Emission des certificats client

SOMMAIRE

Préalable


Les certificats client (banque ET signataires) doivent ensuite être envoyés au serveur Ebics de la banque afin d'initialiser la connexion.
IMPORTANT : L'ensemble des étapes décrites dans ce chapitre doivent être déroulées pour la banque mais également pour chacun des signataires de la banque concernée, même si nous utiliserons l'exemple des certificats client définis au niveau de la banque pour illustrer chacune de ces étapes.

Les certificats sont auto-signés (par Divalto Règlements)

Le contrôle par la chaîne de certification n'est pas possible. L'authentification doit donc être assurée par un second mécanisme externe au fichier d'initialisation généré sur le poste client. Ceci est réalisé par l'envoi à la banque, en parallèle de celui du certificat via EBICS, d'un document de confirmation par un autre canal (impression et envoi d'un pdf par courrier, fax, téléchargement). Le choix du canal est hors périmètre de ce guide mais doit être précisé dans le contrat client entreprise/banque.
En France, l'envoi de trois documents (un document par certificat) est obligatoire.


Cette authentification peut être faite par signature manuelle du client sur la version imprimée du fichier d'initialisation (voir annexe A4 – format imprimable du certificat). Ce document comprend le certificat au format DER, ainsi que les informations d'identification de l'utilisateur (user ID, partner ID, et éventuellement UserName) et du sceau (hash) du certificat dans un format imprimable en vue du rapprochement.
Dans la banque, la validation du certificat s'effectue par le rapprochement de ces données. Optionnellement, si la banque offre le service, ce fichier de confirmation du certificat peut être transmis par un autre canal électronique et sécurisé qu'EBICS, car il est conçu pour pouvoir être intégré automatiquement sur le serveur de la banque.


Le contrôle de l'authentification par mail simple n'est pas garanti. L'envoi par mail simple de ce fichier n'est pas recommandé.
Il est à noter que la norme Ebics n'impose pas d'ordre pour ces 2 transmissions, il est donc tout à fait possible d'émettre les certificats client via Ebics avant d'adresser les lettres d'initialisation à la banque.
Afin d'activer la connexion du client, la banque vérifie l'authenticité des certificats reçus via Ebics en s'appuyant sur les lettres d'initialisation.


Si les sceaux (hash) des certificats reçu via Ebics correspondent aux sceaux présents sur les lettres d'initialisation, le client passe dans un statut « initialisé » et celui-ci est alors autorisé à télécharger les certificats de la banque.

 

Les certificats sont certifiés par une AC (Autorité de Certification)


Le contrôle de la chaîne de certification du certificat permet une automatisation complète du rapprochement suivant les procédures internes de chaque établissement bancaire. En EBICS TS, si l'AC, ayant émis le certificat de signature personnelle, n'est pas reconnue par la banque, le certificat est rejeté dans la phase d'initialisation.


Impression des lettres d'initialisation

Tout comme la création des clés et certificats, il est possible d'accéder à l'édition des lettres d'initialisation par le menu ou directement depuis la fiche banque ou la/les sous-fiche(s) signataire(s).

La lettre d'initialisation comporte les données suivantes pour chacun des certificats utilisateur
:

  • le UserID,

  • le PartnerID,

  • l'usage prévu (l'authentification, le chiffrement, le scellement),  la version de la signature électronique supportée,  le sceau/condensat (hash) du certificat.

 

Exemple de lettre d'initialisation :

 

image-20240918-095947.png

Emission des requêtes INI et HIA

Une fois encore, il est possible d'accéder à l'initialisation d'une connexion (émission des requête INI et HIA) par le menu ou directement depuis la fiche banque ou la/les sous-fiche(s) signataire(s).

Par le menu principal

L'accès se trouve dans le sous-menu « Etebac / Ebics » / « Utilitaires » / « Ebics – Gestion des connexions »
La fenêtre du programme d'initialisation d'une connexion Ebics est la suivante :

L'écran de sélection demande la saisie du code de la banque pour laquelle l'initialisation doit être effectuée. Il s'assure que le mode de transmission de cette banque est bien Ebics et que le statut de la connexion est « connexion non initialisée ».
L'utilisateur a également la possibilité d'indiquer quel message il souhaite émettre :

  • INI, pour le certificat de signature/scellement,

  • HIA, pour les certificats d'authentification et de chiffrement,

  • INI puis HIA (dans cet ordre, en une seule exécution du programme).

 

La norme Ebics indique que les requêtes INI et HIA peuvent être transmises dans n'importe quel ordre (INI puis HIA ou HIA puis INI). Divalto Règlement laisse le choix à l'utilisateur sur la façon de procéder mais il est recommandé de procéder en 2 étapes (donc 2 utilisations du programme d'initialisation) afin de limiter les risques en cas d'erreur de transmission de l'une des 2 requêtes.
Dans le cas de l'émission des certificats d'un signataire, ce dernier est automatiquement identifié à partir de la clé personnelle qui est insérée dans le PC à l'exécution du programme. Il faudra réitérer cette étape pour chaque signataire qui est défini au niveau de la banque.
A la fin du traitement, et en cas de succès, le programme vous permet d'éditer directement les lettres d'initialisation, dans le cas où l'émission des requêtes INI et HIA aurait précédé l'édition.

Par le menu de la fiche banque ou de la fiche signataire

 

L'appel au programme d'initialisation d'une connexion Ebics par le biais du menu de la fiche banque/signataire s'affranchit du passage par l'écran de sélection. En effet, le code banque est automatiquement celui de la banque courante, l'identifiant du signataire celui de la fiche signataire courante (dans le cas de l'initialisation des certificats d'un signataire) et le choix de message à émettre est automatiquement « INI et HIA ».

 

Statut de la connexion

L'initialisation de la connexion Ebics va faire évoluer le statut de la connexion, visible dans la fiche banque ou la sous-fiche signataire.
Après l'émission d'un message INI ou HIA seul, le statut est « connexion partiellement initialisée (xxx) », où xxx correspond au message déjà émis.

 

Après l'émission, simultanée ou non, des messages INI et HIA, le statut est « connexion
initialisée (INI/HIA) »