Echec signature serveur avec Docaposte FAST

[cna-ufc]

Bonjour,

Nous souhaitons utiliser la signature serveur pour la dernière signature de notre circuit esup-stage (rôle de "viseur établissement", soit la signature de l'université).

Nous avons effectué des tests pour ce type de signature (conventions ou avenants) en paramétrant :

• Côté Esup-Stage : 4 signatures en mode OTP + dernière signature en mode signature serveur,

• Côté interface d'administration du parapheur FAST : même circuit.

N'ayant pas à ce jour de certificat cachet pour une signature serveur au nom de l'université, nous avons paramétré cette signature serveur pour qu'elle se fasse par le certificat cachet serveur FAST accessible "par défaut" dans l'interface d'administration du parapheur.

Un message d'erreur "Une erreur technique est survenue" s'affiche à l'envoi pour la signature électronique.

Voici l'erreur relevée dans le log (issu de la commande journalctl -u tomcat.service) :

Log-Erreur_Esup-Stage_Docaposte.txt

La convention est bien transmise à Docaposte mais d'après le document de preuve, les 4 adresses mails de signature OTP ne sont pas transmises/renseignées.

Le journal d'évènements du parapheur ne comporte que la première étape (document préparé). Par exemple, pour une tentative de signature d'un avenant :

Étant en phase de test, nous avons positionné dans estage.properties les paramètres appli.mailer.delivery_address pour renvoyer tous les mails à une adresse unique, ainsi que appli.mailer.disable_delivery à false.

Ce dernier paramétrage avait bien fonctionné lorsque les 5 signatures était en OTP : le parapheur envoyait bien toutes les invitations à signer à l'adresse mail unique précisée (que l'on retrouvait pour chaque signataire dans le document de preuve accompagnant la convention signée).

En vous remerciant de l'aide que vous pourrez nous apporter,

Bien cordialement,

Cédric Nachon (Université de Franche-Comté)

[csylvanie]

Chez nous cela fonctionne bien avec le viseur en signature serveur. Nous avons d'ailleurs officialisé la généralisation de la signature électronique des conventions de stage cette semaine via Fast. Si la convention arrive dans Docaposte alors on peut écarter l'anomalie dans ESUP-Stage. Le problème doit certainement venir du paramétrage du circuit de signature. Autre point à vérifier : sur quelle version de ESUP-Stage êtes vous ? Il faut privilégier la 2.1.6 qui emmène une amélioration concernant la signature du viseur. Le lien vers la release est ici : https://github.com/EsupPortail/esup-stage/releases.

Dans mon établissement, nous avons le paramétrage suivant dans ESUP-Stage :

[cna-ufc]

Merci Claude pour ce retour. J'avais effectivement oublié de préciser que nous sommes sur la version 2.1.6. Penses-tu néanmoins que cela puisse être lié à la configuration du trustore ? Car je n'ai pas utilisé la même démarche que dans la documentation, mais comme ça fonctionne bien pour les OTP, j'hésitais à revenir sur cette configuration.

[csylvanie]

Si ça fonctionne bien pour les 5 signatures OTP alors cela devrait fonctionner pour la signature serveur mais comme nous ne sommes pas sur la même base procédure de déploiement du truststore c'est difficile à dire. Il faut aussi vérifier que tout est ok côté circuit dans Fast. Le log n'est pas complet et ne nous permet pas de voir l'historique des évènements avec la survenue de l'anomalie. Peux tu nous en adresser un complet stp ?

[cna-ufc]

Nous avons effectué des modifications afin que la procédure de déploiement du trustore soit plus proche de celle préconisée (fichier JKS créé a partir du cacerts auquel on a ajouté une entrée 'parapheur' en important le certificat de l'API de production de Docaposte FAST). Les variables d'environnement 'CATALINA_OPTS' sont bien prises en compte lors du lancement.

Mais nous obtenons lors de l'envoi d'une convention ou d'un avenant à la signature la même erreur :

Le log catalina.out signale une erreur serveur du côté de Docaposte sans préciser plus d'informations. Les lignes précédentes du log concernent la validation de l'avenant et les suivantes le batch de vérification de l'état des signatures lancé à 1h00 du matin, je ne les ai donc pas toutes inclues.

catalina.out.txt localhost_access_log.2024-04-03.txt

Côté parapheur, voici notre configuration (nous utilisons pour les tests le certificat cachet serveur de FAST) :

(utilisateur "connecteur" auquel je me suis ajouté avec le profil "consultation")

[csylvanie]

Bonjour,

Dans votre circuit, il manque les métadonnées. Ci-dessous un exemple de circuit paramétré dans mon établissement.

Cordialement

Claude SYLVANIE Chef de projets Numérique DNum - SIPAM Tel. : 01 44 05 42 69 | Mobile : 06 24 80 54 75 Bureau D113

[Université Dauphine | PSL]http://www.dauphine.fr/fr/index.html

Place du Mal de Lattre de Tassigny 75775 Paris cedex 16 www.dauphine.psl.euhttp://www.dauphine.fr/fr/index.html

[fb]https://www.facebook.com/Universite.Paris.Dauphine/ [tw] https://twitter.com/Paris_Dauphine [yt] https://www.youtube.com/user/univparisdauphine https://www.linkedin.com/company/universite-paris-dauphine/ [li] https://www.linkedin.com/company/universite-paris-dauphine/ [in] https://www.instagram.com/univdauphine/

---

De : cna-ufc @.> Envoyé : jeudi 4 avril 2024 15:56 À : EsupPortail/esup-stage @.> Cc : CLAUDE SYLVANIE @.>; Comment @.> Objet : Re: [EsupPortail/esup-stage] Echec signature serveur avec Docaposte FAST (Issue #127)

Nous avons effectué des modifications afin que la procédure de déploiement du trustore soit plus proche de celle préconisée (fichier JKS créé a partir du cacerts auquel on a ajouté une entrée 'parapheur' en important le certificat de l'API de production de Docaposte FAST). Les variables d'environnement 'CATALINA_OPTS' sont bien prises en compte lors du lancement.

Mais nous obtenons lors de l'envoi d'une convention ou d'un avenant à la signature la même erreur :

image.png (view on web)https://github.com/EsupPortail/esup-stage/assets/162602973/e5cbae4c-5e5b-46a8-a6b6-ea5a87eef71a

Le log catalina.out signale une erreur serveur du côté de Docaposte sans préciser plus d'informations. Les lignes précédentes du log concernent la validation de l'avenant et les suivantes le batch de vérification de l'état des signatures lancé à 1h00 du matin, je ne les ai donc pas toutes inclues.

catalina.out.txthttps://github.com/EsupPortail/esup-stage/files/14871671/catalina.out.txt localhost_access_log.2024-04-03.txthttps://github.com/EsupPortail/esup-stage/files/14871672/localhost_access_log.2024-04-03.txt

Côté parapheur, voici notre configuration (nous utilisons pour les tests le certificat cachet serveur de FAST) :

image.png (view on web)https://github.com/EsupPortail/esup-stage/assets/162602973/383d7046-81fc-4b97-8372-bb15d7f5e153

image.png (view on web)https://github.com/EsupPortail/esup-stage/assets/162602973/7129436a-f8f1-486b-8008-b2011de843ad

image.png (view on web)https://github.com/EsupPortail/esup-stage/assets/162602973/ff8e189f-8db9-45e2-b194-9f7c2c109476

image.png (view on web)https://github.com/EsupPortail/esup-stage/assets/162602973/4e376f51-5376-49ff-b863-188a446038da

(utilisateur "connecteur" auquel je me suis ajouté avec le profil "consultation")

— Reply to this email directly, view it on GitHubhttps://github.com/EsupPortail/esup-stage/issues/127#issuecomment-2037290170, or unsubscribehttps://github.com/notifications/unsubscribe-auth/A6JTARAK3A4VDSCAXO37O6DY3VLZFAVCNFSM6AAAAABEWKL5VCVHI2DSMVQWIX3LMV43OSLTON2WKQ3PNVWWK3TUHMZDAMZXGI4TAMJXGA. You are receiving this because you commented.Message ID: @.***>

[cna-ufc]

Bonjour Claude,

J'ai ajouté l'étape métadonnées, mais j'ai encore le même message d'erreur. Peut-être faut-il préciser les caractéristiques de celles-ci ? :

Si oui, pourriez-vous m'envoyer si possible une capture d'écran de ce paramétrage pour votre établissement ?

Par avance, merci,

Cordialement,

Cédric.

[csylvanie]

Bonjour,

Je ne suis pas en charge du paramétrage de Docaposte dans mon établissement donc j'arrive à mes limites. Il faudra en dernier recours contacter le support de Docaposte pour le paramétrage du circuit. Néanmoins, je constate que votre copie d'écran ne contient pas de métadonnées. Vous devriez avoir un écran comme ceci :

On peut éventuellement convenir d'une réunion afin d'essayer de débloquer la situation. Si cela vous intéresse, je suis disponible jeudi à l'heure qui vous conviendra (sauf entre 12h et 14h).

[cna-ufc]

Bonjour,

J'ai paramétré les métadonnées du circuit (NOM1, PRENOM1 et ADRESSE EMAIL1) et cela fonctionne ! J'ai vérifié le dossier de preuve : ces paramètres permettent de renseigner (automatiquement) les métadonnées des signatures "serveur" en reprenant a priori le nom, prénom et adresse mail du viseur du centre de gestion. Comme nous ne prévoyons dans notre établissement qu'une seule signature serveur, nous n'avons pas créé de métadonnées NOM2, PRENOM2 et ADRESSE MAIL2.

Merci beaucoup pour votre aide et pour les renseignements apportés, ainsi que pour votre proposition de réunion.