Avant d’installer le client de certificat personnel
Avant que le client à certificat personnel (PCC) puisse être utilisé, un administrateur doit s’assurer que :
Le certificat concerné est un certificat de signature de documents.
Le compte du créateur de la transaction a été activé pour la signature de certificats. Si votre signature de certificat n’a pas été activée, contactez notre équipe de support.
La chaîne de certificats du certificat existe et est fiable dans le système du signataire.
Considérations sur les certificats
Un administrateur devrait prendre en compte les éléments suivants :
Tout certificat X.509 v3 et la clé privée associée peuvent être utilisés pour signer avec une signature Adobe. Si vous utilisez un certificat Adobe Certified Document Services (CDS) ou un certificat Adobe Approved Trusted List (AATL), les signatures résultantes sont validées en fonction des informations de confiance fournies dans Adobe Acrobat et Adobe Reader. Si vous utilisez un certificat non CDS/AATL, vous pouvez configurer la source du certificat pour qu’elle soit fiable par Adobe Acrobat et Adobe Reader (pour les instructions, voir la documentation Adobe pertinente).
À partir de la version PCC 2.3.5 , les clés ECC (Elliptic Curve Cryptography) sont prises en charge.
Le drapeau nonRepudiation (également appelé contentCommitment) de l’extension du certificat keyUsage doit être ON.
Considérations sur les dispositifs
Lecteurs de carte à puce
Le PCC a été testé sur les lecteurs de cartes à puce suivants, et est pris en charge par eux :
Digipass (VASCO) DP 870
Digipass (VASCO) DP 875
Digipass (VASCO) DP 905
Litronic 215
Identiv SCR331
HID Omnikey 3121
Cartes à puce et authentificateurs (jetons)
Le PCC a été testé avec les cartes à puce ou authentificateurs suivants, et est pris en charge avec eux :
Cartes PIV
Cartes eID belges
Confiez les jetons USB
Cartes à puce KPN
Si vous souhaitez signer avec un appareil qui n’a pas été testé avec le PCC, notez que le PCC repose sur : (1) les pilotes et/ou middleware de l’appareil ; (2) les bibliothèques et services cryptographiques sous-jacents qui sont fournis avec le système d’exploitation. En particulier, le PCC exploite l’API Microsoft Crypto et le service cryptographique macOS.
Nous nous attendons donc à ce que la plupart des appareils disponibles sur le marché (cartes à puce, jetons matériels et lecteurs de cartes) soient compatibles avec le PCC, même s’ils n’ont pas été testés et certifiés par OneSpan. Néanmoins, si vous souhaitez utiliser un appareil qui n’est pas documenté ici, nous vous recommandons de d’abord contacter votre représentant de compte.
URL externes
Lors des opérations normales, le PCC envoie des requêtes vers des URL externes. Le plus souvent, il s’agit d’URLs qui contiennent les artefacts nécessaires pour constituer une chaîne de certificats valide et récupérer les données de révocation de divers certificats. Par exemple, le certificat utilisé pour signer des documents, ou les certificats TLS.
Si votre environnement restreint l’accès à Internet, l’accès à certaines de ces URL externes peut être bloqué, ce qui peut empêcher le PCC de fonctionner normalement. Actuellement, les domaines suivants sont connus pour être accessibles par le PCC et peuvent être bloqués par votre politique internet :
digitalcertvalidation.com
digicert.com
globalsign.com
Notez que cette liste est incomplète. Il n’inclut pas, par exemple, les domaines dans lesquels sont hébergées les URL contenant les données de révocation des certificats de signature des utilisateurs finaux.
Si vous restreignez l’accès à Internet, vous devez compiler une liste des URL externes auxquelles le PCC tente d’accéder dans votre environnement particulier, en utilisant divers outils tiers publics et/ou les fonctionnalités de votre pare-feu. Par exemple, les outils suivants pourraient être utilisés pour récupérer une liste d’URL externes pour un environnement spécifique :
Sysinternals Process Monitor (https://learn.microsoft.com/en-us/sysinternals/downloads/procmon),
Wireshark (https://www.wireshark.org/),
Telerik Fiddler (https://www.telerik.com/fiddler).
Une fois cela fait, vous devez mettre ces URL sur liste blanche pour permettre au PCC de fonctionner.
Considérations supplémentaires
Un administrateur doit également prendre en compte les éléments suivants :
Les administrateurs peuvent éventuellement : (1) spécifier l’URL de téléchargement qui apparaîtra si les utilisateurs sont invités à installer le PCC ; (2) personnaliser les instructions de téléchargement de l’URL. Pour organiser ces configurations, veuillez contacter notre équipe de support.
Pour des raisons de sécurité, le PCC n’est pas pris en charge dans les environnements de bureau virtualisé ou de bureau à distance. Ces environnements incluent : (1) le bureau à distance sous Windows ; (2) partage d’écran sur macOS.
Les clients sur site doivent personnaliser leur PCC pour sécuriser leur communication avec OneSpan Sign. Cela inclut le partage du certificat de communication ou du certificat de signataire du PDF Document Engine avec notre équipe de support, afin qu’il puisse être mis sur liste blanche. Une fois le certificat de communication du PDF Document Engine expiré, si le nouveau certificat est réémis avec une nouvelle paire de clés, les clients sur site doivent recommencer. Si le nouveau certificat est renouvelé en utilisant la même paire de clés, aucune action supplémentaire n’est requise. Pour plus d’informations, voir Authentification des serveurs.
Bien que la plupart des utilisateurs naviguent sur Internet en utilisant l’un des navigateurs compatibles avec le PCC (Edge, Firefox, Chrome), nous vous recommandons d’inclure la liste des navigateurs pris en charge dans la notification par e-mail reçue par les signataires. Cela vous garantira d’atteindre un taux de réussite maximal pour vos processus de signature.