EBICS - Renouvellement des certificats clients EBICS
- Bertrand Littel
Faq ERP :
EBICS - Renouvellement des certificats clients EBICS
Produit | Version |
Izy / Infinity | 7.x |
Le protocole EBICS repose sur des certificats pour assurer la sécurisation des échanges entre les banques et leurs clients.Ces certificats ont communément une validité de 5 ans.
La procédure de renouvellement des certificats clients est décrite ci-dessous (et dans l'interface 1198
/ et fiche expert Ebics)
Procédure de renouvellement des certificats Client
Date de validité des certificats client
Les certificats client créés par le module Ebics ont une durée de validité de 5 ans. Afin de déterminer à quelle échéance vos certificats seront périmés, il suffit de vérifier la date de création des fichiers associés via l'explorateur de Windows.
Création d'un nouveau jeu de certificats client
Les certificats client qui vont arriver à échéance ne sont pas modifiables, impossible donc de repousser la date de fin de validité de ces certificats. Le renouvellement des certificats client nécessite donc de générer un nouveau jeu de certificats et de clés pour le client.
Nous vous invitons à vous référer au chapitre « Création des clés et certificats » de la fiche expert concernant la mise en oeuvre d'Ebics pour les détails relatifs à la création des certificats.
Il est impératif d'indiquer explicitement des noms de fichiers dans le programme de création des clés et certificats. L'utilisation des noms de fichiers par défaut (lorsque les champs sont laissés à espace) conduirait potentiellement au remplacement/écrasement des certificats déjà existants, ce qu'il faut éviter à tout prix. Une sauvegarde de ces derniers peut éventuellement s'avérer utile en cas de mauvaise manipulation.
Note : il n'est pas nécessaire de recréer un jeu de certificats client pour chacune de vos banques. Ces certificats identifient votre client et un seul jeu de certificats client peut être utilisé sur toutes ses banques.
Procédure de modification des certificats Client
Avant que vos certificats client arrivent à échéance, il est possible à tout moment d'indiquer à la banque que ceux-ci sont remplacés par de nouveaux certificats.
Pour cela, il existe un programme de modification des certificats client. Celui-ci se trouve dans le menu « Etebac-Ebics / Utilitaires / Ebics – Gestion des connexions / Modifier les clés et certificats client ».
Dans ce programme, il vous faudra indiquer pour quelle banque vous souhaitez modifier les certificats et les noms des fichiers correspondant aux nouveaux certificats et aux nouvelles clés. La fiche expert sur la mise en oeuvre d'Ebics contient un chapitre consacré à ce programme, pour plus d'information à son sujet.
L'utilisation de ce programme pour remplacer des certificats arrivant à échéance permet de ne pas passer par la procédure de révocation d'une connexion suivie d'une initialisation totale d'une nouvelle connexion Ebics. Sauf cas particulier de certaines banques, il n'y a donc pas besoin d'éditer et d'envoyer les lettres d'initialisation des nouveaux certificats à la banque. La modification des certificats étant sécurisée par les « anciens » certificats, il n'y a pas de validation/vérification « manuelle » des nouveaux certificats comme lors d'une 1ère initialisation.
A la fin de son exécution, en cas de succès, le programme mettra automatiquement la fiche de la banque concernée à jour pour indiquer les nouveaux certificats et les nouvelles clés à utiliser dans le cadre des transmissions Ebics avec cette banque.
Il vous faudra utiliser ce programme pour chacune des banques pour lesquelles vous allez changer les certificats client.
Le remplacement simultané de tous les certificats (ordre HCS) n'est pas nécessairement géré par toutes les banques. Dans ce cas, le programme retournera une erreur indiquant que ce type d'ordre n'est pas pris en charge (erreur EBICS_UNSUPPORTED_ORDER_TYPE).
Dans le cas où vos certificats seraient déjà arrivés à la fin de leur validité, cette procédure n'est plus
utilisable. L'exécution du programme se soldera par une erreur d'authentification (erreur EBICS_AUTHENTICATION_FAILED). Reportez-vous alors au dernier chapitre de ce document qui traite ce cas de figure.
Pour les banques qui exigeraient de valider les nouveaux certificats, même si ils ont été transmis de façon sécurisée par le programme, il est possible que la prochaine tentative de transmission Ebics avec cette dernière échoue avec une erreur EBICS_INVALID_USER_OR_USER_STATE, ce qui signifie que la banque n'a pas validé vos nouveaux certificats de manière automatique et attend les lettres d'initialisation pour une validation « manuelle ».
Renouvellement de certificats client déjà périmés
Dans le cas où le remplacement des certificats client n'a pas été anticipé, le programme de modification des certificats ne peut plus être utilisé, et l'ensemble de vos tentatives de transmission va se solder avec une erreur d'authentification (EBICS_AUTHENTICATION_FAILED).
La seule solution pour rétablir la connexion avec votre banque est de réinitialiser totalement la connexion Ebics avec elle.
Pour que l'établissement d'une nouvelle connexion puisse être possible, il faut tout d'abord solliciter la banque pour qu'elle révoque la connexion existante.
Une fois la connexion révoquée par la banque, et pour pouvoir à nouveau dérouler le processus d'établissement d'une connexion, il faut forcer le statut de la connexion de « connexion établie (HPB)
» à « connexion non initialisée » dans la fiche de la banque concernée.
Le changement de statut va réactiver la saisie du paramétrage Ebics de la banque, notamment les fichiers de clés et certificats. Il faut alors indiquer les noms de fichiers correspondant aux nouveaux certificats et clés générés au début de la procédure de renouvellement.
Après la modification du paramétrage Ebics pour utiliser les nouveaux certificats, les étapes suivantes sont celles de l'établissement « classique » d'une connexion Ebics qui est décrite en détail dans la fiche expert Ebics.
Vous devez disposer de la confidentialité R*** pour changer le statut de la connexion Ebics sur la fiche banque.
Après une révocation des certificats client, ceux-ci ne sont plus utilisables. Ils sont en quelque sorte « black-listés » par la banque, même si ils ne sont pas encore périmés.