{{tag>Jammy matériel sécurité smartcards}}
----

====== Certificat Opalexe ======

[[https://www.cncej.org/opalexe|Opalexe]] est une **plateforme de dématérialisation des expertises judiciaires**, développée en partenariat avec le ministère de la Justice, le Conseil national des compagnies d'experts de justice et le Conseil National des Barreaux. Elle repose sur une **authentification par certificat électronique** [[wpfr>Référentiel_général_de_sécurité|RGS**]], certificat fourni sur carte à puce permettant également la signature électronique des documents, reconnue de niveau //signature électronique qualifiée// selon le [[wpfr>Electronic_identification_and_trust_services|règlement européen eIDAS]].

La société Oodrive assure à la fois la gestion de la plateforme et le rôle de tiers de confiance (autorité de certification et autorité d'enregistrement, à travers sa filiale CertEurope). Les compagnies d'experts attestent de l'identité du porteur lors de la commande d'un certificat (autorité d'enregistrement déléguée).

Malheureusement, aucune documentation n'est fournie sur les possibilités d'utilisation sur GNU/Linux. En cas de demande, le support se contente de répondre que le système d'exploitation n'est pas compatible avec la plateforme. C'est pourtant tout à fait le cas, une fois le certificat activé !

<note important>L'étape d'**activation initiale du certificat** (à l'aide d'un code unique reçu par courriel ou SMS) nécessite l'utilisation d'un logiciel fourni par CertEurope, uniquement disponible pour Windows et Mac OS.</note>

<note>Pour une commande en octobre 2022, la carte fournie était une **Thales (anciennement Gemalto) IDPrime 940**, reconnue comme support cryptographique de type [[https://sofianefedaoui.wordpress.com/2019/03/17/la-signature-electronique-en-europe/|QCP-n-qscd]], incluant un certificat émis par l'Autorité de certification //CertEurope eID User//, conforme à la norme ETSI EN 319 411-2, avec pour identifiant de politique 1.2.250.1.105.23.411.2.2.2.1.0 (voir la [[https://www.certeurope.fr/chaine-de-confiance|chaîne de confiance CertEurope]]).</note>

===== Compatibilité =====

À vérifier : d'autres services reposant sur un certificat du même type fourni par CertEurope sont probablement compatibles.

===== Pré-requis =====

  * Disposer des [[:sudo|droits d'administration]].
  * Disposer d'une connexion à Internet configurée et activée.
  * Avoir [[:tutoriel:comment_installer_un_paquet|installé les paquets]] **[[apt>pcscd,libpcsclite1,pcsc-tools,pcsc-tools|pcscd libpcsclite1 pcsc-tools pcsc-tools]]** conformément à la documentation sur les [[smartcards|cartes à puce sous Ubuntu]].
  * Avoir activé et lancé le [[systemd|service]] PC/SC à l'aide des commandes ''sudo systemctl enable pcscd'' et ''sudo systemctl start pcscd''.
  * Avoir branché à un port USB le lecteur de carte PC/SC et inséré la carte Opalexe.

<note tip>On peut vérifier que la carte est détectée avec la commande ''pcsc_scan''.</note>

===== Installation =====

Pour pouvoir utiliser la carte Opalexe, il faut télécharger et installer le logiciel **SafeNet Authentication Client** de Thales, par exemple depuis [[https://support.sectigo.com/PS_KnowledgeDetailPage?Id=kA03l000000o6kL|le support du fournisseur de certificats PositiveSSL]] (Thales réserve malheureusement à ses clients directs l'accès au téléchargement du logiciel). Des versions avec et sans interface utilisateur sont fournies, celle sans interface fait très bien l'affaire.
===== Configuration =====

Pour la lecture du certificat, on s'appuie sur les [[wp>Network_Security_Services|Network Security Services]] fournis à la fois par [[firefox|Firefox]] et [[thunderbird|Thunderbird]], grâce au module [[wp>PKCS_11|PKCS#11]] approprié.

<note important>**Privilégiez Thunderbird si vous prévoyez uniquement de signer électroniquement des documents avec LibreOffice**. Si vous devez utiliser Firefox, installez [[firefox|la version ESR]] ou [[firefox|installez la version APT à la place de la version snap]] pour pouvoir accéder au module PKCS#11.</note>

Pour **ajouter le module PKCS#11**, se rendre dans les paramètres de Thunderbird ou Firefox, section //Certificats//, puis cliquer sur //Périphériques de sécurité...//, //Charger//, choisir un nom et sélectionner le module ''/usr/lib/libIDPrimeTokenEngine.so''.

Pour **activer l'utilisation du certificat** (authentification et signature), rester dans la section //Certificats//, cliquer sur //Gérer les certificats...//, puis :
  * Dans //Vos certificats//, sélectionner le certificat et cliquer sur //Voir...// : dans //Informations sur l'autorité//, télécharger le fichier ''.cer'' ou ''.crt'' (//Informations sur l'autorité (AIA)//, //Méthode : CA Issuers//)
  * Dans //Autorités//, importer le fichier ''.cer'' ou ''.crt'' et cocher tous les paramètres de confiance avant de valider.

===== Utilisation =====

Le certificat peut maintenant être utilisé pour **signer électroniquement des documents** avec [[https://help.libreoffice.org/7.4/fr/text/shared/guide/digital_signatures.html|LibreOffice]] associé à Thunderbird ou Firefox (choix à paramétrer dans //Options//, //LibreOffice//, //Sécurité//, //Chemin du certificat//, //Certificat...//), et/ou **s'authentifier sur la plateforme** [[https://www.opalexe.fr/|Opalexe]] (avec une version de Firefox préalablement configurée).

===== Voir aussi =====

  * [[smartcards|Cartes à puce sous Ubuntu]]
  * **(fr)** [[https://sofianefedaoui.wordpress.com/2019/03/17/la-signature-electronique-en-europe/|Sofiane FEDAOUI : La signature électronique en Europe]]
  * **(fr)** [[https://wiki.cybertron.fr/fr/rpva/install-on-linux|CYBERTRON : Utiliser sa clé RPVA sur un poste Linux]]

----
//Contributeurs principaux : [[utilisateurs:Frederic.d]]//