Les certificats client (banque ET signataires) doivent ensuite être envoyés au serveur Ebics de la banque afin d'initialiser la connexion.
IMPORTANT : L'ensemble des étapes décrites dans ce chapitre doivent être déroulées pour la banque mais également pour chacun des signataires de la banque concernée, même si nous utiliserons l'exemple des certificats client définis au niveau de la banque pour illustrer chacune de ces étapes.
Les certificats sont auto-signés (par Divalto Règlements)
Le contrôle par la chaîne de certification n'est pas possible. L'authentification doit donc être assurée par un second mécanisme externe au fichier d'initialisation généré sur le poste client. Ceci est réalisé par l'envoi à la banque, en parallèle de celui du certificat via EBICS, d'un document de confirmation par un autre canal (impression et envoi d'un pdf par courrier, fax, téléchargement). Le choix du canal est hors périmètre de ce guide mais doit être précisé dans le contrat client entreprise/banque.
En France, l'envoi de trois documents (un document par certificat) est obligatoire.
Cette authentification peut être faite par signature manuelle du client sur la version imprimée du fichier d'initialisation (voir annexe A4 – format imprimable du certificat). Ce document comprend le certificat au format DER, ainsi que les informations d'identification de l'utilisateur (user ID, partner ID, et éventuellement UserName) et du sceau (hash) du certificat dans un format imprimable en vue du rapprochement.
Dans la banque, la validation du certificat s'effectue par le rapprochement de ces données. Optionnellement, si la banque offre le service, ce fichier de confirmation du certificat peut être transmis par un autre canal électronique et sécurisé qu'EBICS, car il est conçu pour pouvoir être intégré automatiquement sur le serveur de la banque.
Le contrôle de l'authentification par mail simple n'est pas garanti. L'envoi par mail simple de ce fichier n'est pas recommandé.
Il est à noter que la norme Ebics n'impose pas d'ordre pour ces 2 transmissions, il est donc tout à fait possible d'émettre les certificats client via Ebics avant d'adresser les lettres d'initialisation à la banque.
Afin d'activer la connexion du client, la banque vérifie l'authenticité des certificats reçus via Ebics en s'appuyant sur les lettres d'initialisation.
Si les sceaux (hash) des certificats reçu via Ebics correspondent aux sceaux présents sur les lettres d'initialisation, le client passe dans un statut « initialisé » et celui-ci est alors autorisé à télécharger les certificats de la banque.
Les certificats sont certifiés par une AC (Autorité de Certification)
Le contrôle de la chaîne de certification du certificat permet une automatisation complète du rapprochement suivant les procédures internes de chaque établissement bancaire. En EBICS TS, si l'AC, ayant émis le certificat de signature personnelle, n'est pas reconnue par la banque, le certificat est rejeté dans la phase d'initialisation.