Le LPS doit être en capacité de valider le certificat serveur du SI DMP (pour les interfaces LPS) selon la norme PKIX (voir RFC3280 sur http://tools.ietf.org/html/rfc3280 et RFC5280 sur http://tools.ietf.org/html/rfc5280).
Le connecteur DMPC-API charge un trustore contenant le certificat X509 avec l'AC nécessaire lors de l'initialisation de la connexion TLS avec le serveur.
Nous utilisons pour cela les magasins de certificat fournis par Java notamment "javax.net.ssl.TrustManagerFactory" et "java.security.KeyStore".
La DevBox-Santé DMP utilise les mécanismes décrits ici : https://doc.devbox-sante.fr/ms-sante/howtos/preuve_segur/#111-preuve
La DevBox-sante a développé un IGCSanteTrustoreManager spécifique afin de prendre en compte les différentes IGC-Santé définies sur http://igc-sante.esante.gouv.fr/PC/ . Tous les composants DevBox-Sante comme la MSS peuvent être configurés de manière à accepter les certificats d’une ou plusieurs gammes. Comme par exemple, pour l’environnement de formation de Mailiz :
devbox-sante:
ms-sante:
igcsante:
gammes: ELEMENTAIRE_ORGANISATIONS, ELEMENTAIRE_ORGANISATIONS_TEST
Le choix de cette gamme en configuration permet le téléchargement à la volée des certificat à ajouter au trust store lors de son lancement :
for (IGCSanteGammeCertificat gammeCertificat : gammeCertificats) {
log.info("Ajout du certificat {} au trustStore", gammeCertificat.getCertificatUrl());
final X509Certificate certificat = _loadCertificate(gammeCertificat);
_checkExpirationDate(certificat);
trustStore.setCertificateEntry(gammeCertificat.getAlias(), certificat);
}
private X509Certificate _loadCertificate(IGCSanteGammeCertificat gammeCertificat) {
URLConnection urlConnection = HttpHelper.noCheckCertificateOpenConnection(url);
X509Certificate certificate = (X509Certificate) CertificateFactory.getInstance(X_509).generateCertificate(urlConnection.getInputStream());
if (certificate == null) {
certificate = (X509Certificate) CertificateFactory.getInstance(X_509).generateCertificate(this.getClass().getClassLoader().getResourceAsStream(gammeCertificat.getCertificateFilename()));
}
}
return certificate;
}
La DevBox-Santé DMP utilise les mécanismes décrits ici : https://doc.devbox-sante.fr/ms-sante/howtos/preuve_segur/#111-preuve
La DevBox-sante a développé un IGCSanteTrustoreManager spécifique afin de prendre en compte les différentes IGC-Santé définies sur http://igc-sante.esante.gouv.fr/PC/ . Tous les composants DevBox-Sante comme la MSS peuvent être configurés de manière à accepter les certificats d’une ou plusieurs gammes. Comme par exemple, pour l’environnement de formation de Mailiz :
Le choix de cette gamme en configuration permet le téléchargement à la volée des certificat à ajouter au trust store lors de son lancement :