MANUEL DUTILISATEUR

Mettre en place un canal SFTP

Version 11
 Table des matires

1. Quest-ce que SFTP? ............................................................. 3

2. Choisir votre certificat digital qualifi .................................. 4

3. Votre connexion internet...................................................... 6

4. Choisir votre client SFTP. ..................................................... 6

5. Crer votre paire de cls ...................................................... 7

6. Crer votre canal SFTP sur le portail .................................. 10

7. Paramtrer votre client SFTP.............................................. 17

8. Fichiers............................................................................... 19
8.1 Structure du nom des fichiers:.............................................19
8.2 Le fichier de dclaration (FI): ..............................................22
8.3 Le fichier de signature (FS) .................................................23
8.4 Le fichier GO .....................................................................24
8.5 Le fichier TD......................................................................24

9. Transfrer vos fichiers ....................................................... 25

10. Annexe: Gnrer un fichier de signature avec OpenSSL ... 29

11. Questions ......................................................................... 36

2
1. Quest-ce que SFTP?

SFTP signifie SSH File Transfer Protocol ou Secure File Transfer Protocol.

Comme lindique la premire dfinition, SFTP fait partie de SSH ou Secure Shell. Il sagit
dun remplaant sr pour ltablissement dune session de terminal sur des machines
UNIX. SFTP est le composant de ce protocole SSH qui assure le transfert de fichiers.

Un client SFTP se comporte comme un client FTP classique, o vous avez une vue sur les
rpertoires et les fichiers, et o vous pouvez dposer, extraire des fichiers avec les
mmes commandes que FTP.

Contrairement FTP, les ordinateurs Windows ne disposent pas dun client standard.
Vous devez donc pour cela installer du software supplmentaire. Il existe des
clients software SFTP gratuits et payants. Les systmes Linux proposent des
packages standard dune implmentation open source de SSH (OpenSSH).

SFTP est toutefois un tout autre protocole que FTP. Il est en effet protg laide de
techniques cryptographiques, ce qui signifie que tout le trafic entre un client et
un serveur est entirement chiffr, depuis le processus didentification jusqu lenvoi
de fichiers. tant donn cette protection, SFTP convient trs bien lchange
scuris de fichiers sur linternet.

Il existe plusieurs conditions pour sidentifier comme utilisateur via SFTP.

Bien entendu, on dispose toujours dun nom dutilisateur.
ct de cela, une paire de cls lectroniques remplace le mot de passe au sens
classique du terme. Cette paire de cls comporte une cl prive et une cl
publique. La cl prive reste chez celui qui la cre et sera de prfrence encore
protge par un mot de passe additionnel. La cl publique peut tre envoye toute
partie adverse qui souhaite identifier le dtenteur de la cl prive.

Ce systme ressemble troitement au systme X.509 (comme celui de la carte

didentit lectronique) qui utilise des cls prives et des certificats. Les principes
sous-jacents sont identiques, mais SFTP utilise rarement des certificats. SFTP
possde donc son propre format de cls. Ces cls ne peuvent pas tre achetes
comme un certificat, il faut les gnrer soi-mme. La majorit des clients SFTP
disposent dune fonction pour gnrer cette paire de cls.

Tout comme le client, chaque serveur SFTP dispose galement dune paire de cls.
Lors de ltablissement dune connexion avec un serveur, celui-ci transmettra sa cl
publique (galement appele host key) au client. Cest alors lutilisateur final quil
appartient daccepter cette cl. partir de ce point, la connexion scurise peut tre
tablie et lutilisateur peut sidentifier.

Lauthentification sur le serveur SFTP se fait via le nom dutilisateur et la cl

publique.

3
2. Choisir votre certificat digital qualifi
Chaque fichier de dclaration que vous envoyez par SFTP doit tre accompagn dun
fichier de signature. Pour gnrer ce fichier de signature vous avez besoin dun certificat
digital qualifi.

Plusieurs choix soffrent vous :

1. Le certificat de signature de votre carte didentit lectronique (eID)

(http://eid.belgium.be/fr/)

2. Un certificat digital qualifi de lun des prestataires de services de certification

suivants :
a. GlobalSign : PersonalSign 3 pro
(http://www.globalsign.eu/authentication-secure-email/digital-id/personalsign-3-
pro)
b. Certipost : Certificat Qualifi sur CD-ROM
(https://www.certipost.be/webshop/index.php?language=fr&cPath=41_46)

Comme la procdure de demande auprs dun prestataire de services de certification peut

prendre plusieurs jours, nous vous recommandons de vous y prendre bien lavance.

Ce certificat digital qualifi sera utilis pour 2 actions :

Vous devrez charger la cl publique de votre certificat digital qualifi (portant

lextension .cer) lors de la cration de votre canal SFTP sur le site portail de la
scurit sociale (www.securitesociale.be).

Sur la base de votre certificat qualifi (extension .pfx ou .p12) et pour chaque
fichier de dclaration (FI), vous devrez crer un fichier de signature (FS) que vous
placerez sur le serveur SFTP avec le fichier de dclaration.

Remarques importantes sur le choix de votre certificat

Il est important, lors du choix dun certificat digital qualifi, de tenir compte de la manire
dont vous comptez crer vos fichiers de signature (FS) :

Vous pouvez crer vous-mme votre fichier de signature, en utilisant par exemple
OpenSSL, ou utiliser des programmes que des producteurs de logiciels ou vous-mme
auraient dvelopp.

Procdure OpenSSL :

Si vous souhaitez crer le fichier de signature par le biais de OpenSSL, il est important de
demander un certificat votre prestataire de services de certification, partir duquel
vous pourrez ensuite exporter la cl prive. Ceci pose problme pour les certificats
figurant sur des cartes puce ou des cls USB.
En effet, la procdure dcrite dans la partie 10 Annexe : Gnrer un fichier de signature
(FS) via OPENSSL ne convient PAS aux certificats qui se trouvent sur une carte didentit
lectronique (eID) ou sur une carte Isabel. Dans la pratique, la procdure ne peut tre
utilise que pour des certificats mis par Globalsign et Certipost.

4
Apposer sa signature avec la carte didentit lectronique (eID) :

Si vous voulez crer un fichier de signature avec leID, vous pouvez utiliser lapplication
Belgian eID Signer ou une procdure avec Cryptonit. Vous trouverez lapplication
Belgian eID Signer et la procdure avec Cryptonit dans la bibliothque de documents
complmentaires (https://www.socialsecurity.be/public/doclibrary/fr/batch.htm). Vous
pouvez bien entendu dvelopper vous-mme les programmes ncessaires ou faire appel
des logiciels disponibles sur le march.

Les procdures avec lapplication Belgian eID Signer et avec Cryptonit exigent la
prsence du titulaire de leID. Pour chaque fichier de signature, leID devra tre
insre dans le lecteur de carte et le titulaire de leID devra saisir son code PIN. Par
consquent, si le titulaire de leID est absent et que vous devez crer un fichier de
signature pour lenvoi dun message structur, vous devrez utiliser une autre eID. Avant
lenvoi, votre gestionnaire local ou co-gestionnaire local devra alors charger la cl
publique de lautre eID dans les paramtres de votre canal sur le site portail.

Apposer sa signature avec la carte Isabel :

Construire un fichier de signature sur base dune carte Isabel nest pas possible parce
que la cl prive ne peut pas tre export. Nous ne sommes donc pas en mesure de vous
fournir un manuel ou une technique pour le faire. Le helpdesk de chez Isabel ne sait pas
vous aider non plus.

5
3. Votre connexion internet
Pour transfrer rapidement et correctement des fichiers via SFTP, il est primordial de
disposer dune connexion internet de qualit.
Vous avez donc tout intrt vrifier depuis quel PC ou serveur le transfert seffectue le
mieux. vitez le chargement via une connexion internet sans fil. En effet, de petites
perturbations dans le rseau sans fil peuvent rompre le transfert de fichiers.

Contrlez galement les paramtres de votre pare-feu. Ce dernier doit autoriser le trafic
SFTP vers le port 8022.

Veillez aussi disposer dune bande passante suffisante durant le transfert. Dautres
processus en cours peuvent occuper la bande passante ncessaire au bon transfert via
SFTP.

4. Choisir votre client SFTP.

Pour pouvoir communiquer avec notre serveur SFTP, vous avez besoin dun client SFTP.

Vous travaillez avec Windows:

Les ordinateurs Windows ne disposent pas dun client SFTP standard.

Vous pouvez utiliser un moteur de recherche et effectuer une recherche sur SFTP Client'.
Vous trouverez, parmi les rsultats, des clients software SFTP gratuits et payants.
Certains clients SFTP fonctionnent de manire manuelle, dautres peuvent tre
automatiss.
Vous tes libre de choisir le client qui correspond le plus vos besoins.

Vous travaillez avec Linux:

Les systmes Linux proposent des packages standards dune implmentation open source
de SSH (OpenSSH).

Vous travaillez avec Apple:

Il existe galement plusieurs clients SFTP pour Apple. Vous pouvez les trouver par un
moteur de recherche et effectuer une recherche sur SFTP & Apple' ou sur le site
www.apple.com.

Documentation:

titre informatif, vous trouverez dans la bibliothque technique

(https://www.socialsecurity.be/public/doclibrary/fr/batch.htm) de la documentation sur
les clients SFTP manuels (Filezilla, WinSCP, Bitvise Tunnelier) que nous avons nous-
mmes tests.

6
5. Crer votre paire de cls

Pour effectuer un envoi via SFTP, vous avez besoin dune paire de cls SSH. Vous devez
la crer vous-mme.
Dans certains clients SFTP est compris un gnrateur de cl.
Si le client que vous avez choisi ne dispose pas dun gnrateur de cl, vous devrez crer
les cls via un autre gnrateur de cls que vous pouvez trouver facilement via une
recherche sur internet. Le programme Putty Key Generator fonctionne trs bien. Vous
pouvez le retrouver en utilisant puttygen dans un moteur de recherche.

Votre cl publique doit tre charge lors de louverture du canal SFTP sur le portail de la
scurit sociale.
Votre cl prive doit tre charge dans le client SFTP que vous utilisez. Veuillez pour
cette action consulter la documentation de votre client SFTP. Il est conseill de protger
votre cl prive avec un mot de passe.

Spcifications:

Format
Une distinction est faite entre les cls qui sont compatibles avec la version 1 de SSH et
celles qui sont compatibles avec la version 2. La version 1 est considre comme peu
sre et ne sera pas accepte.

En plus il y a diffrents formats pour les cls publiques. Les plus courants sont ceux du
logiciel OpenSSH et SSH. (La mise en application commerciale de SSH-protocol).
Pour les cls publiques, les formats de OpenSSH et de SSH seront soutenus uniquement.

L'algorithme & la longueur

Lors de la gnration des cls, vous devez faire attention au fait davoir choisi le type et
la longueur correcte.
Il y a deux types possibles (RSA et DSA) dont seuls les RSA seront accepts.
Comme longueur de cl, choisissez 2048 ou plus (3072, 4096). Les cls plus courtes ne
seront pas acceptes.
Nous vous invitons protger votre cl prive par un mot de passe lorsque vous la
sauvez sur votre machine.

Bref rsum:

Les cls compatibles avec SSH v2

Les formats OpenSSH et SSH sont accepts
Type de cl : SSH2-RSA
Longueur de cl : de 2048 4096 bits.

7
Exemple : cration des cls avec Putty Key Generator

1. Choisissez typeSSH-2 RSA

2. Dterminez la longueur de la
cl

3. Cliquez sur Generate

Bougez avec la souris

dans la zone grise

8
Sauvez les deux cls sur votre PC

Il est conseill de sauvegarder la cl prive avec un mot de passe. (Key passphrase)

Certains clients SFTP n'admettent toutefois pas de fonctionner avec une cl prive qui est
protge avec un mot de passe.

Si vous avez cr votre cl avec votre client SFTP, rfrez-vous la documentation de

celui-ci.

9
6. Crer votre canal SFTP sur le portail de la scurit sociale

Il ny a que le gestionnaire local et le co-gestionnaire local de la qualit qui peuvent

ouvrir un canal.

Ci-dessous, vous trouvez les diffrentes tapes que vous devez parcourir pour ouvrir
votre canal SFTP. Si vous disposez dj dun canal dexpdition pour la qualit ou si vous
avez eu pour la qualit un canal Isabel dans le pass vous ne devez pas parcourir
certains tapes.

Cliquez sur Messages structurs

10
 Cliquez sur Enregistrement des
donnes de configuration(*)

(*) Si un canal denvoi existe dj pour la qualit, cliquez sur licne ct de

SFTP dans la partie droite de votre cran sous Messages structurs .

Vu quil existe alors dj un utilisateur technique, vous ne verrez pas les deux crans
suivants.

11
Cliquez sur Suivant

Introduisez les donnes de votre personne de

contact technique et cliquez sur Suivant

12
 Chargez ici votre cl publique SSH

Chargez ici la cl publique (.cer) de

votre certificat digital (*)

Slectionnez les applications pour

lesquelles vous souhaitez envoyer par
le canal SFTP. (**)

(*) Si vous optez pour lutilisation de votre carte didentit lectronique (eID), vous
devez charger ici le certificat de signature de votre eID.

(**) Si vous disposez dj dun canal denvoi (FTP ou MQLink) pour la qualit et que
vous choisissez les mmes applications pour votre canal SFTP, vous devrez indiquer
un canal de prfrence par application.

13
 Choisissez un nom dutilisateur technique (*)

Cliquez sur Suivant

Caractristiques d'un nom d'utilisateur technique :

Minimum 8 maximum 20 caractres

Les chiffres (0-9) et les lettres de l'alphabet (a-z) sont admis uniquement
Pas despaces
Une fois cr, il ny a plus moyen de le modifier
Ne dois pas exister dans le systme web de la scurit sociale

(*) Si vous disposez dj dun canal FTP ou si vous avez cr un canal MQLink avec
dial-up, vous ne verrez pas cet cran et ne devrez donc pas choisir de nom
dutilisateur technique vu que le nom dutilisateur technique choisi pour FTP et/ou
MQLink reste dapplication pour SFTP.

14
 Cliquez sur Confirmer

15
 Vous avez besoin de votre
numro dexpditeur (*) dans
le nom de vos fichiers et vous
avez besoin de votre nom
dutilisateur pour vous
identifier sur le serveur SFTP.

(*) Si vous disposez dj dun canal denvoi (FTP ou MQLink) pour la qualit ou si
vous avez dj eu un canal Isabel dans le pass, vous conserverez toujours le
numro dexpditeur que vous aviez dj.

16
7. Paramtrer votre client SFTP
Pour faire la liaison entre le serveur SFTP de la scurit sociale (host) vous devez
introduire les donnes ci-dessous dans votre client SFTP (*).

Le nom du host est:sftp.socialsecurity.be

Le numro de porte est: 8022. (Attention : il est possible que vous ayez
adapter votre pare-feu (firewall) pour permettre le trafic vers cette porte).
Le nom dutilisateur (commence par EXP) que vous avez choisi lors de la
cration de votre canal SFTP sur le portail de la scurit sociale. (Si vous aviez
dj par le pass un nom dutilisateur technique, il est possible que celui-ci
commence par UM).
Chargez la cl prive, que vous avez cre dans le gnrateur de cl, dans votre
client SFTP.
Lors de la premire connexion vous devez accepter la cl publique (galement
appele host-key) du serveur SFTP de la scurit sociale
Si vous avez protg votre cl prive par un mot de passe, le client SFTP va le
demander.

(*) Pour installer votre client SFTP, rfrez-vous la documentation de celui-ci. titre
informatif, vous trouverez dans la bibliothque technique
(https://www.socialsecurity.be/public/doclibrary/fr/batch.htm) de la documentation sur
les clients SFTP manuels (Filezilla, WinSCP, Bitvise Tunnelier) que nous avons nous-
mmes tests.

Exemple:

17
Acceptez une fois la cl publique (host key) du serveur SFTP de la scurit sociale. Il
sagit de la cl publique du serveur : ssh-rsa 4096
9c:de:2d:42:b4:2e:2a:3b:b9:85:0d:79:98:66:d9:3f

Si vous avez protg votre cl prive par un mot de passe, on vous demande de
linscrire.

Ensuite, vous tes enregistr. Vous voyez gauche les rpertoires de votre pc et
droite, les rpertoires du serveur SFTP de la scurit sociale.

18
8. Fichiers
Une diffrence avec lenvoi via le canal Isabel, est que dans lenvironnement de
production pour SFTP (comme cest le cas pour FTP, MQlink et Webservice MTOM), ct
de votre fichier de dclaration (FI), vous devez ajouter un fichier GO et un fichier de
signature (FS) et les placer sur le serveur.

Le fichier de signature nest pas exig dans lenvironnement de simulation mais le fichier
GO, lui, est obligatoire.

8.1 Structure du nom des fichiers:

Pour les messages structurs, les noms de fichiers ont la structure suivante :

FI.XXXX.123456.20120213.00001.R.1.1
FS.XXXX.123456.20120213.00001.R.1.1
GO.XXXX.123456.20120213.00001.R.1
(TD.XXXX.123456.20120213.00001.R.1)

Premire partie du nom:

FI Le fichier de dclaration
FS Le fichier de signature
GO Le fichier vide qui lance le traitement
TD Le fichier vide qui annule le traitement

Deuxime partie du nom:

XXXX : Le deuxime lment du nom du fichier dcrit le contenu du fichier.

AOAT: pour une dclaration DRS Accidents du travail

DIMN: pour une dclaration Dimona
DMFA: pour une dclaration originale DmfA
DMRQ: pour une consultation (Request) DmfA
DMWA: pour une modification de DmfA
DUCN: pour une dclaration unique de chantier (DUC)
PFRQ: pour une consultation du fichier du personnel
TWCT: pour une dclaration de Chmage Temporaire
VBLV: pour une dclaration Livre de validation
WECH: pour une dclaration DRS Chmage
ZIMA: pour une dclaration DRS Indemnits

Troisime partie du nom:

123456 : Il s'agit du numro d'expditeur attribu l'expditeur lors de la cration du
premier canal pour sa qualit.

Quatrime partie du nom:

20120213 : C'est la date de cration du fichier sous la forme AAAAMMJJ.

Cinquime partie du nom:

00001: Il s'agit d'un numro unique de votre choix qui indique de manire unique le
nom du fichier, par date de cration et par environnement.

19
Sixime partie du nom:
Indique l'environnement de travail:
R Utilis pour la production
T Utilis pour un test (DRS, DUC, Dimona, Chmage Temporaire) ou un test de
circuit DmfA
S Utilis pour un test de dclaration DmfA

Diffrence test de dclaration (S) et test de circuit (T) DmfA

Avec la DmfA, vous pouvez envoyer vos fichiers de test comme test de dclaration
(extension S et dossier INTEST-S) ou comme test de circuit (extension T et dossier
INTEST). Pour toutes les autres applications, vous pouvez utiliser uniquement l'extension
T et le dossier INTEST pour vos fichiers de test.

Lors d'un test de dclaration (extension de fichier S), tous les contrles de rception
et tous les contrles de contenu sont parcourus. Il n'y a pas de contrle des donnes
d'identification du/des travailleur(s). Aprs un ACRF positif, vous recevez une notification,
mais pas de fichier DMNO ou PID. Vous placez vos fichiers dans le dossier INTEST-S et
vous trouvez le rsultat dans le dossier OUTTEST-S. tant donn que la dclaration n'est
pas sauvegarde dans l'environnement de simulation, vous pouvez tester plusieurs fois la
mme dclaration.

Lors d'un test de circuit (extension de fichier T), le circuit de contrle entier est
parcouru comme dans l'environnement de production. Il y a un contrle des donnes
d'identification du/des travailleur(s),mais pas de contrle d'identification via Sigedis.
Aprs un ACRF positif, vous recevez les fichiers de rponse comme dans l'environnement
de production (notifications, PID et DMNO).
Vous placez vos fichiers dans le dossier INTEST et vous trouvez le rsultat dans le
dossier OUTTEST.
En cas de notification positive, la dclaration est sauvegarde dans l'environnement de
simulation. Tout comme dans l'environnement de production, le test de circuit est limit
une dclaration accepte par combinaison numro ONSS/trimestre.

Septime partie du nom :

1: Indique le nombre total de partie(s)
Une dclaration peut tre compose de maximum 9 parties.
Les dclarations DRS et Chmage Temporaire ne peuvent pas tre fractionnes donc il
ny a pas de septime partie.
Ex : FI.WECH.123456.20120213.00001.R

Huitime partie du nom:

1: Indique le numro de la partie.
Les dclarations DRS et Chmage Temporaire ne peuvent pas tre fractionnes donc il
ny a pas de huitime partie.
EX : FI.AOAT.123456.20120213.00001.R

20
Exemples:

L'expditeur envoie un morceau:

FI.DMFA.123456.20120213.00001.R.1.1
FS.DMFA.123456.20120213.00001.R.1.1
GO.DMFA.123456.20120213.00001.R.1

L'expditeur envoie deux morceaux:

FI.DMFA.123456.20120213.00001.R.2.1
FI.DMFA.123456.20120213.00001.R.2.2
FS.DMFA.123456.20120213.00001.R.2.1
FS.DMFA.123456.20120213.00001.R.2.2
GO.DMFA.123456.20120213.00001.R.2

21
8.2 Le fichier de dclaration (FI):

Les fichiers de dclaration (FI) sont identiques pour tous les canaux.

Structure du nom du fichier de dclaration

FI.application.numro dexpditeur.date.le numro dordre.l'environnement de travail.le

nombre de parties.le numro de la partie
Ex : FI.DMFA.123456.20120213.00001.T.1.1

Sur la page de dpart de chaque application sur le portail de la scurit sociale dans la
librairie technique, vous trouvez toutes les informations techniques (glossaires, les
schmas, les annexes structures et les instructions) pour faire votre fichier de
dclaration.

22
8.3 Le fichier de signature (FS)

Le fichier de signature comprend la signature lectronique sur base de votre certificat

qualifi.

Vous pouvez utiliser les certificats digitaux qualifis suivant :

o GlobalSign : PersonalSign 3 pro
(http://www.globalsign.eu/authentication-secure-email/digital-
id/personalsign-3-pro)

o Certipost : Certificat Qualifi sur CD-ROM

(https://www.certipost.be/webshop/index.php?language=fr&cPath=41_46)

o Le certificat de signature de la carte didentit lectronique

Vous devez crer le fichier de signature avec le certificat que vous avez renseign
pour votre canal dexpdition.

Vous pouvez crer votre fichier de signature (FS) vous-mme, via par exemple,
OpenSSL(*) ou vous pouvez utiliser un programme dune maison de soft ou le
dvelopper vous-mme.

Pour OpenSSL(*), il est important que votre certificat ne se trouve pas sur une carte
puce ou une cl USB pour que vous puissiez exporter la cl prive.

Si vous voulez crer un fichier de signature avec leID, vous pouvez utiliser
lapplication Belgian eID Signer ou une procdure avec Cryptonit.
Lapplication et la procdure se trouvent dans la bibliothque de documents
complmentaires: (https://www.socialsecurity.be/public/doclibrary/fr/batch.htm).

Lorsqu'une dclaration (FI) est transfre en diffrentes parties, un fichier de

signature (FS) devra tre ajout chaque partie du fichier.

Pour crer votre fichier de signature vous devez utiliser le certificat digital qualifi
(.pfx ou .p12) dont vous avez charg la cl publique (.cer) sur le portail de la scurit
sociale lors de la cration de votre canal SFTP.

Un fichier de signature (FS) est obligatoire lors d'une dclaration dans

l'environnement de production. Dans l'environnement de test et l'environnement
simulation il n'est pas obligatoire de joindre un fichier de signature (FS). Si vous
joignez un fichier de signature (FS) dans lenvironnement de test ou de simulation, le
fichier sera contrl.

Structure du nom du fichier de signature

FS.application.numro dexpditeur.date.le numro dordre.l'environnement de travail.le

nombre de parties.le numro de la partie
Ex. FS.DMFA.123456.20120213.00001.T.1.1

(*) Vous trouverez les explications concernant la cration dun fichier de signature
avec OpenSSL la fin de ce manuel au point 10 Annexe: Gnrer un fichier de
signature avec OpenSSL.

23
8.4 Le fichier GO

Est un fichier vide.

Est le signal que lexpditeur a plac ses fichiers et que le traitement de ces
fichiers peut commencer.

Doit toujours tre plac aprs les fichiers FI et FS comme dernier fichier dans le
dossier IN, INTEST ou INTEST-S.

Lors dune dclaration en plusieurs parties (FI), un seul fichier GO est joint.

Pour crer un fichier GO, vous devez ouvrir un fichier vide (par exemple un fichier texte)
et le sauvegarder sous le nom de fichier correct.

Structure du nom dun fichier GO :

GO.application.numro dexpditeur.date.numro de suite.environnement de

travail.nombre de parties
Exemple : GO.DMFA.123456.20120213.00001.T.1

8.5 Le fichier TD

Est un fichier vide.

Sert indiquer que les fichiers FI et/ou FS placs ne peuvent pas tre traits
(TD = To Delete). Un fichier TD peut donc tre utilis si les fichiers placs
contiennent une erreur.

Doit toujours tre plac aprs les fichiers FI et FS comme dernier fichier dans le
dossier IN, INTEST ou INTEST-S.

Lors dune dclaration en plusieurs parties (FI), un seul fichier TD est joint.

Aprs lenvoi du fichier TD, lexpditeur reoit titre de confirmation de la

suppression un fichier ACRF avec ResultCode 0, ErrorID ACRF-430 et la date
et lheure de la suppression sont ajoutes au nom du fichier.
Ex. TD.DMFA.123456.20120213.00001.T.1_20120213_102735

Pour crer un fichier TD, vous devez ouvrir un fichier vide (par exemple un fichier texte)
et le sauvegarder sous le nom de fichier correct.

Structure du nom dun fichier TD :

TD.application.numro dexpditeur.date.numro de suite.environnement de

travail.nombre de parties
Exemple : TD.DMFA.123456.20120213.00001.T.1

24
9. Transfrer vos fichiers
Ouvrez dans votre client SFTP le rpertoire dans lequel vous souhaitez placer vos fichiers.

Les fichiers de productions DmfA, DRS, Dimona, Chmage Temporaire, Dclaration

Unique de Chantier (extension R) -> dans le rpertoire IN
Tests / fichiers de simulations DRS, Dimona, Chmage Temporaire, Dclaration
Unique de Chantier et fichiers test de circuit DmfA (extension T) -> dans le
rpertoire INTEST
Les fichiers test de dclaration DmfA (extension S) -> dans le rpertoire INTEST-S

Dans cet exemple, nous allons ouvrir le rpertoire INTEST pour dposer nos fichiers

Ensuite nous glissons les diffrents fichiers (FI, FS et GO) vers le rpertoire INTEST.
Comme le fichier GO lance le traitement toujours le glisser en dernier dans le
rpertoire.

25
Ds que le fichier GO est plac, le traitement des fichiers lis dmarre automatique.

26
Ds que les dclarations sont traites, vous retrouvez les rponses (ACRF, Notifications.)
dans les rpertoires respectifs :

Les fichiers de productions DmfA, DRS, Dimona, Chmage Temporaire,

Dclaration Unique de Chantier (extension R) -> dans le rpertoire OUT
Tests / fichiers de simulations DRS, Dimona, Chmage Temporaire, Dclaration
Unique de Chantier et fichiers test de circuit DmfA (extension T) -> dans le
rpertoire OUTTEST
Les fichiers test de dclaration DmfA (extension S) -> dans le rpertoire
OUTTEST-S

Nous ouvrons le rpertoire OUTTEST

Le rcpiss ou ACRF est un message qui prouve que nous avons reu votre fichier et
que celui-ci rpond aux conditions.

Un rcpiss positif signifie que votre fichier peut tre trait. Dans ce cas, vous
recevrez aussi une notification, plus tard, dans le mme rpertoire, avec le rsultat du
contrle du contenu de votre dclaration.

27
Nous glissons les ACRF vers notre PC

Une fois que les fichiers ont t copis sur notre ordinateur nous devons les
supprimer sur le serveur SFTP.
Ensuite, les fichiers peuvent tre ouverts et traits sur notre ordinateur mme.

Gestion de vos rpertoires OUT

Pour SFTP, les fichiers de rceptions sont mis votre disposition dans les rpertoires
OUT, OUTTEST ou OUTTEST-S sur notre serveur.
Le but est que vous copiez les fichiers qui sont sur notre serveur vers un
endroit sur votre PC. Ensuite, une fois copi, vous supprimez les fichiers des
rpertoires OUT sur notre serveur.
Etant donn que nous devons prvoir de lespace pour tous les expditeurs, nous ne
pouvons pas garder les fichiers disposition de manire indtermine.

28
10. Annexe: Gnrer un fichier de signature avec OpenSSL :
Attention :

Cette procdure ne convient PAS aux certificats qui se trouvent sur une carte didentit
lectronique (eID) ou une carte Isabel. Dans la pratique, cette procdure ne peut tre
utilise que pour des certificats mis par Globalsign et Certipost.

Pour crer un fichier de signature avec OpenSSL il faut d'abord installer ce software sur le
PC sur lequel vous allez crer le fichier de signature.
Via un moteur de recherche, vous pouvez rechercher trs simplement OpenSSL.

Aprs l'installation, le mieux est que vous fabriquiez un rpertoire sur votre PC dans
lequel vous installerez votre certificat (format .pfx place ou .p12) et votre fichier de
dclaration (FI).

Nous expliquons ceci l'aide d'un exemple :

C:\DEMOSIGN : Le rpertoire dans lequel se trouve le fichier de dclaration et le

certificat
certif.pfx: Nom de votre certificat
ww123 : mot de passe du certificat
ww789 : mot de passe que nous choisissons lors de la cration de la cl

Nous allons crer un fichier .pem, un fichier .key et un fichier de signature (FS).
Nous choisissons dans notre exemple de donner le nom dmfa, au fichier .pem et au
fichier .key. Cette dnomination est un libre choix. Vous pouvez choisir le nom vous-
mme et mme si vous choisissez le nom dmfa vous pouvez lutiliser pour signer les
fichiers pour les autres applications.

29
Il est important de taper dans DOS les commandes correctes et les bons liens vers les
rpertoires.

1. Ouvrez une fentre dos. Allez sur Start et cliquez sur Run

2.
3. Tapez cmd et cliquez sur ok

La fentre dos souvre

4. Ensuite vous devez aller vers C-prompt (c--d une ligne ou vous navez que C:\>)
Pour y arriver vous devez taper plusieurs fois cd.. suivi de la touche [ENTER]

Microsoft Windows XP [Version 5.1.2600]

(C) Copyright 1985-2001 Microsoft Corp.

C:\Documents and Settings\KRM>cd..

C:\Documents and Settings>cd..

C:\>

5. Ouvrez le rpertoire OpenSSL via la commande cd openssl puis cliquez sur [ENTER]

C:\>cd openssl

30
5. Ouvrez le sous-rpertoire bin via la commande cd bin puis cliquez sur [ENTER]

C:\OpenSSL>cd bin

6. Ouvrez OpenSSL via la commande openssl puis cliquez sur [ENTER]

C:\OpenSSL\bin>openssl

Vous obtenez maintenant :

OpenSSL>

7. Vous pouvez maintenant crer le fichier .pem

Aprs ce prompt vous devez introduire la commande pour crer le fichier .pem.
Attention, vous devez ici utiliser votre certificat format .pfx ou .p12 et non pas la cl
publique du certificat (.cer).

Vous introduisez la commande suivante avec le chemin complet du rpertoire o se

trouve le certificat et le fichier FI signer :
pkcs12 -in Localisation de votre rpertoire\votre certificat -passin pass: Mot de passe
de votre certificat -out Localisation de votre rpertoire\Nom de votre fichier.PEM-clcerts
-nokeys puis cliquez sur [ENTER]
OpenSSL> pkcs12 -in C:\DEMOSIGN\certif.pfx -passin pass:ww123 -out
C:\DEMOSIGN\dmfa.pem -clcerts -nokeys

Votre fichier.pem est cr et plac dans le rpertoire o votre certificat et votre fichier de
dclaration sont placs.
OpenSSL> pkcs12 -in C:\DEMOSIGN\certif.pfx -passin pass:ww123 -out
C:\DEMOSIGN\dmfa.pem -clcerts nokeys
MAC verified OK

31
8. Vous pouvez maintenant crer votre fichier .key
Vous introduisez la commande suivante dans le prompt OpenSSL :
pkcs12 -in Localisation de votre rpertoire\votre certificat-passin pass:Mot de passe
de votre certificat-passout pass:mot de passe que vous choisissez pour votre .KEY -out
Localisation de votre rpertoire\Nom de votre fichier.KEY puis cliquez sur [ENTER]

OpenSSL> pkcs12 -in C:\DEMOSIGN\certif.pfx -passin pass:ww123 passout

pass:ww789 -out C:\DEMOSIGN\dmfa.key

Votre fichier.key est cr et plac dans le rpertoire o votre certificat, votre fichier de
dclaration et votre fichier .pem sont placs.

OpenSSL> pkcs12 -in C:\DEMOSIGN\certif.pfx -passin pass:ww123 passout

pass:ww789 -out C:\DEMOSIGN\dmfa.key
MAC verified OK

Chaque fois que vous voulez envoyer un fichier FI, vous devez crer sur base du fichier FI
avec les fichiers .pem et .key un fichier FS.
Vous pouvez utiliser les fichiers .pem et .key pendant toute la validit du certificat (voir
Expiration Date de votre certificat). Une fois que votre certificat est prim, vous devez
charger un nouveau certificat pour le canal et vous devez crer des nouveaux fichiers
.pem et .key.

32
9. Vous pouvez maintenant crer votre fichier de signature

Le fichier FS peut tre cr en introduisant les commandes suivantes dans le prompt

OpenSSL :
smime -sign -in Localisation de votre rpertoire\Nom du fichier FI -signer Localisation
de votre rpertoire\Nom de votre fichier .PEM -inkey Localisation de votre
rpertoire\Nom de votre fichier.KEY -passin pass: Mot de passe que vous avez choisi
pour le .KEY -outform PEM -out Localisation de votre rpertoire\Nom du fichier FS puis
cliquez sur [ENTER]

OpenSSL> smime -sign -in

C:\DEMOSIGN\FI.DMFA.123456.20120213.00001.T.1.1 -signer
C:\DEMOSIGN\dmfa.pem -inkey C:\DEMOSIGN\dmfa.key -passin pass:ww789 -
outform PEM -out C:\DEMOSIGN\FS.DMFA.123456.20120213.00001.T.1.1

Votre fichier FS est cr dans le rpertoire avec votre certificat et votre fichier de
dclaration.

Attention: ds que vous avez cr votre fichier FS vous ne pouvez plus changer votre
fichier FI. Si vous modifiez encore votre fichier FI vous devez recrer un nouveau fichier
FS.

33
10. Les adaptations manuelles de votre fichier FS

Avant denvoyer votre fichier, il y a encore quelques adaptations manuelles faire dans le
fichier FS.
Vous ouvrez le fichier FS avec un diteur de texte comme Textpad ou Notepad.
Vous supprimez la premire ligne (-----DBUT PKCS7----- ) ainsi que la dernire ligne (--
---END PKCS7-----).
Attention : le fichier FS ne peut pas contenir de lignes vierges la fin du texte
(supprimez ventuellement le retour chariot).

34
Voici le rsultat de votre fichier FS

Aprs ces adaptations, sauvegardez le fichier FS avec la combinaison suivante

[CTRL]+[S].

35
11. Questions

Vous envoyez en tant que (mandataire pour un) employeur affili

lONSS.

Le centre de contact peut vous fournir de laide et des informations lors de louverture de
votre canal SFTP.

Accessible au:
( 02/545.50.78
: batch@eranova.fgov.be

Heures d'ouverture :
De lundi jusqu'au vendredi, sauf les jours fris
Ouvert de 7h 20h

Vous envoyez en tant que (mandataire pour un) employeur affili

lONSSAPL.

Votre gestionnaire de dossier lONSSAPL peut vous fournir de laide et des informations
lors de louverture de votre canal SFTP. Vous pouvez galement vous adresser au:

( 02/239.14.07
: dmfappl@onssapl.fgov.be

36