V1.2.0 du 07/12/2016

Manuel de connexion aux

Webservices RASS

Manuel de connexion aux Webservices RASS

Version 1.2.0 du 07/12/2016

Historique du document

Version Date Auteur Commentaires

1.0.0 14/10/2016 ASIP Santé Création

1.1.0 18/11/2016 ASIP Santé

+ Bilan des environnements

+ Schéma de principe général de connexion au RASS

+ Commande OpenSSL

+ Annexes contenant les "truststores" de connexion aux différents environnements

+ Récupération des extractions via l'IHM

+ "Installation de certificats"

1.2.0 07/12/2016 ASIP Santé Prise en compte remarques

ASIP Santé Manuel de connexion aux Webservices RASS 07/12/2016

3 / 38

1 Références

N° Version Date Auteur Document

[1] v3.0.0 05/10/2015 ASIP Santé Openssl et mod_ssl avec les produits de certification ASIP Sante

[2] v1.0.3 ASIP Santé DSFT des Webservices d'extractions

[3] v1.0.0 ASIP Santé

Accès et utilisation de l’environnement de tests des services d’annuaires des acteurs de santé

Tableau 1 : Références

ASIP Santé Manuel de connexion aux Webservices RASS 07/12/2016

4 / 38

2 Résumé Ce document présente les principaux moyens d'appeler les Webservices d'extractions exposés par le RASS avec les clients HTTP du marché.

Ce document ne décrit pas:

- La phase de commande des différents produits de certification ASIP Santé nécessaires à l'établissement de la connexion sécurisée entre les postes clients et les serveurs RASS

- Les Webservices du RASS et les données qu'ils véhiculent, proprement dits - Les différents environnements mis à disposition par le RASS

Accompagnement Pour toute question et échange sur ce document : editeurs@asipsante.fr

Tableau 2 : Contact accompagnement ASIP Santé

Ce document s'adresse aux développeurs, chefs de projet ou architectes des Systèmes d'informations souhaitant s'interfacer avec les services du RASS.

Profiles

Aucune connaissance spécifique aux IGCs de l’ASIP Santé n’est requise.

Des connaissances de base en OpenSSL, cUrl, Unix et surtout HTTP sont requises.

Tableau 3 : Profiles ciblés par le document

Toutes les commandes ou scripts présentés dans ce document doivent faire l’objet de développements visant à les « renforcer » pour permettre une mise en production effective (log et gestion des cas d’erreur, reprises sur erreur… en particulier).

Tableau 4 : Point d'attention

ASIP Santé Manuel de connexion aux Webservices RASS 07/12/2016

5 / 38

3 Sommaire 1 Références ........................................................................................................................................................................ 3

2 Résumé ............................................................................................................................................................................. 4

3 Sommaire ......................................................................................................................................................................... 5

4 Glossaire ........................................................................................................................................................................... 6

5 Liste des entreprises citées ............................................................................................................................................... 7

6 Avertissements ................................................................................................................................................................. 8

7 Environnements ............................................................................................................................................................... 9

8 Principe général des développements RASS [2][3] ......................................................................................................... 10

9 Conversion du PKCS12 ASIP Santé en deux fichiers (certificat, clé privée) au format PEM séparés............................... 11

10 Vérification de la configuration Curl avec le serveur https://testssl.asipsante.fr/ ......................................................... 12

11 Récupération d'une extraction RASS avec Curl version 7.21.2 ou supérieure ................................................................ 13

12 Récupération d'une extraction RASS avec Curl version 7.21.1 ou inférieure ................................................................. 17

13 Récupération d'une extraction RASS avec WGet ............................................................................................................ 18

14 Récupération d'une extraction RASS avec OpenSSL [utilisateurs avancés] .................................................................... 21

15 Récupération d'une extraction RASS via l'IHM RASS ...................................................................................................... 23 15.1 Connexion par carte CPS ....................................................................................................................................... 23 15.2 Connexion par bi-clé logiciel ................................................................................................................................. 26 15.3 "Installation d'un certificat" .................................................................................................................................. 27

16 Récupération de l'extraction RASS publique via les WebServices .................................................................................. 29

17 Annexe – Contenu de testssl.asipsante.fr.pem .............................................................................................................. 30

18 Annexe – Contenu de ws.annuaire.sante.fr.cert.pem .................................................................................................... 31

19 Annexe – Contenu de partenaires.annuaire.sante.fr.cert.pem ...................................................................................... 32

20 Annexe – Contenu de ws.partenaires.annuaire.sante.fr.cert.pem................................................................................. 33

21 Annexe – Liste des figures .............................................................................................................................................. 34

22 Annexe – Liste des tableaux ........................................................................................................................................... 35

23 Notes .............................................................................................................................................................................. 37

ASIP Santé Manuel de connexion aux Webservices RASS 07/12/2016

6 / 38

4 Glossaire

Abréviation Signification

API Application Programming Interface

ASIP Santé Agence des Systèmes d’Information Partagés de Santé

HTTP Hyper Text Transfert Protocol

IGC Infrastructure de Gestion de Clé

RASS Répertoire des Acteurs Santé&Social

RPPS Répertoire Partagé des Professionnels de Santé

SNI Server Name Indication (lié au protocole TLS)

SSL Secure Sockets Layer

TLS Transport Layer Security, successeur de SSL

URL Universal Ressource Locator

Tableau 5 : Glossaire

ASIP Santé Manuel de connexion aux Webservices RASS 07/12/2016

7 / 38

5 Liste des entreprises citées Le présent document cite les produits des entreprises ou organismes suivants:

Nom Site Web Lien avec le document

ASIP Santé esante.gouv.fr CPx, Cryptolib CPS v5, testssl.asipsante.fr, Minidriver CPS

Curl curl.haxx.se Editeur du logiciel Curl

GNU https://www.gnu.org/software/wget/ Editeur de WGet

OpenSSL www.openssl.org Editeur de OpenSSL

Tableau 6 : Entreprises citées

ASIP Santé Manuel de connexion aux Webservices RASS 07/12/2016

8 / 38

6 Avertissements Sur le nécessaire strict respect des procédures décrites dans le document L’attention de l’utilisateur est attirée sur l’importance de respecter strictement les procédures décrites dans le présent document. Toutes les procédures qui y sont décrites ont été préalablement testées par l’ASIP Santé. En cas de non-respect de ces procédures, des dysfonctionnements dans l’environnement de travail de l’utilisateur peuvent apparaître. En cas de dysfonctionnement, quel qu’il soit, l’ASIP Santé prêtera dans la mesure du possible assistance à l’utilisateur, qui ne pourra rechercher sa responsabilité en cas de non-respect des procédures décrites dans le présent document.

Sur les liens externes Le présent document contient des liens vers des sites Internet. Ces liens ne visent qu'à informer l’utilisateur. Ces sites Web ne sont pas gérés par l'ASIP Santé et l'ASIP Santé n’exerce sur eux aucun contrôle : leur mention ne saurait engager l’ASIP Santé quant à leur contenu. L'utilisation des sites tiers mentionnés relève de la seule responsabilité du lecteur ou de l'utilisateur des produits documentés.

Sur les copies d’écran Les copies d’écran présentées dans ce document sont données à titre illustratif. Les pages ou écrans réellement affichés peuvent être différents, notamment en raison de montées de version ou de configurations d’environnements différentes.

Citations L’ASIP Santé est contrainte de citer le nom de certaines entreprises recensées au Tableau 6 afin d’apporter toute l’aide nécessaire au lecteur. Les entreprises citées peuvent prendre contact avec l’ASIP Santé à l’adresse email editeurs@asipsante.fr pour toute demande en lien avec la citation les concernant. Les entreprises non citées dans ce manuel et ayant une activité en lien avec le RPPS ou le RASS peuvent également se faire connaître auprès de l’ASIP Santé en la contactant à la même adresse.

Tableau 7 : Avertissements

ASIP Santé Manuel de connexion aux Webservices RASS 07/12/2016

9 / 38

7 Environnements

Principaux environnements RASS [2][3]

Nom URLs Certificat SSL présenté Services exposés

Partenaires

https://partenaires.annuaire.sante.fr/ IGC2Bis Classe-4 Webservices (pas d'IHM)

https://ws.partenaires.annuaire.sante.fr/ IGC-Santé Gamme Elémentaire SSL_SERV depuis le 08/11/2016

Webservices

Production

https://annuaire.sante.fr/ thawte SSL CA - G2 IHM uniquement

https://ws.annuaire.sante.fr/ IGC2Bis Classe-4 Webservices

Tableau 8: Principaux environnements du RASS

Environnement "partenaires"

L'environnement "partenaires" RASS nécessite des clients HTTP supportant SNI (Server Name Indication).

Curl supporte SNI depuis la version 7.18.1

OpenSSL supporte SNI depuis la version 0.9.8j

Le présent document préconise l’utilisation de TLS 1.2 (il faut au moins TLS 1.0 pour SNI)

Tableau 9 : Environnement "partenaires" et SNI

8 Principe général des développements RASS [2][3]

utilise

Serveur de développementde l’ « éditeur / intégrateur »

Serveur RASS « partenaires »

Serveur RASS « production »Serveurs de production

du « client »04

Livre (livraison logicielle)

« Client »

« Editeurs / intégrateur »

02Développe, teste

01le « Client » commande,

spécifie, testeun service client WS du RASS

03l’éditeur possède des droits

sur le RASS (profile de type « éditeurs)mais il se connecte sur l’environnement « RASS partenaires »

pour mettre au point un service avec les droits de son « client » final

05le « client » final instancie la solution de production.

Ses droits en recherche/consultation sur les données du RASS

sont définis dans l’arrêté RPPS.

Données RASS de test

utilise

Données RASS de production

« Utilisateurs finaux »

06Les « utilisateurs finaux » voient

s’afficher des données liées au profile RASS / RPPS du « client »

Lien Dév.

Lien « production »

Filière « Développements / Partenaires »

Filière « Production »

Lien « Production » est assuré par des certificats IGC2Bis ou IGC-Santé

de « production » (carte de « production »)

Lien « Dév. » est assuré par des certificats IGC2Bis ou IGC-Santé

de « test » (carte CPS de test) ou de « production »

Figure 1: Principe général des développements RASS

9 Conversion du PKCS12 ASIP Santé en deux fichiers (certificat, clé privée) au format PEM séparés

La conversion du PKCS12 (bi-clé IGC-2bis Classe 4 ou, à terme, bi-clé AUTH_CLI IGC-Santé) de l'ASIP Santé en 2 fichiers (certificat, clé privée) séparés au format PEM est nécessaire pour faire fonctionner Curl ou Wget.

La conversion se fait avec OpenSSL [1]. Les commandes (à adapter) sont les suivantes :

Commandes de conversion du PKCS12 ASIP Santé en 2 fichiers (certificat, clé privée):

Extraction du certificat

openssl pkcs12 -in bicle.asipsante.fr.p12 -nocerts -nodes -out bicle.asipsante.fr.pk.pem -passin pass:XXXXXX

A mettre au point en fonction des noms de fichiers et du mot de passe protégeant le PKCS12

Extraction de la clé privée

openssl pkcs12 -in bicle.asipsante.fr.p12 -clcerts -nokeys -out bicle.asipsante.fr.cert.pem -passin pass:XXXXXX

A mettre au point en fonction des noms de fichiers et du mot de passe protégeant le PKCS12

Tableau 10: Conversion du PKCS12 ASIP Santé en deux fichiers (certificat, clé privée) au format PEM séparés

ASIP Santé Manuel de connexion aux Webservices RASS 07/12/2016

12 / 38

10 Vérification de la configuration Curl avec le serveur https://testssl.asipsante.fr/

La commande à passer ensuite pour vérifier la configuration des fichiers est la suivante :

Commande de vérification de la configuration Curl avec le serveur https://testssl.asipsante.fr/

curl --cert bicle.asipsante.fr.cert.pem --key bicle.asipsante.fr.pk.pem --cacert testssl.asipsante.fr.pem --proxy PROXY_HOST:PROXY_PORT --tlsv1.2 https://testssl.asipsante.fr/

Descriptif de la commande

curl https://curl.haxx.se/docs/manpage.html

--cert bicle.asipsante.fr.cert.pem Certificat émis pour l’organisme par l’ASIP Santé

--key bicle.asipsante.fr.pk.pem

Clé privée associée au certificat (donnée sensible, fichier à protéger) bicle.asipsante.fr.pk.pem doit être un fichier de clé privée PKCS8 qui format PEM.

--cacert testssl.asipsante.fr.pem Chaine de certificats SSL présentée par https://testssl.asipsante.fr (cf. Erreur ! Résultat incorrect pour une table.)

--proxy PROXY_HOST:PROXY_PORT Proxy HTTP/HTTPS si requis par l’infrastructure (à changer au cas par cas)

--tlsv1.2 A mettre au point en fonction du serveur et du client. testssl.asipsante.fr supporte SSL 3, TLS 1.0, TLS 1.1 et TLS 1.2

https://testssl.asipsante.fr/

URL du service de tests. Ce service accepte les certificats émis par les IGCs de l'ASIP Santé.

Tableau 11: Vérification de la configuration avec le serveur https://testssl.asipsante.fr/

Le code HTTP retour doit être HTTP 200.

Du contenu HTML avec le certificat client présenté, au format Base64, et un statut « SUCCESS » doit d’afficher.

ASIP Santé Manuel de connexion aux Webservices RASS 07/12/2016

13 / 38

11 Récupération d'une extraction RASS avec Curl version 7.21.2 ou supérieure

Cette partie présente l'extraction du .zip "Cat01" avec Curl depuis le serveur de WebServices d’extraction RASS. Les URLs des extractions RASS disponibles sont documentées en [2].

Lorsqu'un programme client des WebServices (WS) d’extraction RASS demande une extraction, le service ASIP Santé répond :

< HTTP/1.1 200 OK < Date: Thu, 06 Oct 2016 22:47:19 GMT < Server: Apache/2.2.15 (Red Hat) < Content-Disposition: attachment; filename=Extraction_Cat01_ToutePopulation_201610061011.zip < Content-Length: 258799213 < Connection: close < Content-Type: application/octet-stream

Tableau 12: Récupération d'une extraction RASS avec Curl version 7.21.2 ou supérieure

Le client doit donc refaire une deuxième requête en prenant en compte la valeur du paramètre « filename ».

Cette manière de procéder est « standard HTTP ».

Les versions récentes de Curl effectuent seules ce double requêtage si on leur demande de le faire.

ASIP Santé Manuel de connexion aux Webservices RASS 07/12/2016

14 / 38

La commande de récupération de l’extraction Cat01 via les WebServices d’extraction RASS en utilisant un bi-clé ASIP Santé est la suivante :

Commande de récupération de l’extraction Cat01 via les WebServices d’extraction RASS en utilisant un bi-clé ASIP Santé

# ASIP Sante : curl version 7.21.2 ou supérieure

curl --cert bicle.asipsante.fr.cert.pem --key bicle.asipsante.fr.pk.pem --cacert ws.annuaire.sante.fr.cert.pem --proxy PROXY_HOST:PROXY_PORT --tlsv1.2 --location --remote-name --remote-header-name --verbose --ciphers "AES256-SHA256" "https://ws.annuaire.sante.fr/annuaire-sante-webservices/services/V203/extraction/Extraction_Cat01_ToutePopulation"

Descriptif de la commande

curl https://curl.haxx.se/docs/manpage.html

--cert bicle.asipsante.fr.cert.pem Certificat émis pour l’organisme par l’ASIP Santé

--key bicle.asipsante.fr.pk.pem

Clé privée associée au certificat (donnée sensible, fichier à protéger) bicle.asipsante.fr.pk.pem doit être un fichier de clé privée PKCS8 au format PEM.

--cacert ws.annuaire.sante.fr.cert.pem Chaine de certificats SSL présentée par ws.annuaire.sante.fr (cf. Annexe – Contenu de ws.annuaire.sante.fr.cert.pem)

--proxy PROXY_HOST:PROXY_PORT [Facultatif] Proxy HTTP/HTTPS si requis par l’infrastructure (à changer au cas par cas)

--tlsv1.2 A mettre au point en fonction du serveur et du client. ws.annuaire.sante.fr supporte TLS 1.0, TLS 1.1 et TLS 1.2

--location Gestion du double-requetage induit par la réponse « Content-Disposition: attachment; filename=Extraction_Cat01_ToutePopulation_aaaammddhhmm.zip » Cf http://stackoverflow.com/questions/6881034/curl-to-grab-remote-filename-after-following-location et https://curl.haxx.se/docs/manpage.html

--remote-name

--remote-header-name

--verbose Permet de debugger

--ciphers "AES256-SHA256" [Facultatif] A voir au cas par cas en fonction des versions de NSS et de Curl présentes sur le poste client du service

ASIP Santé Manuel de connexion aux Webservices RASS 07/12/2016

15 / 38

Commande de récupération de l’extraction Cat01 via les WebServices d’extraction RASS en utilisant un bi-clé ASIP Santé

# ASIP Sante : curl version 7.21.2 ou supérieure

"https://ws.annuaire.sante.fr/annuaire-sante-webservices/services/V203/extraction/Extraction_Cat01_ToutePopulation"

ws.annuaire.sante.fr Nom de serveur à adapter en fonction de l'usage

Extraction_Cat01_ToutePopulation

Nom de l'extraction à adapter en fonction de l'usage

Tableau 13: Récupération d'une extraction avec curl version 7.21.2 ou supérieure

L’option --verbose est particulièrement utile. Elle permet de tracer les éventuelles erreurs SSL, notamment celles liées à la négociation des « ciphers ». On voit apparaitre par exemple :

* TLSv1.2 (OUT), TLS change cipher, Client hello (1) ( dans cet exemple, tout va bien)

Tableau 14: Contrôle du lien TLS lors de la récupération d'une extraction avec curl

dans les traces.

Avec certaines versions de curl (ex. 7.43.0), sur certains environnements (ex. Cygwin) et avec certaines versions de NSS, l’option --ciphers valorisée à "AES256-SHA256" par exemple peut être nécessaire.

Ce paramétrage est lié aux capacités à la fois du serveur et du client. Il est à vérifier sur l'environnement cible.

Lorsque que le réseau local impose l’utilisation d’un proxy HTTP/HTTPS : utiliser l’option --proxy PROXY_HOST:PROXY_PORT , à mettre au point selon les prérequis de connexion vers internet depuis les environnements cibles.

ASIP Santé Manuel de connexion aux Webservices RASS 07/12/2016

16 / 38

La sortie de la commande est de ce type:

$ curl --cert bicle.asipsante.fr.cert.pem --key bicle.asipsante.fr.pk.pem --cacert ws.annuaire.sante.fr.cert.pem --proxy PROXY_HOST:PROXY_PORT --tlsv1.2 --location --remote-name --remote-header-name --verbose --ciphers "AES256-SHA256" "https://ws.annuaire.sante.fr/annuaire-sante-webservices/services/V203/extraction/Extraction_Cat01_ToutePopulation" * STATE: INIT => CONNECT handle 0x600057000; line 1075 (connection #-5000) * Added connection 0. The cache now contains 1 members * Trying PROXY_HOST... [..] * successfully set certificate verify locations: * CAfile: ws.annuaire.sante.fr.cert.pem CApath: none […] * TLSv1.2 (IN), TLS handshake, Finished (20): { [16 bytes data] * SSL connection using TLSv1.2 / AES256-SHA256 * ALPN, server did not agree to a protocol * Server certificate: * subject: C=FR; O=GIP-CPS; L=Paris (75); OU=318751275100020; CN=ws.annuaire.sante.fr * start date: 2015-11-09 14:57:57 GMT * expire date: 2018-11-09 14:57:57 GMT * subjectAltName: ws.annuaire.sante.fr matched * issuer: C=FR; O=GIP-CPS; OU=AC-CLASSE-4 * SSL certificate verify ok. * STATE: PROTOCONNECT => DO handle 0x600057000; line 1260 (connection #0) } [5 bytes data] > GET /annuaire-sante-webservices/services/V203/extraction/Extraction_Cat01_ToutePopulation HTTP/1.1 > Host: ws.annuaire.sante.fr > User-Agent: curl/7.43.0 > Accept: */* > * STATE: DO => DO_DONE handle 0x600057000; line 1322 (connection #0) * STATE: DO_DONE => WAITPERFORM handle 0x600057000; line 1449 (connection #0) * STATE: WAITPERFORM => PERFORM handle 0x600057000; line 1459 (connection #0) { [5 bytes data] […] * TLSv1.2 (IN), TLS change cipher, Client hello (1): { [1 bytes data] * TLSv1.2 (IN), TLS handshake, Finished (20): { [16 bytes data] 0 0 0 0 0 0 0 0 --:--:-- 0:00:01 --:--:-- 0* HTTP 1.1 or later with persistent connection, pipelining supported < HTTP/1.1 200 OK < Date: Thu, 06 Oct 2016 22:47:19 GMT * Server Apache/2.2.15 (Red Hat) is not blacklisted < Server: Apache/2.2.15 (Red Hat) < Content-Disposition: attachment; filename=Extraction_Cat01_ToutePopulation_201610061011.zip < Content-Length: 258799213 < Connection: close < Content-Type: application/octet-stream < 0 246M 0 0 0 0 0 0 --:--:-- 0:00:01 --:--:-- 0{ [5 bytes data] 4 246M 4 10.3M 0 0 1232k 0 0:03:24 0:00:08 0:03:16 1544k

Tableau 15: Contrôles lors de la récupération d'une extraction avec curl version 7.21.2 ou supérieure

ASIP Santé Manuel de connexion aux Webservices RASS 07/12/2016

17 / 38

12 Récupération d'une extraction RASS avec Curl version 7.21.1 ou inférieure

Avec une version plus ancienne de Curl, le double-requêtage s’automatise avec « sed »:

#curl 7.21.1 or less #/bin/bash url="https://ws.annuaire.sante.fr/annuaire-sante-webservices/services/V203/extraction/Extraction_Cat01_ToutePopulation" proxy_host=PROXY_HOST proxy_port=PROXY_PORT keypair_filecert=bicle.asipsante.fr.cert.pem keypair_filekey=bicle.asipsante.fr.pk.pem cacert_file=ws.annuaire.sante.fr.cert.pem echo !!!!!!!!!!!!!!! echo !!!!!!!!!!!!!!! ASIP Sante: Heading ${url} to retrieve Content-Disposition attachment filename from RASS Webserver... echo !!!!!!!!!!!!!!! filename=$(curl --silent --head --cert ${keypair_filecert} --key ${keypair_filekey} --cacert ${cacert_file} --proxy ${proxy_host}:${proxy_port} --tlsv1.2 --verbose --ciphers "AES256-SHA256" ${url} | grep -o -E 'filename=.*$' | sed -e 's/filename=//') echo !!!!!!!!!!!!!!! echo !!!!!!!!!!!!!!! ASIP Sante: Getting ${filename} from ${url}... echo !!!!!!!!!!!!!!! curl --cert ${keypair_filecert} --key ${keypair_filekey} --cacert ${cacert_file} --proxy ${proxy_host}:${proxy_port} --tlsv1.2 --verbose --ciphers "AES256-SHA256" --output ${filename} --location ${url} echo !!!!!!!!!!!!!!! ASIP Sante: Data saved to ${filename} from ${url}. echo !!!!!!!!!!!!!!! ASIP Sante: finished.

Tableau 16: Récupération d'une extraction RASS avec Curl version 7.21.1 ou inférieure

Ce script fonctionne avec une version ancienne et avec une version nouvelle de Curl, indifféremment. Il n’est pas plus sensible aux changements de serveur que la commande Curl précédente.

Tableau 17: Compatibilité du script avec les différentes versions de Curl

ASIP Santé Manuel de connexion aux Webservices RASS 07/12/2016

18 / 38

13 Récupération d'une extraction RASS avec WGet WGet permet aussi de récupérer les extractions RASS:

wget --version #ASIP Sante: version testée: GNU Wget 1.18 built on cygwin.

Tableau 18: Version de WGet

export http_proxy=PROXY_HOST:PROXY_PORT

Tableau 19: Configuration du proxy si besoin

wget --certificate=bicle.asipsante.fr.cert.pem --private-key=bicle.asipsante.fr.pk.pem --ca-certificate=ws.annuaire.sante.fr.cert.pem --secure-protocol=tlsv1_2 --verbose "https://testssl.asipsante.fr/" --output-document=testssl.html

wget https://www.gnu.org/software/wget/

--certificate=bicle.asipsante.fr.cert.pem Certificat émis pour l’organisme par l’ASIP Santé

--private-key=bicle.asipsante.fr.pk.pem

Clé privée associée au certificat (donnée sensible, fichier à protéger)

bicle.asipsante.fr.pk.pem doit être un fichier de clé privée PKCS8 au format PEM.

--ca-certificate=ws.annuaire.sante.fr.cert.pem Chaine de certificats SSL présentée par ws.annuaire.sante.fr

--secure-protocol=tlsv1_2 A mettre au point en fonction du serveur et du client. testssl.asipsante.fr supporte SSL 3, TLS 1.0, TLS 1.1 et TLS 1.2

--verbose

"https://testssl.asipsante.fr/" URL à télécharger

--output-document=testssl.html Fichier de sortie

Tableau 20: Vérification de la configuration wget avec testssl

ASIP Santé Manuel de connexion aux Webservices RASS 07/12/2016

19 / 38

Contrôle(s)

tail -100 testssl.html HTTP 200, présence de “SUCCESS” dans le contenu téléchargé, Base64 du certificat client présenté dans le contenu de la page téléchargée

Tableau 21: Vérification de la configuration wget avec testssl

wget --certificate=bicle.asipsante.fr.cert.pem --private-key=bicle.asipsante.fr.pk.pem --ca-certificate=ws.annuaire.sante.fr.cert.pem --secure-protocol=tlsv1_2 --verbose "https://ws.annuaire.sante.fr/annuaire-sante-webservices/services/V203/extraction/Extraction_Cat01_ToutePopulation" --output-document=Extraction_Cat01_ToutePopulation.zip

wget https://www.gnu.org/software/wget/

--certificate=bicle.asipsante.fr.cert.pem Certificat émis pour l’organisme par l’ASIP Santé

--private-key=bicle.asipsante.fr.pk.pem

Clé privée associée au certificat (donnée sensible, fichier à protéger)

bicle.asipsante.fr.pk.pem doit être un fichier de clé privée PKCS8 au format PEM.

--ca-certificate=ws.annuaire.sante.fr.cert.pem Chaine de certificats SSL présentée par ws.annuaire.sante.fr

--secure-protocol=tlsv1_2 A mettre au point en fonction du serveur et du client. ws.annuaire.sante.fr supporte TLS 1.0, TLS 1.1 et TLS 1.2

--verbose

"https://ws.annuaire.sante.fr/annuaire-sante-webservices/services/V203/extraction/Extraction_Cat01_ToutePopulation"

URL à télécharger (à adapter selon l'usage)

--output-document=Extraction_Cat01_ToutePopulation.zip

Fichier de sortie (à adapter selon l'usage)

Tableau 22: Récupération des extractions RASS avec wget

ASIP Santé Manuel de connexion aux Webservices RASS 07/12/2016

20 / 38

Contrôle(s)

--2016-10-10 23:25:15-- https://ws.annuaire.sante.fr/annuaire-sante-webservices/services/V203/extraction/Extraction_Cat01_ToutePopulation Loaded CA certificate 'ws.annuaire.sante.fr.cert.pem' Resolving ws.annuaire.sante.fr (ws.annuaire.sante.fr)... 193.149.119.247 Connecting to ws.annuaire.sante.fr (ws.annuaire.sante.fr)|193.149.119.247|:443... connected. HTTP request sent, awaiting response... 200 OK Length: 254603861 (243M) [application/octet-stream] Saving to: 'Extraction_Cat01_ToutePopulation.zip' Extraction_Cat01_ToutePopulatio 2%[> ] 6.24M 1.19MB/s eta 3m 38s

Tableau 23: Récupération des extractions RASS avec wget

ASIP Santé Manuel de connexion aux Webservices RASS 07/12/2016

21 / 38

14 Récupération d'une extraction RASS avec OpenSSL [utilisateurs avancés]

Commande de vérification de la configuration avec OpenSSL

cat request.txt | openssl s_client -servername ws.annuaire.sante.fr -connect ws.annuaire.sante.fr:443 -CAfile ws.annuaire.sante.fr.cert.pem -cert bicle.asipsante.fr.cert.pem -certform PEM -key bicle.asipsante.fr.pk.pem -keyform PEM -prexit -trace -debug

Descriptif de la commande

cat request.txt | Voir contenu de request.txt ci-après

openssl s_client https://wiki.openssl.org/index.php/Manual:S_client(1)

-servername ws.annuaire.sante.fr Positionne le nom du serveur dans le lien TLS pour supporter SNI (Server Name Indication).

-connect ws.annuaire.sante.fr:443 Serveur et port SSL/TLS à contacter

-CAfile ws.annuaire.sante.fr.cert.pem Chaine de certificats SSL présentée par ws.annuaire.sante.fr (cf. Annexe – Contenu de ws.annuaire.sante.fr.cert.pem)

-cert bicle.asipsante.fr.cert.pem Certificat émis pour l’organisme par l’ASIP Santé

-certform PEM Format du certificat client

-key bicle.asipsante.fr.pk.pem

Clé privée associée au certificat (donnée sensible, fichier à protéger) bicle.asipsante.fr.pk.pem doit être un fichier de clé privée PKCS8 au format PEM.

-keyform PEM Format de la clé privée

-trace [Facultatif]

-debug [Facultatif]

-prexit [Facultatif] Affiche les informations de session en sortie de commande

Tableau 24: Vérification de la configuration avec OpenSSL

ASIP Santé Manuel de connexion aux Webservices RASS 07/12/2016

22 / 38

GET /annuaire-sante-webservices/services/V203/extraction/Extraction_Cat01_ToutePopulation HTTP/1.1 \r\n Host: ws.annuaire.sante.fr\r\n\r\n

Tableau 25: Exemple de contenu possible pour le fichier request.txt ((à adapter selon l'usage))

La sortie de la commande ci-dessus peut être redirigée vers un fichier en ajoutant: " > sortie.txt 2>&1 " (sorties d'erreurs et standard dans le fichier sortie.txt)

Tableau 26: Exemple de redirection fichier

ASIP Santé Manuel de connexion aux Webservices RASS 07/12/2016

23 / 38

15 Récupération d'une extraction RASS via l'IHM RASS

15.1 Connexion par carte CPS

Figure 2: RASS: accueil IHM: Cliquer sur "Connectez-vous"

ASIP Santé Manuel de connexion aux Webservices RASS 07/12/2016

24 / 38

Figure 3: RASS: accueil IHM: Cliquer sur "Connectez-vous" en bas à droite

Figure 4: RASS: IHM: sélection du certificat d'authentification CPS

ASIP Santé Manuel de connexion aux Webservices RASS 07/12/2016

25 / 38

Figure 5: RASS: IHM: cliquer sur "extractions"

Figure 6: RASS: IHM: cliquer sur l'extraction souhaitée

ASIP Santé Manuel de connexion aux Webservices RASS 07/12/2016

26 / 38

15.2 Connexion par bi-clé logiciel

Idem que lors de la connexion par CPS à la sélection du certificat logiciel près:

Figure 7: RASS: IHM: Récupération des extractions RASS via l'IHM et un bi-clé logiciel

ASIP Santé Manuel de connexion aux Webservices RASS 07/12/2016

27 / 38

15.3 "Installation d'un certificat" La sélection d'un bi-clé logiciel au moment de la connexion à l'IHM RASS n'est possible qu'après import du bi-clé en magasin:

- Magasin de certificats du système d'exploitation - Magasin de certificats du navigateur

Import d'un bi-clé logiciel sous Windows (pour Internet Explorer et Google Chrome)

Internet Explorer > Outils > Options Internet > Contenu > Certificats > Personnels > Importer > Suivante > Sélectionner le fichier contenant le bi-clé logiciel (IGC2bis Classe-4 ou, à terme, IGC-Santé) > Suivant > Marquer la clé comme exportable > Finir

Tableau 27: Import d'un bi-clé logiciel sous Windows (pour Internet Explorer et Google Chrome)

Le résultat doit être le suivant:

Figure 8: Import d'un bi-clé logiciel sous Windows (pour Internet Explorer et Google Chrome)

ASIP Santé Manuel de connexion aux Webservices RASS 07/12/2016

28 / 38

Import d'un bi-clé logiciel sous Mozilla Firefox

Outils > Options (about:preferences) > Avancé > Certificats > Afficher les certificats > Vos certificats > Importer…

Tableau 28: Import d'un bi-clé logiciel sous Mozilla Firefox

Le résultat doit être du type suivant:

Figure 9: Import d'un bi-clé logiciel sous Windows (pour Internet Explorer et Google Chrome)

ASIP Santé Manuel de connexion aux Webservices RASS 07/12/2016

29 / 38

16 Récupération de l'extraction RASS publique via les WebServices

Commande de récupération de l’extraction Cat18 via les WebServices d’extraction RASS

# ASIP Sante : curl version 7.21.2 ou supérieure

curl --cacert ws.annuaire.sante.fr.cert.pem --proxy PROXY_HOST:PROXY_PORT --tlsv1.2 --location --remote-name --remote-header-name --verbose --ciphers "AES256-SHA256" "https://ws.annuaire.sante.fr/annuaire-sante-webservices/V300/services/extraction/ExtractionMonoTable_Cat18_ToutePopulation"

Descriptif de la commande

curl https://curl.haxx.se/docs/manpage.html

--cacert ws.annuaire.sante.fr.cert.pem Chaine de certificats SSL présentée par ws.annuaire.sante.fr (cf. Annexe – Contenu de ws.annuaire.sante.fr.cert.pem)

--proxy PROXY_HOST:PROXY_PORT [Facultatif] Proxy HTTP/HTTPS si requis par l’infrastructure (à changer au cas par cas)

--tlsv1.2 A mettre au point en fonction du serveur et du client. ws.annuaire.sante.fr supporte TLS 1.0, TLS 1.1 et TLS 1.2

--location Gestion du double-requetage induit par la réponse « Content-Disposition: attachment; filename= ExtractionMonoTable_Cat18_ToutePopulation_aaaammddhhmm.zip » Cf http://stackoverflow.com/questions/6881034/curl-to-grab-remote-filename-after-following-location et https://curl.haxx.se/docs/manpage.html

--remote-name

--remote-header-name

--verbose Permet de debugger

--ciphers "AES256-SHA256" [Facultatif] A voir au cas par cas en fonction des versions de NSS et de Curl présentes sur le poste client du service

"https://ws.annuaire.sante.fr/annuaire-sante-webservices/V300/services/extraction/ExtractionMonoTable_Cat18_ToutePopulation"

ws.annuaire.sante.fr Nom du serveur à adapter selon l'usage

ExtractionMonoTable_Cat18_ToutePopulation

Cat18: extraction publique

Tableau 29: Récupération de l’extraction Cat18 via les WebServices d’extraction RASS avec curl version 7.21.2 ou supérieure

17 Annexe – Contenu de testssl.asipsante.fr.pem

Contenu de testssl.asipsante.fr.pem (truststore de connexion à testssl.asipsante.fr)

-----BEGIN CERTIFICATE----- MIIDJDCCAgygAwIBAgIRMDAwMTEwNjU2OTQ4MjAwMAAwDQYJKoZIhvcNAQEFBQAw HzELMAkGA1UEBhMCRlIxEDAOBgNVBAoTB0dJUC1DUFMwHhcNMDQwMTAxMDAwMDAw WhcNMjAxMjMxMDAwMDAwWjAfMQswCQYDVQQGEwJGUjEQMA4GA1UEChMHR0lQLUNQ UzCCASEwDQYJKoZIhvcNAQEBBQADggEOADCCAQkCggEAb8/qIAdqL1jNfCZjrYs6 y2NioBGfE6VOh+87vq+nE9UPMYC5vATzn3lt3iP3tDy5mTfkqfi2eMMhTHnCZqfx UzPf/Rqdt76THj4Hv7SXLcLtJooWm1XFBxaCDLaSoEidvl5csJNegI7BzdwzjXFg WsVeMGuE7fwbWhJH/dePKQ59O+JWWdpipgDbvczQ5v27koEZKqktXlQmy8ZEWjAU qXcBgI7AWBKj45iOEqPdeWm9xKqs+c2sEMAuE/juNcEYKQ/Ww06PvcQBYmc/D6mL PaXNrRzioSJUcSW0KnFkFvkrfSO2Pq0cdpUzK7egw+wjKMa7dU7hs8XTe++8NRkn 8QIDAQABo1wwWjAOBgNVHQ8BAf8EBAMCAgQwEgYDVR0TAQH/BAgwBgEB/wIBATAd BgNVHQ4EFgQU56j9jT0JFpau/HVjJ5AjeV5b2bQwFQYDVR0gBA4wDDAKBggqgXoB RwMHAzANBgkqhkiG9w0BAQUFAAOCAQEAWEqltwLj22535mCSTa4C36W2HSj5FMCv PLNgTathzKCSBVSyE9Gt6GzEYR8VGYWE9Um4yC/Mwxz8OT6ssw6psPxehW5i1rCS Snc9PgV8VxpYuL7rYyeDaDcoW2ndj+BACXydOyvVP8J3wlGlFHT27mwpluGIDRUD 42KjP10cWg/Eps+FQFLVuKrQyCZ4nITsFFMUbIpjRR2hOhbEz49G6jqrgWSSXwil /wytZtLlPdGjXxlOlhWx2OsY5gusD/5mMllVx4394ZMmxspwBPFhmoh2UPoDjSkR nxAGc3v0tC3hnZ5XaBi00TMea3TqjKwgKlcAmujVHSYBr70IKZtOMQ== -----END CERTIFICATE-----

AC Root GIP-CPS Signature de certificats

-----BEGIN CERTIFICATE----- MIIDFjCCAf6gAwIBAgIRMDAwMTEwNDI0MzA5MDAwMAAwDQYJKoZIhvcNAQEFBQAw HzELMAkGA1UEBhMCRlIxEDAOBgNVBAoTB0dJUC1DUFMwHhcNMDQwMTAyMDAwMDAw WhcNMjAxMjMwMDAwMDAwWjA1MQswCQYDVQQGEwJGUjEQMA4GA1UEChMHR0lQLUNQ UzEUMBIGA1UECxMLQUMtQ0xBU1NFLTQwgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJ AoGBAL6m9ToXFgwKi7eDA3264I9knvWaCxHuhiVHjHZO2WCywlu5hLLyRv/rBgVr PdIm+YpapmEhi+Vjoa+KVh1mS85XU4R6Fsre1Irt23Re4Nu4nA2CUsg4WLaiWBTJ AlK5cWK6bF0gtsZhEkZOUIgbS8R2dA/iOhNKN7LfEG9SvEU9AgMBAAGjgbowgbcw DgYDVR0PAQH/BAQDAgEGMBIGA1UdEwEB/wQIMAYBAf8CAQAwHQYDVR0OBBYEFCWv Fa/CSq5I0c8kGxS4/H0PBB/rMB8GA1UdIwQYMBaAFOeo/Y09CRaWrvx1YyeQI3le W9m0MCcGA1UdJQQgMB4GCCsGAQUFBwMEBggrBgEFBQcDAQYIKwYBBQUHAwIwFQYD VR0gBA4wDDAKBggqgXoBRwMHBTARBglghkgBhvhCAQEEBAMCAQYwDQYJKoZIhvcN AQEFBQADggEBAEqS1GuokkwdFDF2AAKffi5EsRYhCVv1W05WjItB5ser/ttNlTfe hR24BPWeQEAgXWBx8YN/wvuHf+N+Bp6z+SW5zZTrLIlFLPnlTBYebUl+wFld/zju H0e6SIKKpzTaqpr42ycm3bFJT7JYXT8AvROlb4v4MrlXtic5CjLSmV27Vxp5+5JW 6nQcbeXeOqSJJbGCUATClI9JaKoHhCP8akC7wwynb2LcUtwdTvvbj1Co/K0rOOl1 7ylebAkN2jtCSgSBUzFo9gqD1f1VSghKao4xlNqvRv33MbZzywiy/Cd3fX+F458w BhfcGRTM/1UBnT1EH9/wrRxlQhO+PSUK910= -----END CERTIFICATE-----

[Facultatif] AC Intermédiaire AC-Classe-4 Signature de certificats

Tableau 30: Annexe - Contenu de testssl.asipsante.fr.pem

ASIP Santé Manuel de connexion aux Webservices RASS 07/12/2016

31 / 38

18 Annexe – Contenu de ws.annuaire.sante.fr.cert.pem

Contenu de ws.annuaire.sante.fr.cert.pem (truststore de connexion à ws.annuaire.sante.fr.cert.pem)

-----BEGIN CERTIFICATE----- MIIDJDCCAgygAwIBAgIRMDAwMTEwNjU2OTQ4MjAwMAAwDQYJKoZIhvcNAQEFBQAw HzELMAkGA1UEBhMCRlIxEDAOBgNVBAoTB0dJUC1DUFMwHhcNMDQwMTAxMDAwMDAw WhcNMjAxMjMxMDAwMDAwWjAfMQswCQYDVQQGEwJGUjEQMA4GA1UEChMHR0lQLUNQ UzCCASEwDQYJKoZIhvcNAQEBBQADggEOADCCAQkCggEAb8/qIAdqL1jNfCZjrYs6 y2NioBGfE6VOh+87vq+nE9UPMYC5vATzn3lt3iP3tDy5mTfkqfi2eMMhTHnCZqfx UzPf/Rqdt76THj4Hv7SXLcLtJooWm1XFBxaCDLaSoEidvl5csJNegI7BzdwzjXFg WsVeMGuE7fwbWhJH/dePKQ59O+JWWdpipgDbvczQ5v27koEZKqktXlQmy8ZEWjAU qXcBgI7AWBKj45iOEqPdeWm9xKqs+c2sEMAuE/juNcEYKQ/Ww06PvcQBYmc/D6mL PaXNrRzioSJUcSW0KnFkFvkrfSO2Pq0cdpUzK7egw+wjKMa7dU7hs8XTe++8NRkn 8QIDAQABo1wwWjAOBgNVHQ8BAf8EBAMCAgQwEgYDVR0TAQH/BAgwBgEB/wIBATAd BgNVHQ4EFgQU56j9jT0JFpau/HVjJ5AjeV5b2bQwFQYDVR0gBA4wDDAKBggqgXoB RwMHAzANBgkqhkiG9w0BAQUFAAOCAQEAWEqltwLj22535mCSTa4C36W2HSj5FMCv PLNgTathzKCSBVSyE9Gt6GzEYR8VGYWE9Um4yC/Mwxz8OT6ssw6psPxehW5i1rCS Snc9PgV8VxpYuL7rYyeDaDcoW2ndj+BACXydOyvVP8J3wlGlFHT27mwpluGIDRUD 42KjP10cWg/Eps+FQFLVuKrQyCZ4nITsFFMUbIpjRR2hOhbEz49G6jqrgWSSXwil /wytZtLlPdGjXxlOlhWx2OsY5gusD/5mMllVx4394ZMmxspwBPFhmoh2UPoDjSkR nxAGc3v0tC3hnZ5XaBi00TMea3TqjKwgKlcAmujVHSYBr70IKZtOMQ== -----END CERTIFICATE-----

AC Root GIP-CPS Signature de certificats

-----BEGIN CERTIFICATE----- MIIDFjCCAf6gAwIBAgIRMDAwMTEwNDI0MzA5MDAwMAAwDQYJKoZIhvcNAQEFBQAw HzELMAkGA1UEBhMCRlIxEDAOBgNVBAoTB0dJUC1DUFMwHhcNMDQwMTAyMDAwMDAw WhcNMjAxMjMwMDAwMDAwWjA1MQswCQYDVQQGEwJGUjEQMA4GA1UEChMHR0lQLUNQ UzEUMBIGA1UECxMLQUMtQ0xBU1NFLTQwgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJ AoGBAL6m9ToXFgwKi7eDA3264I9knvWaCxHuhiVHjHZO2WCywlu5hLLyRv/rBgVr PdIm+YpapmEhi+Vjoa+KVh1mS85XU4R6Fsre1Irt23Re4Nu4nA2CUsg4WLaiWBTJ AlK5cWK6bF0gtsZhEkZOUIgbS8R2dA/iOhNKN7LfEG9SvEU9AgMBAAGjgbowgbcw DgYDVR0PAQH/BAQDAgEGMBIGA1UdEwEB/wQIMAYBAf8CAQAwHQYDVR0OBBYEFCWv Fa/CSq5I0c8kGxS4/H0PBB/rMB8GA1UdIwQYMBaAFOeo/Y09CRaWrvx1YyeQI3le W9m0MCcGA1UdJQQgMB4GCCsGAQUFBwMEBggrBgEFBQcDAQYIKwYBBQUHAwIwFQYD VR0gBA4wDDAKBggqgXoBRwMHBTARBglghkgBhvhCAQEEBAMCAQYwDQYJKoZIhvcN AQEFBQADggEBAEqS1GuokkwdFDF2AAKffi5EsRYhCVv1W05WjItB5ser/ttNlTfe hR24BPWeQEAgXWBx8YN/wvuHf+N+Bp6z+SW5zZTrLIlFLPnlTBYebUl+wFld/zju H0e6SIKKpzTaqpr42ycm3bFJT7JYXT8AvROlb4v4MrlXtic5CjLSmV27Vxp5+5JW 6nQcbeXeOqSJJbGCUATClI9JaKoHhCP8akC7wwynb2LcUtwdTvvbj1Co/K0rOOl1 7ylebAkN2jtCSgSBUzFo9gqD1f1VSghKao4xlNqvRv33MbZzywiy/Cd3fX+F458w BhfcGRTM/1UBnT1EH9/wrRxlQhO+PSUK910= -----END CERTIFICATE-----

[Facultatif] AC Intermédiaire AC-Classe-4 Signature de certificats

Tableau 31: Annexe - Contenu de ws.annuaire.sante.fr.cert.pem

ASIP Santé Manuel de connexion aux Webservices RASS 07/12/2016

32 / 38

19 Annexe – Contenu de partenaires.annuaire.sante.fr.cert.pem

Contenu de partenaires.annuaire.sante.fr.cert.pem (truststore de connexion à partenaires.annuaire.sante.fr.cert.pem)

-----BEGIN CERTIFICATE----- MIIDJDCCAgygAwIBAgIRMDAwMTEwNjU2OTQ4MjAwMAAwDQYJKoZIhvcNAQEFBQAw HzELMAkGA1UEBhMCRlIxEDAOBgNVBAoTB0dJUC1DUFMwHhcNMDQwMTAxMDAwMDAw WhcNMjAxMjMxMDAwMDAwWjAfMQswCQYDVQQGEwJGUjEQMA4GA1UEChMHR0lQLUNQ UzCCASEwDQYJKoZIhvcNAQEBBQADggEOADCCAQkCggEAb8/qIAdqL1jNfCZjrYs6 y2NioBGfE6VOh+87vq+nE9UPMYC5vATzn3lt3iP3tDy5mTfkqfi2eMMhTHnCZqfx UzPf/Rqdt76THj4Hv7SXLcLtJooWm1XFBxaCDLaSoEidvl5csJNegI7BzdwzjXFg WsVeMGuE7fwbWhJH/dePKQ59O+JWWdpipgDbvczQ5v27koEZKqktXlQmy8ZEWjAU qXcBgI7AWBKj45iOEqPdeWm9xKqs+c2sEMAuE/juNcEYKQ/Ww06PvcQBYmc/D6mL PaXNrRzioSJUcSW0KnFkFvkrfSO2Pq0cdpUzK7egw+wjKMa7dU7hs8XTe++8NRkn 8QIDAQABo1wwWjAOBgNVHQ8BAf8EBAMCAgQwEgYDVR0TAQH/BAgwBgEB/wIBATAd BgNVHQ4EFgQU56j9jT0JFpau/HVjJ5AjeV5b2bQwFQYDVR0gBA4wDDAKBggqgXoB RwMHAzANBgkqhkiG9w0BAQUFAAOCAQEAWEqltwLj22535mCSTa4C36W2HSj5FMCv PLNgTathzKCSBVSyE9Gt6GzEYR8VGYWE9Um4yC/Mwxz8OT6ssw6psPxehW5i1rCS Snc9PgV8VxpYuL7rYyeDaDcoW2ndj+BACXydOyvVP8J3wlGlFHT27mwpluGIDRUD 42KjP10cWg/Eps+FQFLVuKrQyCZ4nITsFFMUbIpjRR2hOhbEz49G6jqrgWSSXwil /wytZtLlPdGjXxlOlhWx2OsY5gusD/5mMllVx4394ZMmxspwBPFhmoh2UPoDjSkR nxAGc3v0tC3hnZ5XaBi00TMea3TqjKwgKlcAmujVHSYBr70IKZtOMQ== -----END CERTIFICATE-----

AC Root GIP-CPS Signature de certificats

-----BEGIN CERTIFICATE----- MIIDFjCCAf6gAwIBAgIRMDAwMTEwNDI0MzA5MDAwMAAwDQYJKoZIhvcNAQEFBQAw HzELMAkGA1UEBhMCRlIxEDAOBgNVBAoTB0dJUC1DUFMwHhcNMDQwMTAyMDAwMDAw WhcNMjAxMjMwMDAwMDAwWjA1MQswCQYDVQQGEwJGUjEQMA4GA1UEChMHR0lQLUNQ UzEUMBIGA1UECxMLQUMtQ0xBU1NFLTQwgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJ AoGBAL6m9ToXFgwKi7eDA3264I9knvWaCxHuhiVHjHZO2WCywlu5hLLyRv/rBgVr PdIm+YpapmEhi+Vjoa+KVh1mS85XU4R6Fsre1Irt23Re4Nu4nA2CUsg4WLaiWBTJ AlK5cWK6bF0gtsZhEkZOUIgbS8R2dA/iOhNKN7LfEG9SvEU9AgMBAAGjgbowgbcw DgYDVR0PAQH/BAQDAgEGMBIGA1UdEwEB/wQIMAYBAf8CAQAwHQYDVR0OBBYEFCWv Fa/CSq5I0c8kGxS4/H0PBB/rMB8GA1UdIwQYMBaAFOeo/Y09CRaWrvx1YyeQI3le W9m0MCcGA1UdJQQgMB4GCCsGAQUFBwMEBggrBgEFBQcDAQYIKwYBBQUHAwIwFQYD VR0gBA4wDDAKBggqgXoBRwMHBTARBglghkgBhvhCAQEEBAMCAQYwDQYJKoZIhvcN AQEFBQADggEBAEqS1GuokkwdFDF2AAKffi5EsRYhCVv1W05WjItB5ser/ttNlTfe hR24BPWeQEAgXWBx8YN/wvuHf+N+Bp6z+SW5zZTrLIlFLPnlTBYebUl+wFld/zju H0e6SIKKpzTaqpr42ycm3bFJT7JYXT8AvROlb4v4MrlXtic5CjLSmV27Vxp5+5JW 6nQcbeXeOqSJJbGCUATClI9JaKoHhCP8akC7wwynb2LcUtwdTvvbj1Co/K0rOOl1 7ylebAkN2jtCSgSBUzFo9gqD1f1VSghKao4xlNqvRv33MbZzywiy/Cd3fX+F458w BhfcGRTM/1UBnT1EH9/wrRxlQhO+PSUK910= -----END CERTIFICATE-----

[Facultatif] AC Intermédiaire AC-Classe-4 Signature de certificats

Tableau 32: Annexe - Contenu de partenaires.annuaire.sante.fr.cert.pem

ASIP Santé Manuel de connexion aux Webservices RASS 07/12/2016

33 / 38

20 Annexe – Contenu de ws.partenaires.annuaire.sante.fr.cert.pem

Contenu de ws.partenaires.annuaire.sante.fr.cert.pem (truststore de connexion à ws.partenaires.annuaire.sante.fr.cert.pem)

-----BEGIN CERTIFICATE----- MIIGKDCCBBCgAwIBAgISESDOGfk0b5RW/ycAI9hSkDe1MA0GCSqGSIb3DQEBCwUA MHkxCzAJBgNVBAYTAkZSMRMwEQYDVQQKDApBU0lQLVNBTlRFMRcwFQYDVQQLDA4w MDAyIDE4NzUxMjc1MTESMBAGA1UECwwJSUdDLVNBTlRFMSgwJgYDVQQDDB9BQyBS QUNJTkUgSUdDLVNBTlRFIEVMRU1FTlRBSVJFMB4XDTEzMDYyNTAwMDAwMFoXDTMz MDYyNTAwMDAwMFoweTELMAkGA1UEBhMCRlIxEzARBgNVBAoMCkFTSVAtU0FOVEUx FzAVBgNVBAsMDjAwMDIgMTg3NTEyNzUxMRIwEAYDVQQLDAlJR0MtU0FOVEUxKDAm BgNVBAMMH0FDIFJBQ0lORSBJR0MtU0FOVEUgRUxFTUVOVEFJUkUwggIiMA0GCSqG SIb3DQEBAQUAA4ICDwAwggIKAoICAQDNo99sZJlo3F6n4X67RF+xqBT3yGmA6LLd HIvTfDBCQ1l442eEOPHGXkyRkMHBI+q38Jily25liY7AjYElGpege2NbIyPQRTJS hF+ENJKccUDpJnv85OhSd+0NamF07GWd5Mi5AXyXprLxCOs+93rh18lTN8M0JoFQ mTNLhZTUZsobLMd0hYGShgC6BiNbHTAQpps11jYqWMpvTTRq1SFHHvrR3WMbUZDT Lj25f2DxIcy4x/ulfqmE/5x9uRC40+yG6ExxjkVU/7lkipGpvp0XxufQDIr9jntx VYszzu9Ti5jV1cDnlG8KfnAV1GZhX5WgY+1/QDnxq/A/JNW7H0YMkx9BZcQQ75JP fUU/HYX3GFrAx8YiW46E+SspGkBUFz4Qr2xKIch9akf+GbXlDPIy3L26Au05/dcf ZlDLIa3RsDUrby/m9EHK8P5uVVQG/KIUgnqr1Go/psMWztO2F+BCjau5pKg0a9k6 kQFp0oETPKlYxo8Qsrq1iju7HuEPtHKn+UcpKddDjTGW6aAQS5qVVsqPFv2lCPBK 71037VrjaJ0XV+jqqN9SUCEEZSFvPmIzv0UdOEd29igJSlXYH+RGTn/RMZ+iIB7C CAhIQy+tFw9VRFWyCGeOrFg+8fBsosmOffQ80rkOGts4SpTkEI038djuwYMEbu9O p6Pntk58dwIDAQABo4GpMIGmMA8GA1UdEwEB/wQFMAMBAf8wDgYDVR0PAQH/BAQD AgEGMEMGA1UdIAQ8MDowOAYEVR0gADAwMC4GCCsGAQUFBwIBFiJodHRwOi8vaWdj LXNhbnRlLmVzYW50ZS5nb3V2LmZyL1BDMB0GA1UdDgQWBBSMb+rVi4L6+b6H3HMO JxUHR8SeLzAfBgNVHSMEGDAWgBSMb+rVi4L6+b6H3HMOJxUHR8SeLzANBgkqhkiG 9w0BAQsFAAOCAgEALPVMH5yLBZgbwYXbkLdmkB44GzANJ39ibwmhWqlbOfZZmpQh NC71ftzfluSTUTb4QF/zAPylpRRmzJRtmUdOlYZToE3gWtxnNOcbLFtGDp0uvGYb +FqrzghOICWgM3JWstPNGW681fQgmWH6OJQs5eWIZpkpl/wSWhbq0GuPXZXnYDGi I4wtxHgwbKE7rokqHO/HPK/GJ5yn7oWBp2cy96hYIw9O9NUKzhZYD+EXXrmdrX1W LjxhAICs1CIaFuIuXLnaSrV52kWUcmDJ3+oRqbRIXTB1nBcUL1jDV2cugLCJV+GQ wb16yAAHz8B2lH4H6j6RTWr9wIuQZcSw9E/YqY8vRnSws0KmRM5mwwU/QAgINdH4 iDFyeFJjLEvV0ny7wiP0if+Mzjil3r6oghQ1SOv3AN33nkK5wWtOVksIQhBaTSMq xxiwSfb2/QX6S8hZ3k85bMsWPDGE3MHlZjDUB4EhxaRASyGFR1/3mqzPX5sJaCAL 2iF3qDDs2WGmwoBBHySFdsEEPBZm5OelN5uTgZ7ub7LM/s1BTU1RFQsO4CEYL/op zss8O6vlDwDNCyt/09yS2RvQZV+E7/5cCi0gumwnhKE0uRjLs36jm055En2LQX95 fE/rZpnSMWBDwCpNvgXLoejYigfVJPFzSPen5mo1uPPwMkEwXggooIu5diM= -----END CERTIFICATE-----

AC Root IGC-Santé Elémentaire

Tableau 33: Annexe - Contenu de ws.partenaires.annuaire.sante.fr.cert.pem

ASIP Santé Manuel de connexion aux Webservices RASS 07/12/2016

34 / 38

21 Annexe – Liste des figures

Figure 1: Principe général des développements RASS ..................................................................................... 10

Figure 2: RASS: accueil IHM: Cliquer sur "Connectez-vous" ............................................................................ 23

Figure 3: RASS: accueil IHM: Cliquer sur "Connectez-vous" en bas à droite.................................................... 24

Figure 4: RASS: IHM: sélection du certificat d'authentification CPS ................................................................ 24

Figure 5: RASS: IHM: cliquer sur "extractions" ................................................................................................. 25

Figure 6: RASS: IHM: cliquer sur l'extraction souhaitée ................................................................................... 25

Figure 7: RASS: IHM: Récupération des extractions RASS via l'IHM et un bi-clé logiciel ................................. 26

Figure 8: Import d'un bi-clé logiciel sous Windows (pour Internet Explorer et Google Chrome).................... 27

Figure 9: Import d'un bi-clé logiciel sous Windows (pour Internet Explorer et Google Chrome).................... 28

ASIP Santé Manuel de connexion aux Webservices RASS 07/12/2016

35 / 38

22 Annexe – Liste des tableaux

Tableau 1 : Références ....................................................................................................................................... 3

Tableau 2 : Contact accompagnement ASIP Santé ............................................................................................ 4

Tableau 3 : Profiles ciblés par le document ....................................................................................................... 4

Tableau 4 : Point d'attention .............................................................................................................................. 4

Tableau 5 : Glossaire .......................................................................................................................................... 6

Tableau 6 : Entreprises citées ............................................................................................................................. 7

Tableau 7 : Avertissements ................................................................................................................................ 8

Tableau 8: Principaux environnements du RASS ................................................................................................ 9

Tableau 9 : Environnement "partenaires" et SNI ............................................................................................... 9

Tableau 10: Conversion du PKCS12 ASIP Santé en deux fichiers (certificat, clé privée) au format PEM séparés .......................................................................................................................................................................... 11

Tableau 11: Vérification de la configuration avec le serveur https://testssl.asipsante.fr/ .............................. 12

Tableau 12: Récupération d'une extraction RASS avec Curl version 7.21.2 ou supérieure ............................. 13

Tableau 13: Récupération d'une extraction avec curl version 7.21.2 ou supérieure ...................................... 15

Tableau 14: Contrôle du lien TLS lors de la récupération d'une extraction avec curl ...................................... 15

Tableau 15: Contrôles lors de la récupération d'une extraction avec curl version 7.21.2 ou supérieure ....... 16

Tableau 16: Récupération d'une extraction RASS avec Curl version 7.21.1 ou inférieure .............................. 17

Tableau 17: Compatibilité du script avec les différentes versions de Curl ...................................................... 17

Tableau 18: Version de WGet........................................................................................................................... 18

Tableau 19: Configuration du proxy si besoin .................................................................................................. 18

Tableau 20: Vérification de la configuration wget avec testssl ........................................................................ 18

Tableau 21: Vérification de la configuration wget avec testssl ........................................................................ 19

Tableau 22: Récupération des extractions RASS avec wget ............................................................................. 19

Tableau 23: Récupération des extractions RASS avec wget ............................................................................. 20

Tableau 24: Vérification de la configuration avec OpenSSL ............................................................................. 21

Tableau 25: Exemple de contenu possible pour le fichier request.txt ((à adapter selon l'usage)) .................. 22

Tableau 26: Exemple de redirection fichier ..................................................................................................... 22

Tableau 27: Import d'un bi-clé logiciel sous Windows (pour Internet Explorer et Google Chrome) ............... 27

Tableau 28: Import d'un bi-clé logiciel sous Mozilla Firefox ............................................................................ 28

Tableau 29: Récupération de l’extraction Cat18 via les WebServices d’extraction RASS avec curl version 7.21.2 ou supérieure ........................................................................................................................................ 29

Tableau 30: Annexe - Contenu de testssl.asipsante.fr.pem ............................................................................. 30

Tableau 31: Annexe - Contenu de ws.annuaire.sante.fr.cert.pem .................................................................. 31

Tableau 32: Annexe - Contenu de partenaires.annuaire.sante.fr.cert.pem .................................................... 32

ASIP Santé Manuel de connexion aux Webservices RASS 07/12/2016

36 / 38

Tableau 33: Annexe - Contenu de ws.partenaires.annuaire.sante.fr.cert.pem ............................................... 33

ASIP Santé Manuel de connexion aux Webservices RASS 07/12/2016

37 / 38

23 Notes

[fin du document]