3. Déchiffrer les données d'activation


    Cette étape a pour objectif de déchiffrer les données d'activation transmises par Goodflag afin d'obtenir le mot de passe en clair, nécessaire à la configuration de votre application.

    Pour des raisons de sécurité, ces données ont été chiffrées avec la clé publique de votre certificat d'authentification : seul vous pouvez les déchiffrer, grâce à votre clé privée (dont vous seul avez accès). La commande ci-dessous décode d'abord les données puis les déchiffre avec votre clé privée.
    1. Récupérez le fichier contenant les données d'activation chiffrées (fourni dans le mail Goodflag).
    2. Exécutez la commande suivante :
    openssl base64 -d -A \
      -in [fichier_données_activation_chiffrées] \
      | openssl pkeyutl -decrypt \
      -inkey clePrivee.pem \
      -pkeyopt rsa_padding_mode:oaep \
      -pkeyopt rsa_oaep_md:sha256 \
      -pkeyopt rsa_mgf1_md:sha256 \
      > [fichier_données_activation_déchiffrées]

    Remplacez [fichier_données_activation_chiffrées] par le nom du fichier reçu, et [fichier_données_activation_déchiffrées] par le nom du fichier de sortie souhaité.

    Notes
    Remarque : Le chemin complet des fichiers doit être renseigné si vous ne vous trouvez pas dans le même répertoire.


    Info
    Lors de l'utilisation de powershell, exécutez la commande en deux étapes : 
    1) openssl base64 -d -A -in [fichier_données_activation_chiffrées] -out [fichier_données_activation_déchiffrées]
     
    2) openssl pkeyutl -decrypt -in [fichier_données_activation_chiffrées] -inkey cle-privee-auth.key -pkeyopt rsa_padding_mode:oaep -pkeyopt rsa_oaep_md:sha256 -pkeyopt rsa_mgf1_md:sha256 -out [fichier_données_activation_déchiffrées]

    4. Configurer votre application


    Une fois le .P12 généré, déclarez votre identité numérique dans le logiciel prévu à cet effet. Consultez les articles ci-dessous pour la suite de la configuration :

    Mettre à jour la licence de LP7ProcessSigner

    À l'issue de ces étapes et de la déclaration de votre identité numérique, vous êtes en mesure de créer vos premiers cachets via LP7Process, LP7Signbox ou LP7Command selon votre cas d'usage.





      • Related Articles

      • Déclarer une identité numérique distante dans LP7SignBox

        Bon à savoir Une identité numérique distante est une clé de signature hébergée sur un service externe (par exemple un HSM ou un serveur de clés tiers), et non stockée localement sur le serveur LP7SignBox. Ce mode de fonctionnement est utilisé dans ...

      • Déclarer une identité numérique distante dans LP7Command

        Bon à savoir LP7Command est un outil en ligne de commande permettant de cacheter électroniquement des documents aux formats XAdES, CAdES ou PDF signé. Comme LP7ProcessSigner et LP7SignBox, il prend en charge les identités numériques distantes : la ...

      • Déclarer une identité numérique distante dans LP7ProcessSigner

        Bon à savoir Dans LP7ProcessSigner, chaque profil de signature doit être associé à une identité numérique. Une identité distante repose sur une clé hébergée sur un service externe : la clé privée ne quitte jamais ce service, ce qui renforce la ...