1. devbox-sante Avatar devbox-sante
  2. documentations
  3. homologation
  4. Issues

REC_0.X-1090

Issue #34 new
Laurent Forêt created an issue

Il est recommandé de faire également un contrôle de révocation des certificats serveurs du SI DMP.

2017-12-07 17_59_17-DMP1_LPS_PDV homologation_20170316_DEVCOOP_IGC_v1.1.3_lfo.png

Official response

  •  Laurent Forêt

    La DevBox-Santé DMP utilise les mécanismes décrits ici : https://doc.devbox-sante.fr/ms-sante/howtos/preuve_segur/#mss-6--non-révocation-du-certificat

    C’est à dire :

    Lors du lancement de la JVM (version 11 minimal) du connecteur DMP un truststore est généré avec un sous ensemble de la gamme de certificats de l’AC définit à l’url suivante : http://igc-sante.esante.gouv.fr/PC/

    Nous prenons en compte les CRL disponibles pour chaque certificat donné à cette même URL.

    Les logs montrent cette prise en charge :

    2022-10-12 12:00:30.758 - igcsante.IGCSanteTrustoreManager : Ajout de la CRL http://igc-sante.esante.gouv.fr/CRL/ACI-EL-ORG.crl au trustStore
2022-10-12 12:00:31.848 - igcsante.IGCSanteTrustoreManager : Ajout de la CRL http://igc-sante.esante.gouv.fr/CRL/ACI-EL-ORG-TEST.crl au trustStore

    L’IGCSanteTrustoreManager est codé pour vérifier les CRLs disponibles sur http://igc-sante.esante.gouv.fr/PC/, dont voici l’extrait de code :

      PKIXBuilderParameters pkixParams = new PKIXBuilderParameters(trustStore, new X509CertSelector());
  for (IGCSanteGammeCertificat gammeCertificat : gammeCertificats) {
      String crlUrl = gammeCertificat.getCrlUrl();
      log.info("Ajout de la CRL {} au trustStore", crlUrl);
      pkixParams.addCertStore(_loadCRL(crlUrl));
  }
  pkixParams.setRevocationEnabled(true);
  ManagerFactoryParameters trustParams = new CertPathTrustManagerParameters(pkixParams);

Comments (3)

  3. Laurent Forêt

    La DevBox-Santé DMP utilise les mécanismes décrits ici : https://doc.devbox-sante.fr/ms-sante/howtos/preuve_segur/#mss-6--non-révocation-du-certificat

    C’est à dire :

    Lors du lancement de la JVM (version 11 minimal) du connecteur DMP un truststore est généré avec un sous ensemble de la gamme de certificats de l’AC définit à l’url suivante : http://igc-sante.esante.gouv.fr/PC/

    Nous prenons en compte les CRL disponibles pour chaque certificat donné à cette même URL.

    Les logs montrent cette prise en charge :

    2022-10-12 12:00:30.758 - igcsante.IGCSanteTrustoreManager : Ajout de la CRL http://igc-sante.esante.gouv.fr/CRL/ACI-EL-ORG.crl au trustStore
2022-10-12 12:00:31.848 - igcsante.IGCSanteTrustoreManager : Ajout de la CRL http://igc-sante.esante.gouv.fr/CRL/ACI-EL-ORG-TEST.crl au trustStore

    L’IGCSanteTrustoreManager est codé pour vérifier les CRLs disponibles sur http://igc-sante.esante.gouv.fr/PC/, dont voici l’extrait de code :

      PKIXBuilderParameters pkixParams = new PKIXBuilderParameters(trustStore, new X509CertSelector());
  for (IGCSanteGammeCertificat gammeCertificat : gammeCertificats) {
      String crlUrl = gammeCertificat.getCrlUrl();
      log.info("Ajout de la CRL {} au trustStore", crlUrl);
      pkixParams.addCertStore(_loadCRL(crlUrl));
  }
  pkixParams.setRevocationEnabled(true);
  ManagerFactoryParameters trustParams = new CertPathTrustManagerParameters(pkixParams);

  4. Log in to comment
Assignee
Type
task
Priority
major
Status
new
Component
Version
Votes
0
Watchers
1