Conditions préalables du client de certificat personnel

  • Mis à jour le Sep 2, 2025
  • Publié le Nov 18, 2024
  • 4 Minute(s) lue(s)
Prev Next

Avant d’installer le client de certificat personnel

Avant de pouvoir utiliser le client de certificat personnel (PCC), un administrateur doit s’assurer que :

  • Le certificat concerné est un certificat de signature de document.

  • Le compte du créateur de la transaction a été activé pour la signature du certificat. Si la signature de votre certificat n’a pas été activée, contactez notre équipe d’assistance.

  • La chaîne de certificats du certificat existe et est approuvée sur le système du signataire.

Considérations relatives aux certificats

Un administrateur doit tenir compte de ce qui suit :

  • Tout certificat X.509 v3 et la clé privée associée peuvent être utilisés pour signer avec une signature Adobe. Si vous utilisez un certificat Adobe Certified Document Services (CDS) ou un certificat AATL (Adobe Approved Trusted List ), les signatures résultantes sont validées en fonction des informations de confiance fournies dans Adobe Acrobat et Adobe Reader. Si vous utilisez un certificat non CDS/AATL, vous pouvez configurer la source du certificat pour qu’elle soit approuvée par Adobe Acrobat et Adobe Reader (pour plus d’informations, consultez la documentation Adobe pertinente).

  • Le certificat X.509 doit utiliser une clé publique RSA. Les clés ECC (Elliptic Curve Cryptography) ne sont pas prises en charge.

  • L’indicateur nonRepudiation (également appelé contentCommitment) de l’extension de certificat keyUsage doit être activé.

Considérations relatives à l’appareil

Lecteurs de cartes à puce

Le PCC a été testé sur les lecteurs de carte à puce suivants et est pris en charge par ceux-ci :

  • Digipass (VASCO) DP 870

  • Digipass (VASCO) DP 875

  • Digipass (VASCO) DP 905

  • Litronic 215

  • Identiv SCR331

  • HID Omnikey 3121

Cartes à puce et authentificateurs (jetons)

Le PCC a été testé à l’aide des cartes à puce ou des authentificateurs suivants, et est pris en charge par ceux-ci :

  • Cartes PIV

  • Cartes d’identité électroniques belges

  • Confier les tokens USB

  • Cartes à puce KPN

Si vous souhaitez signer avec un appareil qui n’a pas été testé avec le PCC, notez que le PCC s’appuie sur : (1) les pilotes et/ou le middleware de l’appareil ; (2) les bibliothèques et services cryptographiques sous-jacents fournis avec le système d’exploitation. En particulier, le PCC exploite l’API Microsoft Crypto et le service cryptographique macOS.

Nous nous attendons donc à ce que la plupart des appareils disponibles sur le marché (cartes à puce, jetons matériels et lecteurs de cartes) soient compatibles avec le PCC, même s’ils n’ont pas été testés et certifiés par OneSpan. Néanmoins, si vous souhaitez utiliser un appareil qui n’est pas documenté ici, nous vous recommandons de communiquer d’abord avec votre représentant de compte.

URL externes

Au cours des opérations normales, le PCC envoie des requêtes à des URL externes. Le plus souvent, il s’agit d’URL qui contiennent les artefacts nécessaires à la création d’une chaîne de certificats valide et à la récupération des données de révocation de divers certificats. Par exemple, le certificat utilisé pour signer des documents ou des certificats TLS.

Si votre environnement restreint l’accès à Internet, l’accès à certaines de ces URL externes peut être bloqué, ce qui peut empêcher le PCC de fonctionner normalement. À l’heure actuelle, les domaines suivants sont connus pour être accessibles par le PCC et peuvent être bloqués par votre politique Internet :

  • digitalcertvalidation.com

  • digicert.com

  • globalsign.com

Notez que cette liste est incomplète. Il n’inclut pas, par exemple, les domaines dans lesquels sont hébergées les URL contenant les données de révocation des certificats de signature des utilisateurs finaux.

Si vous limitez l’accès à Internet, vous devez compiler une liste des URL externes auxquelles le PCC tente d’accéder dans votre environnement particulier, à l’aide de divers outils tiers accessibles au public et/ou des fonctionnalités de votre pare-feu. Par exemple, les outils suivants peuvent être utilisés pour récupérer une liste d’URL externes pour un environnement spécifique :

Une fois cela fait, vous devez ajouter ces URL à la liste blanche pour permettre au PCC de fonctionner.

Considérations supplémentaires

Un administrateur doit également tenir compte des éléments suivants :

  • Les administrateurs peuvent éventuellement : (1) spécifier l’URL de téléchargement qui s’affichera si les utilisateurs sont invités à installer le PCC ; (2) personnaliser les instructions de téléchargement de l’URL. Pour organiser ces configurations, veuillez contacter notre équipe d’assistance.

  • Pour des raisons de sécurité, le PCC n’est pas pris en charge dans les environnements de bureau virtualisé ou de bureau à distance. Ces environnements comprennent : (1) le bureau à distance sous Windows ; (2) Partage d’écran sur macOS.

  • Les clients sur site doivent personnaliser leur PCC pour sécuriser sa communication avec OneSpan Sign. Cela inclut le partage du certificat de communication ou du certificat de signataire du moteur de documents PDF avec notre équipe d’assistance, afin qu’il puisse être ajouté à la liste blanche. Une fois que le certificat de communication du moteur de documents PDF a expiré, si le nouveau certificat est réémis avec une nouvelle paire de clés, les clients locaux doivent le faire à nouveau. Si le nouveau certificat est renouvelé à l’aide de la même paire de clés, aucune action supplémentaire n’est requise. Pour plus d’informations, reportez-vous à la Authenticating Servers.

Bien que la plupart des utilisateurs naviguent sur Internet à l’aide de l’un des navigateurs pris en charge par le PCC (Edge, Firefox, Chrome), nous vous recommandons d’inclure la liste des navigateurs pris en charge dans la notification par e-mail que les signataires reçoivent. Cela vous permettra d’atteindre des taux d’achèvement maximaux pour vos processus de signature.