Utiliser le Cachet Electronique de La Poste : Différence entre versions
De Docaposte Cyberdéfense
(→Configuration de SOAPUI pour une siganture) |
(→Informations de connexion aux services) |
||
| (69 révisions intermédiaires par le même utilisateur non affichées) | |||
| Ligne 37 : | Ligne 37 : | ||
'''COSC : Centre Opérationnel de Sécurité et de Cyberdéfense'''<br> | '''COSC : Centre Opérationnel de Sécurité et de Cyberdéfense'''<br> | ||
|} | |} | ||
| − | |||
| − | |||
==== <div style="background-color: #81BEF7">'''Informations générales'''</div> ==== | ==== <div style="background-color: #81BEF7">'''Informations générales'''</div> ==== | ||
| Ligne 47 : | Ligne 45 : | ||
* Commander un certificat de type '''Authentification Client SSL''' auprès de l'Autorité de Certification Certinomis | * Commander un certificat de type '''Authentification Client SSL''' auprès de l'Autorité de Certification Certinomis | ||
* Faire une demande à l'OSHE en suivant les étapes suivantes : | * Faire une demande à l'OSHE en suivant les étapes suivantes : | ||
| − | ** Remplir la demande suivante : | + | ** Remplir la demande suivante : [[Fichier: CElectronique Acces APPLICATION.docx]] |
** Envoyer un mail à '''support.cyberdefense@docapost.fr''' / Objet : '''[CEP -- ENVIRONNEMENT] : Demande d'accès''' et y attacher votre demande ainsi que votre certificat d'authentification | ** Envoyer un mail à '''support.cyberdefense@docapost.fr''' / Objet : '''[CEP -- ENVIRONNEMENT] : Demande d'accès''' et y attacher votre demande ainsi que votre certificat d'authentification | ||
==== <div style="background-color: #81BEF7">'''Informations de connexion aux services'''</div> ==== | ==== <div style="background-color: #81BEF7">'''Informations de connexion aux services'''</div> ==== | ||
| − | ====='''Service de signature | + | ====='''Service de signature de pré-production'''===== |
Adresse IP: '''129.185.31.118''' | Adresse IP: '''129.185.31.118''' | ||
| Ligne 60 : | Ligne 58 : | ||
URI: '''/trustyServer/services/TSPort''' | URI: '''/trustyServer/services/TSPort''' | ||
| − | ====='''Service de vérification | + | ====='''Service de vérification de pré-production'''===== |
Adresse IP: '''129.185.31.126''' | Adresse IP: '''129.185.31.126''' | ||
| Ligne 68 : | Ligne 66 : | ||
URI: '''/trustyServer/services/TSPort''' | URI: '''/trustyServer/services/TSPort''' | ||
| − | ====='''Service de signature | + | ====='''Service de signature de production'''===== |
Adresse IP: '''Voir la résolution DNS''' | Adresse IP: '''Voir la résolution DNS''' | ||
| Ligne 76 : | Ligne 74 : | ||
URI: '''/trustyServer/services/TSPort''' | URI: '''/trustyServer/services/TSPort''' | ||
| − | ====='''Service de vérification | + | ====='''Service de vérification de production'''===== |
Adresse IP: '''Voir la résolution DNS''' | Adresse IP: '''Voir la résolution DNS''' | ||
| Ligne 89 : | Ligne 87 : | ||
La seconde peut se faire via les API du service qui devront être intégrées au code de l'application ayant besoin du rôle de signature et/ou de vérification. | La seconde peut se faire via les API du service qui devront être intégrées au code de l'application ayant besoin du rôle de signature et/ou de vérification. | ||
| − | ====='''Accès par SOAPUI''' | + | ====<div style="background-color: #D8D8D8">'''Accès par SOAPUI'''</div>==== |
SOAPUI est outils compatible Linux/Windows permettant de se connecter aux différentes API mis à disposition pour effectuer une signature de type Cachet Serveur et/ou une vérification de Signature. | SOAPUI est outils compatible Linux/Windows permettant de se connecter aux différentes API mis à disposition pour effectuer une signature de type Cachet Serveur et/ou une vérification de Signature. | ||
| Ligne 95 : | Ligne 93 : | ||
* [https://www.soapui.org/downloads/soapui.html SOAPUI] | * [https://www.soapui.org/downloads/soapui.html SOAPUI] | ||
| − | * Le fichier de référence du WebServices (WSDL) | + | * Le fichier de référence du WebServices (WSDL) : [[Fichier: TrustyServer Man Dev FR rev3.10.zip]] |
| − | * Un fichier de test de 100Ko | + | * Un fichier de test de 100Ko : [[Fichier: POI 100Ko.xml]] |
| + | <br> | ||
| − | = | + | <div style="background-color: #D8D8D8">'''Configuration de SOAPUI pour une signature'''</div> |
| + | <br> | ||
| − | Installez et lancer SOAPUI, puis suivez les instructions suivantes | + | *'''Installez et lancer SOAPUI, puis suivez les instructions suivantes''' |
| + | *'''Créer un projet''' | ||
| − | |||
[[Fichier: SOAPUI 1.png|750px]] | [[Fichier: SOAPUI 1.png|750px]] | ||
| − | *''' | + | *'''Donnez à un nom à votre projet''' |
| + | |||
[[Fichier: SOAPUI 2.png|750px]] | [[Fichier: SOAPUI 2.png|750px]] | ||
| Ligne 118 : | Ligne 119 : | ||
[[Fichier: SOAPUI 4.png|750px]] | [[Fichier: SOAPUI 4.png|750px]] | ||
| + | *'''Cochez la case "Creates a TestSuite for the imported WSDL''' | ||
| + | |||
| + | [[Fichier: SOAPUI 5.png|500px]] | ||
| + | |||
| + | *'''Cliquez sur OK''' | ||
| + | |||
| + | [[Fichier: SOAPUI 6.png|500px]] | ||
| + | |||
| + | *'''Cliquez sur OK''' | ||
| + | |||
| + | [[Fichier: SOAPUI 7.png|300px]] | ||
| + | |||
| + | <br> | ||
| + | ====='''Préparation de la requête'''===== | ||
| + | ---- | ||
| + | <br> | ||
| + | |||
| + | *'''Editez la requête pour l'adapter''' | ||
| + | |||
| + | [[Fichier: SOAPUI 8.png|750px]] | ||
| + | |||
| + | *'''Remplacez le contenu suivant:''' | ||
| + | |||
| + | <soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/"> | ||
| + | <soapenv:Header/> | ||
| + | <soapenv:Body> | ||
| + | <SignRequest> | ||
| + | <TransactionKey> | ||
| + | <AppId>?</AppId> | ||
| + | <policyId>?</policyId> | ||
| + | <requestId>?</requestId> | ||
| + | </TransactionKey> | ||
| + | <!--Optional:--> | ||
| + | <Data>cid:229681828524</Data> | ||
| + | <!--Optional:--> | ||
| + | <ReturnX509Info>?</ReturnX509Info> | ||
| + | <Options> | ||
| + | <!--Optional:--> | ||
| + | <ProfileId>?</ProfileId> | ||
| + | <!--Optional:--> | ||
| + | <dataUriForDetachedSignature>?</dataUriForDetachedSignature> | ||
| + | </Options> | ||
| + | </SignRequest> | ||
| + | </soapenv:Body> | ||
| + | </soapenv:Envelope> | ||
| + | |||
| + | *'''Par:''' | ||
| + | |||
| + | [[Fichier: Soap.format.xml]] | ||
| + | |||
| + | Vous devez modifier les paramètres encadré par des *, par les informations concernant votre configuration | ||
| + | |||
| + | Exemple concret : | ||
| + | |||
| + | [[Fichier: SOAPUI 9.png|750px]] | ||
| + | |||
| + | <br> | ||
| + | |||
| + | ====='''Configuration du EndPoint de connexion'''===== | ||
| + | ---- | ||
| + | <br> | ||
| + | |||
| + | |||
| + | [[Fichier: SOAPUI 10.png|750px]] | ||
| + | |||
| + | Si vous avez renseigné votre fichier host : | ||
| + | |||
| + | http'''s'''://preprod.sign.cachetelectroniquedelaposte.fr/trustyServer/services/TSPort | ||
| + | |||
| + | Pour un accès direct par l'adresse IP : | ||
| + | |||
| + | http'''s'''://129.185.31.118/trustyServer/services/TSPort | ||
| + | |||
| + | [[Fichier: SOAPUI 11.png|300px]] | ||
| + | |||
| + | *'''Le résultat doit être le suivant :''' | ||
| + | |||
| + | [[Fichier: SOAPUI 12c.png|750px]] | ||
| + | |||
| + | <br> | ||
| + | |||
| + | ====='''Ajouter le fichier à signer'''===== | ||
| + | ----- | ||
| + | <br> | ||
| + | |||
| + | [[Fichier: SOAPUI 13a.png|750px]] | ||
| + | |||
| + | [[Fichier: SOAPUI 14.png|500px]] | ||
| + | |||
| + | [[Fichier: SOAPUI 15.png|300px]] | ||
| + | |||
| + | [[Fichier: SOAPUI 16a.png|750px]] | ||
| + | |||
| + | ====='''Configurer l'authentification'''===== | ||
| + | ----- | ||
| + | <br> | ||
| + | |||
| + | [[Fichier: SOAPUI 17a.png|750px]] | ||
| + | |||
| + | [[Fichier: SOAPUI 18.png|750px]] | ||
| + | |||
| + | ===='''Effectuer une signature avec SOAPUI'''==== | ||
| + | |||
| + | Si l’ensemble du process a été respecté et que la procédure a été appliquée à la lettre, vous pouvez appuyer sur le bouton d’exécution pour effectuer une signature de type Cachet Serveur : | ||
| + | |||
| + | [[Fichier: SOAPUI 19.png|750px]] | ||
| + | |||
| + | '''Bouton Header''' | ||
| + | |||
| + | Transfer-Encoding chunked | ||
| + | #status# HTTP/1.1 200 OK | ||
| + | Server Apache-Coyote/1.1 | ||
| + | Date Fri, 14 Sep 2018 09:53:55 GMT | ||
| + | Content-Type multipart/related; type="application/xop+xml"; boundary="uuid:b1c8fce7-8c48-481f-980b-47664c93ce3b"; start="<root.message@cxf.apache.org>"; start-info="text/xml" | ||
| + | <br> | ||
| + | |||
| + | '''Attachement''' | ||
| + | |||
| + | Vous pouvez cliquez deux fois sur le fichier attaché à la réponse. Il suffit de l'enregistrer au format XML et de l'ouvrir par exemple avec le navigateur Firefox et en afficher le code source de la page. Vous verrez les informations signées. | ||
| + | |||
| + | [[Fichier: SOAPUI 20.png|750px]] | ||
| + | |||
| + | '''SSL Info''' | ||
| + | |||
| + | CipherSuite: | ||
| + | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 | ||
| + | LocalPrincipal: | ||
| + | 2.5.4.5=#1307312d3835313332,CN='''LA POSTE CACHET - connecteur SHV2 TEST''',L=Charenton le | ||
| + | Pont,ST=94,OU=0002 433998903,2.5.4.97=#130e3030303220343333393938393033,O=CERTINOMIS,C=FR | ||
| + | Local Certificate 1: | ||
| + | [ | ||
| + | [ | ||
| + | Version: V3 | ||
| + | Subject: SERIALNUMBER=1-85132, CN='''LA POSTE CACHET - connecteur SHV2 TEST''', L=Charenton le Pont, | ||
| + | ST=94, OU=0002 433998903, OID.2.5.4.97=0002 433998903, O=CERTINOMIS, C=FR | ||
| + | Signature Algorithm: SHA256withRSA, OID = 1.2.840.113549.1.1.11 | ||
| + | |||
| + | *** ''' En gras ci-dessus, le certificat qui a été utilisé pour s'authentifier auprès du service''' *** | ||
| + | |||
| + | '''... Retour supprimé...''' | ||
| + | ] | ||
| + | |||
| + | ===='''Guide d'implémentation de l'API dans une application'''==== | ||
| − | [[Fichier: | + | * [[Fichier: TrustyServer Man Dev FR rev3.10.zip]] |
Version actuelle datée du 14 septembre 2018 à 15:36
 |
Centre Opérationnel de Sécurité et de Cyberdéfense
Utilisation du service Cachet Electronique de La Poste |
Sommaire
Gestion du document
|
Date de la première version : |
12/09/2018 |
|
Date de la dernière version : |
12/09/2018 |
|
Version : |
1.0 |
|
Classification : |
|
|
Source : |
COSC : Centre Opérationnel de Sécurité et de Cyberdéfense |
Informations générales
L'accès au service du Cachet Electronique de La Poste est soumis à un contrôle d'accès par certificat et par adresse IP source. Vous devez faire la demande de cet accès en deux étapes :
- Commander un certificat de type Authentification Client SSL auprès de l'Autorité de Certification Certinomis
- Faire une demande à l'OSHE en suivant les étapes suivantes :
- Remplir la demande suivante : Fichier:CElectronique Acces APPLICATION.docx
- Envoyer un mail à support.cyberdefense@docapost.fr / Objet : [CEP -- ENVIRONNEMENT] : Demande d'accès et y attacher votre demande ainsi que votre certificat d'authentification
Informations de connexion aux services
Service de signature de pré-production
Adresse IP: 129.185.31.118 Adresse DNS : preprod.sign.cachetelectroniquedelaposte.fr Publication DNS : NON (A ajouter dans le fichier host de la machine) Port : TCP/443 URI: /trustyServer/services/TSPort
Service de vérification de pré-production
Adresse IP: 129.185.31.126 Adresse DNS : preprod.verifweb.cachetelectroniquedelaposte.fr Publication DNS : NON (A ajouter dans le fichier host de la machine) Port : TCP/443 URI: /trustyServer/services/TSPort
Service de signature de production
Adresse IP: Voir la résolution DNS Adresse DNS : sign.cachetelectroniquedelaposte.fr Publication DNS : OUI Port : TCP/443 URI: /trustyServer/services/TSPort
Service de vérification de production
Adresse IP: Voir la résolution DNS Adresse DNS : verifweb.cachetelectroniquedelaposte.fr Publication DNS : OUI Port : TCP/443 URI: /trustyServer/services/TSPort
Configuration de l'accès aux differents service
L'accès aux services peuvent se faire de deux manières. La première méthode est par l'outil SOAPUI. La seconde peut se faire via les API du service qui devront être intégrées au code de l'application ayant besoin du rôle de signature et/ou de vérification.
Accès par SOAPUI
SOAPUI est outils compatible Linux/Windows permettant de se connecter aux différentes API mis à disposition pour effectuer une signature de type Cachet Serveur et/ou une vérification de Signature. Afin d'effectuer les opérations, vous devez télécharger certains éléments comme :
- SOAPUI
- Le fichier de référence du WebServices (WSDL) : Fichier:TrustyServer Man Dev FR rev3.10.zip
- Un fichier de test de 100Ko : Fichier:POI 100Ko.xml
Configuration de SOAPUI pour une signature
- Installez et lancer SOAPUI, puis suivez les instructions suivantes
- Créer un projet
- Donnez à un nom à votre projet
- Importez le fichier WSDL
- Cochez la case "Creates a TestSuite for the imported WSDL
- Cliquez sur OK
- Cliquez sur OK
Préparation de la requête
- Editez la requête pour l'adapter
- Remplacez le contenu suivant:
<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/"> <soapenv:Header/> <soapenv:Body> <SignRequest> <TransactionKey> <AppId>?</AppId> <policyId>?</policyId> <requestId>?</requestId> </TransactionKey> cid:229681828524 <ReturnX509Info>?</ReturnX509Info> <Options> <ProfileId>?</ProfileId> <dataUriForDetachedSignature>?</dataUriForDetachedSignature> </Options> </SignRequest> </soapenv:Body> </soapenv:Envelope>
- Par:
Fichier:Soap.format.xml
Vous devez modifier les paramètres encadré par des *, par les informations concernant votre configuration
Exemple concret :
Configuration du EndPoint de connexion
Si vous avez renseigné votre fichier host :
https://preprod.sign.cachetelectroniquedelaposte.fr/trustyServer/services/TSPort
Pour un accès direct par l'adresse IP :
https://129.185.31.118/trustyServer/services/TSPort
- Le résultat doit être le suivant :
Ajouter le fichier à signer
Configurer l'authentification
Effectuer une signature avec SOAPUI
Si l’ensemble du process a été respecté et que la procédure a été appliquée à la lettre, vous pouvez appuyer sur le bouton d’exécution pour effectuer une signature de type Cachet Serveur :
Bouton Header
Transfer-Encoding chunked #status# HTTP/1.1 200 OK Server Apache-Coyote/1.1 Date Fri, 14 Sep 2018 09:53:55 GMT Content-Type multipart/related; type="application/xop+xml"; boundary="uuid:b1c8fce7-8c48-481f-980b-47664c93ce3b"; start="<root.message@cxf.apache.org>"; start-info="text/xml"
Attachement
Vous pouvez cliquez deux fois sur le fichier attaché à la réponse. Il suffit de l'enregistrer au format XML et de l'ouvrir par exemple avec le navigateur Firefox et en afficher le code source de la page. Vous verrez les informations signées.
SSL Info
CipherSuite: TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 LocalPrincipal: 2.5.4.5=#1307312d3835313332,CN=LA POSTE CACHET - connecteur SHV2 TEST,L=Charenton le Pont,ST=94,OU=0002 433998903,2.5.4.97=#130e3030303220343333393938393033,O=CERTINOMIS,C=FR Local Certificate 1: [ [ Version: V3 Subject: SERIALNUMBER=1-85132, CN=LA POSTE CACHET - connecteur SHV2 TEST, L=Charenton le Pont, ST=94, OU=0002 433998903, OID.2.5.4.97=0002 433998903, O=CERTINOMIS, C=FR Signature Algorithm: SHA256withRSA, OID = 1.2.840.113549.1.1.11 *** En gras ci-dessus, le certificat qui a été utilisé pour s'authentifier auprès du service *** ... Retour supprimé... ]