Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Certificat électronique RGS** sous Linux pour répondre marché public

Merenguey

Bonjour à tous,

Mon entreprise utilise Linux. Pour répondre aux appels d'offre de marché public par voie électronique en France, il est désormais obligatoire d'utiliser le RGS classe II (deux étoiles).

De nombreuses entreprises proposent des solutions pour l'obtention de certificats (http://www.reseaux-et-canalisations.ineris.fr/gu-presentation/;jsessionid=9F4429DA76AEBB822676393632025593.jbossgu2faq/fonctionnement-du-teleservice.html). Jusqu'à preuve du contraire, je n'ai trouvé que des solutions à base de clef usb cryptograpique. Certaines fonctionnent sous Mac. Sous Linux, le cas est parfois évoqué, mais rien de concret.

Sur internet j'ai trouvé cette page http://www.emploitheque.org/actualite-204-Marches-publics---dematerialisation-sous-Linux-23112010#Liens-utiles. Il est évoqué une solution logicielle (plus pratique pour Linux mais peut-être moins sécurisée pour la certification). Simplement, un lien renvoie vers un fournisseur... qui ne propose qu'une solution matérielle pour le RGS**

Le seul sujet trouvé sur le forum (http://forum.ubuntu-fr.org/viewtopic.php?id=399879) ne m'a pas trop aidé. J'ai envoyé un message au support de Chambersign (chambre de commerce) et j'attends leur réponse.

Un membre du forum aurait-il une expérience en la matière ? Les logiciels utilisés pour windows tournent-ils avec wine ? Ou faut-il bidouiller autrement (et comment ?) ?

Je vous remercie à tous 🙂

Merenguey

[supprimé]

si cela marche avec MacOS, cela doit marcher avec Nunux.

normalement les x509 sont universels et dérivent intrinsèquement de OpenSSL. Là où cela se complique, c'est lorsque le support du x509 client est sous carte à puce ou USB (non extractible= token tpm). ~ même technologie Gemalto.
voir libccid, libclassicclient, pcscd, openct ... tpm,

sudo service pcscd start 
pcsc_scan
<ou> sudo service openct start

RGS classe II :
c'est ni plus ni moins qu'un pcsk#12 dans une clef usb. Le plus simple est de l'avoir sous le format p.12 (logiciel), qui sert principalement pour les authentifications fortes https. ( https x509 serveur + x509 client).
Penser également à importer les AC/CA racine, relatif au x509.

Les logiciels utilisés pour windows tournent-ils avec wine

la virtualisation par exemple par virtualbox me paraît plus efficace.

Merenguey

Bonjour,

Je déterre ce topic car j'ai eu quelques avancées et peut donc abreuver les autres de connaissance en la matière (enfin j'espère :/)

Tout d'abord, j'ai reçu le kit pour le certificat électronique. Il est composé d'un Cd-Rom d'installation, d'un lecteur de carte sim (apparenté du moins) sous forme de clef usb, et d'une carte sim (ou "smart card", la pièce unique qui permet une identification nominale).

SOUS LINUX Mint 15 64bits

Je n'ai pas réussi à utiliser une signature électronique.

En utilisant Wine, on réussit à installer le logiciel. Après quoi, le manuel d'installation détaille l'installation des certificats (à faire manuellement via Firefox, rien de compliqué).

La clef n'est pas montée automatiquement (rien dans /media/nom-d'utilisateur). C'est d'ailleurs peut-être pour ça que ça ne fonctionne pas. Elle n'est pas reconnue.

Avec l'installation vient un logiciel de diagnostic qui permet de détecter les erreurs. Avec Wine, je ne suis pas parvenu à démarrer le diagnostic. C'est comme si l'absence de clef détectée empêchait les tests de débuter.

Lorsque j'utilise diverses commandes (lsusb, sudo service pcsdc start puis pcsc_scan) l'ordinateur reconnaît bien qu'un port est utilisé et reconnaît la marque de la clef, etc.

SOUS Windows XP sp3 émulé par Virtualbox via LINUX Mint 15 64bits

L'émulation m'a permis d'aller plus loin qu'avec Wine. Toutefois, je ne suis pas parvenu à utiliser une signature électronique. On sent qu'il ne manque pas grand chose pour que ça fonctionne (au vu de mes faibles connaissances).

L'installation s'opère sans problèmes. Les logiciels se lancent mieux qu'avec Wine

Le logiciel de diagnostic atteste que la clef USB fonctionne. En revanche, il ne parvient pas à détecter la carte SIM qu'elle contient. Le logiciel ne peut donc effectuer un test de signature électronique

SOUS Windows XP sp2 sur un autre ordinateur

Tout fonctionne parfaitement. Un défaut matériel sur les deux autres versions tests est donc impossible.

Les applications démarrent bien et permettent d'effectuer une signature électronique

En somme, maintenant que je suis parvenu à faire fonctionner l'ensemble sur un ordinateur dédié Windows XP sp2, je cherche à m'en émanciper - inutile de préciser les raisons 😛. Je suis donc tout ouvert pour des solutions si d'autres personnes ont des idées ou sont intéressées. Le marché des certifications électroniques sous Linux n'intéressent pas les éditeurs (ils le confirment). Cela dit, cela ne doit pas empêcher cette méthode d'identification requise pour répondre à des appels d'offre de fonctionner.

Merci à tous

Merenguey

[supprimé]

salut,
as-tu essayé d'installer ?

libclassicclient  6.1.0-b07  Gemalto Classic Client for Linux

et configurer ton navigateur pour qu'il prenne en charge le token

La clef n'est pas montée automatiquement (rien dans /media/nom-d'utilisateur). C'est d'ailleurs peut-être pour ça que ça ne fonctionne pas. Elle n'est pas reconnue.

il ne s'agit pas d'une simple clef de stockage, mais d'un périphérique qui nécessite un token, pour que ton certificat ssl client soit accessible

Merenguey

Bonjour,

En fouillant pas mal, j'ai réussi à trouver ces pilotes :

pilotes.chambersign.fr/gemalto/61sp3/libclassicclient_6.1.0-b07_i386.deb

pilotes.chambersign.fr/gemalto/61SP3/libclassicclient_6.1.0-b07_amd64.deb

J'ai installé la version correspondant à mon système.

Là je dois bloquer au niveau du token :

Firefox > Edit > Preferences > Advanced > Security Devices

Load

Module Name : xxx

Module Filename : /usr/lib/ClassicClient/libgclib.so

Après quoi cela dit, je ne parviens pas à me connecter. Est-ce que le périphérique est bien reconnu ?

Merci encore

Merenguey

[supprimé]

Module Filename
/usr/lib/ClassicClient/libgclib-1.8.0.so

Même topo pour la messagerie
wget https://www.signexpert.fr/cms/index.php/content/download/402/1874/version/1/file/Installation+et+param%C3%A9trage+de+la+messagerie+Mozilla+Thunderbird.pdf

Merenguey

Bonjour,

En effet, il fallait bien sélectionner le module et surtout redémarrer (je ne sais pas pourquoi, mais du coup je peux me logger et ça marche).

Ce qui fonctionne :

L'import des certificats avec Firefox (demandés par les autorités afin de dématérialiser)

Le log avec le périphérique cryptographique depuis Edit > Preferences > Advanced > Security Devices > Log in)

La reconnaissance sur les sites de certifications électroniques de mon certificat électronique (dans mon cas, et sans leur faire de pub, je vérifie sur https://services.certeurope.fr/)

Ce qui ne fonctionne pas :

La reconnaissance du périphérique cryptographique avec le logiciel fourni par Gemalto sous Wine (Classic Client Toolbox). Alors que je peux me logger, le logiciel ne reconnaît même pas qu'un périphérique cryptographique est inséré dans l'ordinateur

la signature électronique de fichiers depuis les sites officiels de marché public (la finalité de toute cette question). En effet, je parviens à effectuer ces manipulations depuis mon poste Windows XP, mais impossible de le faire depuis Linux (ou en tout cas, mon ordinateur).

En effet, quand j'essaye de signer électroniquement un fichier depuis un des sites, l'applet java se lance (tant bien que mal) mais le certificat électronique n'est pas trouvé. Je ne peux pas rien faire. Voici trois photos issus de trois sites différents :

Si quelqu'un a une idée ?

Merenguey

[supprimé]

Sous wine, je ne sais pas. Aucune idée.
Sous virtualbox, le périphérique ne peut pas être utilisé en même temps à la fois sous l'OS virtualisé et sur l'OS hôte. Cela fonctionne sous l'OS virtualisé ( voir virtualbox & usb.)

...l'applet java...

problème java, je pense

#vérification, 
java -version
java version ...
OpenJDK Runtime Environment (IcedTea....
OpenJDK 64-Bit Server VM ...

Si tu n'as rien de ci-dessus;

sudo apt-get install openjdk-7-jre icedtea-7-plugin

regarde la page java dans la doc
En cas de conflit java, si tu en installes d'autres.

sudo update-alternatives --config java

bonne nuit

Merenguey

Bonjour,

Désolé de toujours répondre avec un temps de retard. Ce n'est pas par désintérêt pour la question. Bref, je pense que l'applet java fonctionne. Comme le montre cette image :

En fait, avec Linux j'ai beau charger le token (comme je le fais avec Windows), l'application java du site internet ne parvient pas à trouver qu'un certificat est connecté. Je ne sais pas si ça a à voir, mais l'installation du token demande un module PKCS#11 alors que l'application, à défaut de trouver automatiquement le certificat, me propose d'aller le charger. Et il cherche les modules PKCS#12.

Je me demande alors s'il ne suffirait pas de trouver ce certificat manuellement pour fignoler l'installation. J'ai cependant cherché sans succès. Est-ce dans un dossier de Firefox (puisque c'est à partir de lui que s'installe le token) ? Y a-t-il un fichier config ?

Merenguey

[supprimé]

A tester aussi avec la version Java Sun Oracle 7

VisantR

UP

Quelqu'un a trouvé une solution cela m'intéresserait aussi pour mon entreprise
Merci,

pascalinux1

Bonjour,

la solution est la :
https://forums.linuxmint.com/viewtopic.php?f=63&t=256532

bon courrage !