MANUEL D’UTI LI SATEUR

Met t re en place un canal SFTP

Version 11
 Table des m at ières

1 . Qu ’e st - ce qu e SFTP? ............................................................. 3

2 . Ch oisir vot r e ce r t ifica t digit a l qu a lifié .................................. 4

3 . Vot r e con n e x ion in t e r n e t ...................................................... 6

4 . Ch oisir vot r e clie n t SFTP. ..................................................... 6

5 . Cr é e r vot r e pa ir e de clé s ...................................................... 7

6 . Cr é e r vot r e ca n a l SFTP su r le por t a il .................................. 1 0

7 . Pa r a m é t r e r vot r e clie n t SFTP.............................................. 1 7

8 . Fich ie r s............................................................................... 1 9
8.1 St ruct ure du nom des fichiers: ............................................. 19
8.2 Le fichier de déclarat ion ( FI ) : .............................................. 22
8.3 Le fichier de signat ure ( FS) ................................................. 23
8.4 Le fichier GO ..................................................................... 24
8.5 Le fichier TD ...................................................................... 24

9 . Tr a n sfé r e r vos fich ie r s ....................................................... 2 5

1 0 . An n e x e : Gé n é r e r u n fich ie r de sign a t u r e a ve c Ope n SSL ... 2 9

1 1 . Qu e st ion s ......................................................................... 3 6

2
1. Qu’est - ce que SFTP?

SFTP signifie SSH File Transfer Prot ocol ou Secure File Transfer Prot ocol.

Com m e l’indique la prem ière définit ion, SFTP fait part ie de SSH ou Secure Shell. I l s’agit
d’un rem plaçant sûr pour l’ét ablissem ent d’une session de t erm inal sur des m achines
UNI X. SFTP est le com posant de ce prot ocole SSH qui assure le t ransfert de fichiers.

Un client SFTP se com port e com m e un client FTP classique, où vous avez une vue sur les
répert oires et les fichiers, et où vous pouvez déposer, ext raire… des fichiers avec les
m êm es com m andes que FTP.

Cont rairem ent à FTP, les ordinat eurs Windows ne disposent pas d’un client st andard.
Vous devez donc pour cela inst aller du soft w a r e su pplé m e n t a ir e . I l exist e des
client s soft ware SFTP grat uit s et payant s. Les syst èm es Linux proposent des
packages st andard d’une im plém ent at ion open source de SSH ( OpenSSH) .

SFTP est t out efois un t out aut re prot ocole que FTP. I l est en effet prot égé à l’aide de
t e ch n iqu e s cr ypt ogr a ph iqu e s, ce qui signifie que t out le t rafic ent re un client et
un serveur est ent ièrem ent chiffré, depuis le processus d’ident ificat ion j usqu’à l’envoi
de fichiers. Ét ant donné cet t e prot ect ion, SFTP convient t rès bien à l’échange
sé cu r isé de fichiers sur l’in t e r n e t .

I l exist e plusieurs condit ions pour s’ident ifier com m e ut ilisat eur via SFTP.
Bien ent endu, on dispose t ouj ours d’un n om d’u t ilisa t e u r .
À côt é de cela, une paire de clés élect roniques rem place le m ot de passe au sens
classique du t erm e. Cet t e paire de clés com port e u n e clé pr ivé e e t u n e clé
pu bliqu e . La clé privée rest e chez celui qui l’a créée et sera de préférence encore
prot égée par un m ot de passe addit ionnel. La clé publique peut êt re envoyée à t out e
part ie adverse qui souhait e ident ifier le dét ent eur de la clé privée.

Ce syst èm e ressem ble ét roit em ent au syst èm e X.509 ( com m e celui de la cart e
d’ident it é élect ronique) qui ut ilise des clés privées et des cert ificat s. Les principes
sous- j acent s sont ident iques, m ais SFTP ut ilise rarem ent des cert ificat s. SFTP
possède donc son propre form at de clés. Ces clés ne peuvent pas êt re achet ées
com m e un cert ificat , il faut les gé n é r e r soi- m ê m e . La m aj orit é des client s SFTP
disposent d’une fonct ion pour générer cet t e paire de clés.

Tout com m e le client , chaque se r ve u r SFTP dispose égalem ent d’une paire de clés.
Lors de l’ét ablissem ent d’une connexion avec un serveur, celui- ci t ransm et t ra sa clé
publique ( égalem ent appelée host key) au client . C’est alors à l’ut ilisat eur final qu’il
appart ient d’accept er cet t e clé. À part ir de ce point , la connexion sécurisée peut êt re
ét ablie et l’ut ilisat eur peut s’ident ifier.

L’aut hent ificat ion sur le serveur SFTP se fait via le nom d’ut ilisat eur et la clé
publique.

3
2. Choisir vot re cert ificat digit al qualifié
Chaque fichier de déclarat ion que vous envoyez par SFTP doit êt re accom pagné d’un
fichier de signat ure. Pour générer ce fichier de signat ure vous avez besoin d’un cert ificat
digit al qualifié.

Plusieurs choix s’offrent à vous :

1. Le cert ificat de sign a t u r e de vot re cart e d’ident it é élect ronique ( eI D)

( ht t p: / / eid.belgium .be/ fr / )

2. Un cert ificat digit al qualifié de l’un des prest at aires de services de cert ificat ion
suivant s :
a. GlobalSign : PersonalSign 3 pro
( ht t p: / / www.globalsign.eu/ aut hent icat ion- secure- em ail/ digit al- id/ personalsign- 3-
pro)
b. Cert ipost : Cert ificat Qualifié sur CD- ROM
( ht t ps: / / www.cert ipost .be/ webshop/ index.php?language= fr&cPat h= 41_46)

Com m e la procédure de dem ande auprès d’un prest at aire de services de cert ificat ion peut
prendre plusieurs j ours, nous vous recom m andons de vous y prendre bien à l’avance.

Ce cert ificat digit al qualifié sera ut ilisé pour 2 act ions :

• Vous devrez charger la clé publique de vot re cert ificat digit al qualifié ( port ant
l’ext ension .cer) lors de la créat ion de vot re canal SFTP sur le sit e port ail de la
sécurit é sociale ( www.securit esociale.be) .

• Sur la base de vot re cert ificat qualifié ( ext ension .pfx ou .p12) et pour chaque
fichier de déclarat ion ( FI ) , vous devrez créer un fichier de signat ure ( FS) que vous
placerez sur le serveur SFTP avec le fichier de déclarat ion.

Re m a r que s im por t a nt e s sur le choix de vot r e ce r t ifica t

I l est im port ant , lors du choix d’un cert ificat digit al qualifié, de t enir com pt e de la m anière
dont vous com pt ez créer vos fichiers de signat ure ( FS) :

Vous pouvez créer vous- m êm e vot re fichier de signat ure, en ut ilisant par exem ple
OpenSSL, ou ut iliser des program m es que des product eurs de logiciels ou vous- m êm e
auraient développé.

Pr océ du r e Ope n SSL :

Si vous souhait ez créer le fichier de signat ure par le biais de OpenSSL, il est im port ant de
dem ander un cert ificat à vot re prest at aire de services de cert ificat ion, à part ir duquel
vous pourrez ensuit e export er la clé privée. Ceci pose problèm e pour les cert ificat s
figurant sur des cart es à puce ou des clés USB.
En effet , la procédure décrit e dans la part ie 10 Annexe : Générer un fichier de signat ure
( FS) via OPENSSL ne convient PAS aux cert ificat s qui se t rouvent sur une cart e d’ident it é
élect ronique ( eI D) ou sur une cart e I sabel. Dans la prat ique, la procédure ne peut êt re
ut ilisée que pour des cert ificat s ém is par Globalsign et Cert ipost .

4
Appose r sa sign a t u r e a ve c la ca r t e d’ide n t it é é le ct r on iqu e ( e I D ) :

Si vous voulez créer un fichier de signat ure avec l’eI D, vous pouvez ut iliser l’applicat ion
Be lgia n e I D Sign e r ou une procédure avec Cr ypt on it . Vous t rouverez l’applicat ion
Belgian eI D Signer et la procédure avec Crypt onit dans la bibliot hèque de docum ent s
com plém ent aires ( ht t ps: / / www.socialsecurit y.be/ public/ doclibrary/ fr/ bat ch.ht m ) . Vous
pouvez bien ent endu développer vous- m êm e les program m es nécessaires ou faire appel
à des logiciels disponibles sur le m arché.

Le s pr océ du r e s a ve c l’a pplica t ion Be lgia n e I D Sign e r e t a ve c Cr y pt on it e x ige nt la

pr é se n ce du t it u la ir e de l’e I D . Pour chaque fichier de signat ure, l’eI D devra êt re
insérée dans le lect eur de cart e et le t it ulaire de l’eI D devra saisir son code PI N. Par
conséquent , si le t it ulaire de l’eI D est absent et que vous devez créer un fichier de
signat ure pour l’envoi d’un m essage st ruct uré, vous devrez ut iliser une aut re eI D. Avant
l’envoi, vot re gest ionnaire local ou co- gest ionnaire local devra alors charger la clé
publique de l’aut re eI D dans les param èt res de vot re canal sur le sit e port ail.

Appose r sa sign a t u r e a ve c la ca r t e I sa be l :

Const ruire un fichier de signat ure sur base d’une cart e I sabel n ’e st pa s possible parce
que la clé privée ne peut pas êt re export é. Nous ne som m es donc pas en m esure de vous
fournir un m anuel ou une t echnique pour le faire. Le helpdesk de chez I sabel ne sait pas
vous aider non plus.

5
3. Vot re connexion int ernet
Pour t ransférer rapidem ent et correct em ent des fichiers via SFTP, il est prim ordial de
disposer d’une connexion int ernet de qualit é.
Vous avez donc t out int érêt à vérifier depuis quel PC ou serveur le t ransfert s’effect ue le
m ieux. Évit ez le chargem ent via une connexion int ernet sans fil. En effet , de pet it es
pert urbat ions dans le réseau sans fil peuvent rom pre le t ransfert de fichiers.

Cont rôlez égalem ent les param èt res de vot re pare- feu. Ce dernier doit aut oriser le t rafic
SFTP vers le port 8022.

Veillez aussi à disposer d’une bande passant e suffisant e durant le t ransfert . D’aut res
processus en cours peuvent occuper la bande passant e nécessaire au bon t ransfert via
SFTP.

4. Choisir vot re client SFTP.

Pour pouvoir com m uniquer avec not re serveur SFTP, vous avez besoin d’un client SFTP.

Vou s t r a va ille z a ve c W in dow s:

Les ordinat eurs Windows ne disposent pas d’un client SFTP st andard.
Vous pouvez ut iliser un m ot eur de recherche et effect uer une recherche sur ‘SFTP Client '.
Vous t rouverez, parm i les résult at s, des client s soft ware SFTP grat uit s et payant s.
Cert ains client s SFTP fonct ionnent de m anière m anuelle, d’aut res peuvent êt re
aut om at isés.
Vous êt es libre de choisir le client qui correspond le plus à vos besoins.

Vou s t r a va ille z a ve c Lin u x :

Les syst èm es Linux proposent des packages st andards d’une im plém ent at ion open source
de SSH ( OpenSSH) .

Vou s t r a va ille z a ve c Apple :

I l exist e égalem ent plusieurs client s SFTP pour Apple. Vous pouvez les t rouver par un
m ot eur de recherche et effect uer une recherche sur ‘SFTP & Apple' ou sur le sit e
www.apple.com .

Docum ent at ion:

À t it re inform at if, vous t rouverez dans la bibliot hèque t echnique

( ht t ps: / / www.socialsecurit y.be/ public/ doclibrary/ fr/ bat ch.ht m ) de la docum ent at ion sur
les client s SFTP m anuels ( Filezilla, WinSCP, Bit vise Tunnelier) que nous avons nous-
m êm es t est és.

6
5. Créer vot re paire de clés

Pour effect uer un envoi via SFTP, vous avez besoin d’une paire de clés SSH. Vous devez
la créer vous- m êm e.
Dans cert ains client s SFTP est com pris un générat eur de clé.
Si le client que vous avez choisi ne dispose pas d’un générat eur de clé, vous devrez créer
les clés via un aut re générat eur de clés que vous pouvez t rouver facilem ent via une
recherche sur int ernet . Le program m e Put t y Key Generat or fonct ionne t rès bien. Vous
pouvez le ret rouver en ut ilisant « put t ygen » dans un m ot eur de recherche.

Vot re clé publique doit êt re chargée lors de l’ouvert ure du canal SFTP sur le port ail de la
sécurit é sociale.
Vot re clé privée doit êt re chargée dans le client SFTP que vous ut ilisez. Veuillez pour
cet t e act ion consult er la docum ent at ion de vot re client SFTP. I l est conseillé de prot éger
vot re clé privée avec un m ot de passe.

Spé cifica t ion s:

For m a t
Une dist inct ion est fait e ent re les clés qui sont com pat ibles avec la version 1 de SSH et
celles qui sont com pat ibles avec la version 2. La version 1 est considérée com m e peu
sûre et ne sera pas accept ée.

En plus il y a différent s form at s pour les clés publiques. Les plus courant s sont ceux du
logiciel OpenSSH et SSH. ( La m ise en applicat ion com m erciale de SSH- prot ocol) .
Pour les clés publiques, les form at s de OpenSSH et de SSH seront sout enus uniquem ent .

L'a lgor it h m e & la lon gu e u r

Lors de la générat ion des clés, vous devez faire at t ent ion au fait d’avoir choisi le t ype et
la longueur correct e.
I l y a deux t ypes possibles ( RSA et DSA) dont seuls les RSA seront accept és.
Com m e longueur de clé, choisissez 2048 ou plus ( 3072, 4096) . Les clés plus court es ne
seront pas accept ées.
Nous vous invit ons à prot éger vot re clé privée par un m ot de passe lorsque vous la
sauvez sur vot re m achine.

Br e f r é su m é :

Les clés com pat ibles avec SSH v2

Les form at s OpenSSH et SSH sont accept és
Type de clé : SSH2- RSA
Longueur de clé : de 2048 à 4096 bit s.

7
Exem ple : créat ion des clés avec Put t y Key Generat or

1. Choisissez type‘SSH-2 RSA’

2. Déterminez la longueur de la
clé

3. Cliquez sur ‘Generate’

Bougez avec la souris

dans la zone grise

8
Sauvez les deux clés sur votre PC

I l est conseillé de sauvegarder la clé privée avec un m ot de passe. ( Key passphrase)

Cert ains client s SFTP n'adm et t ent t out efois pas de fonct ionner avec une clé privée qui est
prot égée avec un m ot de passe.

Si vous avez créé vot re clé avec vot re client SFTP, référez- vous à la docum ent at ion de
celui- ci.

9
6. Créer vot re canal SFTP sur le port ail de la sécurit é sociale

I l n’y a que le gest ionnaire local et le co- gest ionnaire local de la qualit é qui peuvent
ouvrir un canal.

Ci- dessous, vous t rouvez les différent es ét apes que vous devez parcourir pour ouvrir
vot re canal SFTP. Si vous disposez déj à d’un canal d’expédit ion pour la qualit é ou si vous
avez eu pour la qualit é un canal I sabel dans le passé vous ne devez pas parcourir
cert ains ét apes.

Cliquez sur ‘M e ssa ge s st r u ct u r é s ’

10
 Cliquez sur ‘En r e gist r e m e n t de s
don n é e s de con figu r a t ion ’( * )

( * ) Si un canal d’envoi exist e déj à pour la qualit é, cliquez sur l’icône à côt é de
SFTP dans la part ie droit e de vot re écran sous « Messages st ruct urés ».

Vu qu’il exist e alors déj à un ut ilisat eur t echnique, vous ne verrez pas les deux écrans
suivant s.

11
Cliquez sur ‘Su iva n t ’

I nt roduisez les données de vot re personne de

cont act t echnique et cliquez sur ‘Su iva n t ’

12
 Chargez ici votre clé publique SSH

Chargez ici la clé publique ( .cer) de

vot re cert ificat digit al ( * )

Sélect ionnez les applicat ions pour

lesquelles vous souhait ez envoyer par
le canal SFTP. ( * * )

( * ) Si vous opt ez pour l’ut ilisat ion de vot re cart e d’ident it é élect ronique ( eI D) , vous
devez charger ici le cert ificat de sign a t u r e de vot re eI D.

( * * ) Si vous disposez déj à d’un canal d’envoi ( FTP ou MQLink) pour la qualit é et que
vous choisissez les m êm es applicat ions pour vot re canal SFTP, vous devrez indiquer
un canal de préférence par applicat ion.

13
 Choisissez un nom d’ut ilisat eur t echnique ( * )

Cliquez sur ‘Su iva n t ’

Ca r a ct é r ist iqu e s d'u n n om d'u t ilisa t e u r t e ch n iqu e :

• Minim um 8 – m axim um 20 caract ères

• Les chiffres ( 0- 9) et les let t res de l'alphabet ( a- z) sont adm is uniquem ent
• Pas d’espaces
• Une fois créé, il n’y a plus m oyen de le m odifier
• Ne dois pas exist er dans le syst èm e web de la sécurit é sociale

( * ) Si vous disposez déj à d’un canal FTP ou si vous avez créé un canal MQLink avec
dial- up, vous ne verrez pas cet écran et ne devrez donc pas choisir de nom
d’ut ilisat eur t echnique vu que le nom d’ut ilisat eur t echnique choisi pour FTP et / ou
MQLink rest e d’applicat ion pour SFTP.

14
 Cliquez sur ‘Con fir m e r ’

15
 Vous avez besoin de vot re
num éro d’expédit eur ( * ) dans
le nom de vos fichiers et vous
avez besoin de vot re nom
d’ut ilisat eur pour vous
ident ifier sur le serveur SFTP.

( * ) Si vous disposez déj à d’un canal d’envoi ( FTP ou MQLink) pour la qualit é ou si
vous avez déj à eu un canal I sabel dans le passé, vous conserverez t ouj ours le
num éro d’expédit eur que vous aviez déj à.

16
7. Param ét rer vot re client SFTP
Pour faire la liaison ent re le serveur SFTP de la sécurit é sociale ( host ) vous devez
int roduire les données ci- dessous dans vot re client SFTP ( * ) .

• Le nom du host est : ‘sft p.socia lse cu r it y.be ’

• Le num éro de port e est : ‘8 0 2 2 ’. ( At t ent ion : il est possible que vous ayez à
adapt er vot re pare- feu ( firewall) pour perm et t re le t rafic vers cet t e port e) .
• Le n om d’u t ilisa t e u r ( com m ence par EX P) que vous avez choisi lors de la
créat ion de vot re canal SFTP sur le port ail de la sécurit é sociale. ( Si vous aviez
déj à par le passé un nom d’ut ilisat eur t echnique, il est possible que celui- ci
com m ence par UM ) .
• Chargez la clé privée, que vous avez créée dans le générat eur de clé, dans vot re
client SFTP.
• Lors de la prem ière connexion vous devez a cce pt e r la clé publique ( égalem ent
appelée host - k e y) du serveur SFTP de la sécurit é sociale
• Si vous avez prot égé vot re clé pr ivé e par un m ot de pa sse , le client SFTP va le
dem ander.

( * ) Pour inst aller vot re client SFTP, référez- vous à la docum ent at ion de celui- ci. À t it re
inform at if, vous t rouverez dans la bibliot hèque t echnique
( ht t ps: / / www.socialsecurit y.be/ public/ doclibrary/ fr/ bat ch.ht m ) de la docum ent at ion sur
les client s SFTP m anuels ( Filezilla, WinSCP, Bit vise Tunnelier) que nous avons nous-
m êm es t est és.

Exem ple:

17
Accept ez une fois la clé publique ( host key) du serveur SFTP de la sécurit é sociale. I l
s’agit de la clé publique du serveur : ssh- rsa 4096
9c: de: 2d: 42: b4: 2e: 2a: 3b: b9: 85: 0d: 79: 98: 66: d9: 3f

Si vous avez prot égé vot re clé privée par un m ot de passe, on vous dem ande de
l’inscrire.

Ensuit e, vous êt es enregist ré. Vous voyez à gauche les répert oires de vot re pc et à
droit e, les répert oires du serveur SFTP de la sécurit é sociale.

18
8. Fichiers
Une différence avec l’envoi via le canal I sabel, est que dans l’environnem ent de
product ion pour SFTP ( com m e c’est le cas pour FTP, MQlink et Webservice MTOM) , à côt é
de vot re fichier de déclarat ion ( FI ) , vous devez aj out er un fichier GO et un fichier de
signat ure ( FS) et les placer sur le serveur.

Le fichier de signat ure n’est pas exigé dans l’environnem ent de sim ulat ion m ais le fichier
GO, lui, est obligat oire.

8 .1 St r u ct u r e du n om de s fich ie r s:

Pour les m essages st ruct urés, les nom s de fichiers ont la st ruct ure suivant e :

FI .XXXX.123456.20120213.00001.R.1.1
FS.XXXX.123456.20120213.00001.R.1.1
GO.XXXX.123456.20120213.00001.R.1
( TD.XXXX.123456.20120213.00001.R.1)

Pr e m iè r e pa r t ie du n om :
FI Le fichier de déclarat ion
FS Le fichier de signat ure
GO Le fichier vide qui lance le t rait em ent
TD Le fichier vide qui annule le t rait em ent

D e u x iè m e pa r t ie du n om :
XXXX : Le deuxièm e élém ent du nom du fichier décrit le cont enu du fichier.

AOAT: pour une déclarat ion DRS “ Accident s du t ravail”

DI MN: pour une déclarat ion Dim ona
DMFA: pour une déclarat ion originale Dm fA
DMRQ: pour une consult at ion ( Request ) Dm fA
DMWA: pour une m odificat ion de Dm fA
DUCN: pour une déclarat ion unique de chant ier ( DUC)
PFRQ: pour une consult at ion du fichier du personnel
TWCT: pour une déclarat ion de Chôm age Tem poraire
VBLV: pour une déclarat ion “ Livre de validat ion”
WECH: pour une déclarat ion DRS “ Chôm age”
ZI MA: pour une déclarat ion DRS “ I ndem nit és”

Tr oisiè m e pa r t ie du n om :
1 2 3 4 5 6 : I l s'agit du num éro d'expédit eur at t ribué à l'expédit eur lors de la créat ion du
prem ier canal pour sa qualit é.

Qu a t r iè m e pa r t ie du n om :
2 0 1 2 0 2 1 3 : C'est la dat e de créat ion du fichier sous la form e AAAAMMJJ.

Cinqu iè m e pa r t ie du n om :
0 0 0 0 1 : I l s'agit d'un num éro u n iqu e de vot re choix qui indique de m anière unique le
nom du fichier, par dat e de créat ion et par environnem ent .

19
Six iè m e pa r t ie du n om :
I ndique l'environnem ent de t ravail:
«R» Ut ilisé pour la product ion
«T» Ut ilisé pour un t e st ( DRS, DUC, Dim ona, Chôm age Tem poraire) ou un t e st de
cir cu it D m fA
«S» Ut ilisé pour un t e st de dé cla r a t ion D m fA

D iffé r e n ce t e st de dé cla r a t ion ( S) e t t e st de cir cu it ( T) D m fA

Avec la Dm fA, vous pouvez envoyer vos fichiers de t est com m e t est de déclarat ion
( ext ension S et dossier I NTEST- S) ou com m e t est de circuit ( ext ension T et dossier
I NTEST) . Pour t out es les aut res applicat ions, vous pouvez ut iliser uniquem ent l'ext ension
T et le dossier I NTEST pour vos fichiers de t est .

Lors d'un t e st de dé cla r a t ion ( e x t e n sion de fich ie r S) , t ous les cont rôles de récept ion
et t ous les cont rôles de cont enu sont parcourus. I l n'y a pas de cont rôle des données
d'ident ificat ion du/ des t ravailleur( s) . Après un ACRF posit if, vous recevez une not ificat ion,
m ais pas de fichier DMNO ou PI D. Vous placez vos fichiers dans le dossier I N TEST- S et
vous t rouvez le résult at dans le dossier OUTTEST- S. Ét ant donné que la déclarat ion n'est
pas sauvegardée dans l'environnem ent de sim ulat ion, vous pouvez t est er plusieurs fois la
m êm e déclarat ion.

Lors d'un t e st de cir cu it ( e x t e n sion de fich ie r T) , le circuit de cont rôle ent ier est
parcouru com m e dans l'environnem ent de product ion. I l y a un cont rôle des données
d'ident ificat ion du/ des t ravailleur( s) ,m ais pas de cont rôle d'ident ificat ion via Sigedis.
Après un ACRF posit if, vous recevez les fichiers de réponse com m e dans l'environnem ent
de product ion ( not ificat ions, PI D et DMNO) .
Vous placez vos fichiers dans le dossier I N TEST et vous t rouvez le résult at dans le
dossier OUTTEST.
En cas de not ificat ion posit ive, la déclarat ion est sauvegardée dans l'environnem ent de
sim ulat ion. Tout com m e dans l'environnem ent de product ion, le t est de circuit est lim it é à
une déclarat ion accept ée par com binaison num éro ONSS/ t rim est re.

Se pt iè m e pa r t ie du n om :
1 : I ndique le nom bre t ot al de part ie( s)
Une déclarat ion peut êt re com posée de m axim um 9 part ies.
Les déclarat ions DRS et Chôm age Tem poraire ne peuvent pas êt re fract ionnées donc il
n’y a pas de sept ièm e part ie.
Ex : FI .WECH.123456.20120213.00001.R

H u it iè m e pa r t ie du n om :
1 : I ndique le num éro de la part ie.
Les déclarat ions DRS et Chôm age Tem poraire ne peuvent pas êt re fract ionnées donc il
n’y a pas de huit ièm e part ie.
EX : FI .AOAT.123456.20120213.00001.R

20
Ex e m ple s:

• L'expédit eur envoie un m orceau:

FI .DMFA.123456.20120213.00001.R.1.1
FS.DMFA.123456.20120213.00001.R.1.1
GO.DMFA.123456.20120213.00001.R.1

• L'expédit eur envoie deux m orceaux:

FI .DMFA.123456.20120213.00001.R.2.1
FI .DMFA.123456.20120213.00001.R.2.2
FS.DMFA.123456.20120213.00001.R.2.1
FS.DMFA.123456.20120213.00001.R.2.2
GO.DMFA.123456.20120213.00001.R.2

21
8 .2 Le fich ie r de dé cla r a t ion ( FI ) :

Les fichiers de déclarat ion ( FI ) sont ident iques pour t ous les canaux.

St r u ct u r e du n om du fich ie r de dé cla r a t ion

FI .applicat ion.num éro d’expédit eur.dat e.le num éro d’ordre.l'environnem ent de t ravail.le
nom bre de part ies.le num éro de la part ie
Ex : FI .DMFA.123456.20120213.00001.T.1.1

Sur la page de départ de chaque applicat ion sur le port ail de la sécurit é sociale dans la
librairie t echnique, vous t rouvez t out es les inform at ions t echniques ( glossaires, les
schém as, les annexes st ruct urées et les inst ruct ions) pour faire vot re fichier de
déclarat ion.

22
8 .3 Le fich ie r de sign a t u r e ( FS)

• Le fichier de signat ure com prend la signat ure élect ronique sur base de vot re cert ificat
qualifié.

• Vous pouvez ut iliser les cert ificat s digit aux qualifiés suivant :
o GlobalSign : PersonalSign 3 pro
( ht t p: / / www.globalsign.eu/ aut hent icat ion- secure- em ail/ digit al-
id/ personalsign- 3- pro)

o Cert ipost : Cert ificat Qualifié sur CD- ROM

( ht t ps: / / www.cert ipost .be/ webshop/ index.php?language= fr&cPat h= 41_46)

o Le cert ificat de sign a t u r e de la cart e d’ident it é élect ronique

• Vous devez créer le fichier de signat ure avec le cert ificat que vous avez renseigné
pour vot re canal d’expédit ion.

• Vous pouvez créer vot re fichier de signat ure ( FS) vous- m êm e, via par exem ple,
OpenSSL( * ) ou vous pouvez ut iliser un program m e d’une m aison de soft ou le
développer vous- m êm e.

• Pour OpenSSL( * ) , il est im port ant que vot re cert ificat ne se t rouve pas sur une cart e à
puce ou une clé USB pour que vous puissiez export er la clé privée.

• Si vou s vou le z cr é e r u n fich ie r de sign a t u r e a ve c l’e I D , vou s pou ve z u t ilise r

l’a pplica t ion Be lgia n e I D Sign e r ou u n e pr océ du r e a v e c Cr ypt on it .
L’a pplica t ion e t la pr océ du r e se t r ou ve nt da n s la bibliot h è qu e de docu m e n t s
com plé m e n t a ir e s: ( ht t ps: / / www.socialsecurit y.be/ public/ doclibrary/ fr/ bat ch.ht m ) .

• Lorsqu'une déclarat ion ( FI ) est t ransférée en différent es part ies, un fichier de

signat ure ( FS) devra êt re aj out é à chaque part ie du fichier.

• Pour créer vot re fichier de signat ure vous devez ut iliser le cert ificat digit al qualifié
( .pfx ou .p12) dont vous avez chargé la clé publique ( .cer) sur le port ail de la sécurit é
sociale lors de la créat ion de vot re canal SFTP.

• Un fichier de signat ure ( FS) est obligat oire lors d'une déclarat ion dans
l'environnem ent de product ion. Dans l'environnem ent de t est et l'environnem ent
sim ulat ion il n'est pas obligat oire de j oindre un fichier de signat ure ( FS) . Si vous
j oignez un fichier de signat ure ( FS) dans l’environnem ent de t est ou de sim ulat ion, le
fichier sera cont rôlé.

St r u ct u r e du n om du fich ie r de sign a t u r e

FS.applicat ion.num éro d’expédit eur.dat e.le num éro d’ordre.l'environnem ent de t ravail.le
nom bre de part ies.le num éro de la part ie
Ex. FS.DMFA.123456.20120213.00001.T.1.1

( * ) Vous t rouverez les explicat ions concernant la créat ion d’un fichier de signat ure
avec OpenSSL à la fin de ce m anuel au point 10 Annexe: Générer un fichier de
signat ure avec OpenSSL.

23
8 .4 Le fich ie r GO

• Est un fichier vide.

• Est le signal que l’expédit eur a placé ses fichiers et que le t rait em ent de ces
fichiers peut com m encer.

• Doit t ouj ours êt re placé a pr è s les fichiers FI et FS com m e dernier fichier dans le
dossier I N , I N TEST ou I N TEST- S.

• Lors d’une déclarat ion en plusieurs part ies ( FI ) , un seul fichier GO est j oint .

Pour créer un fichier GO, vous devez ouvrir un fichier vide ( par exem ple un fichier t ext e)
et le sauvegarder sous le nom de fichier correct .

St r u ct u r e du n om d’u n fich ie r GO :

GO.applicat ion.num éro d’expédit eur.dat e.num éro de suit e.environnem ent de
t ravail.nom bre de part ies
Exem ple : GO.DMFA.123456.20120213.00001.T.1

8 .5 Le fich ie r TD

• Est un fichier vide.

• Sert à indiquer que les fichiers FI et / ou FS placés ne peuvent pas êt re t rait és

( TD = To Delet e) . Un fichier TD peut donc êt re ut ilisé si les fichiers placés
cont iennent une erreur.

• Doit t ouj ours êt re placé a pr è s les fichiers FI et FS com m e dernier fichier dans le
dossier I N , I N TEST ou I N TEST- S.

• Lors d’une déclarat ion en plusieurs part ies ( FI ) , un seul fichier TD est j oint .

• Après l’envoi du fichier TD, l’expédit eur reçoit à t it re de confirm at ion de la

suppression un fichier ACRF avec Re su lt Code 0 , Er r or I D ACRF- 4 3 0 et la dat e
et l’heure de la suppression sont aj out ées au nom du fichier.
Ex. TD.DMFA.123456.20120213.00001.T.1_ 2 0 1 2 0 2 1 3 _ 1 0 2 7 3 5

Pour créer un fichier TD, vous devez ouvrir un fichier vide ( par exem ple un fichier t ext e)
et le sauvegarder sous le nom de fichier correct .

St r u ct u r e du n om d’u n fich ie r TD :

TD.applicat ion.num éro d’expédit eur.dat e.num éro de suit e.environnem ent de
t ravail.nom bre de part ies
Exem ple : TD.DMFA.123456.20120213.00001.T.1

24
9. Transférer vos fichiers
Ouvrez dans vot re client SFTP le répert oire dans lequel vous souhait ez placer vos fichiers.

• Les fichiers de product ions Dm fA, DRS, Dim ona, Chôm age Tem poraire, Déclarat ion
Unique de Chant ier ( ext ension R) - > dans le répert oire I N
• Test s / fichiers de sim ulat ions DRS, Dim ona, Chôm age Tem poraire, Déclarat ion
Unique de Chant ier et fichiers t est de circuit Dm fA ( ext ension T) - > dans le
répert oire I N TEST
• Les fichiers t est de déclarat ion Dm fA ( ext ension S) - > dans le répert oire I N TEST- S

Dans cet exem ple, nous allons ouvrir le répert oire I NTEST pour déposer nos fichiers

Ensuit e nous glissons les différent s fichiers ( FI , FS et GO) vers le répert oire I NTEST.
Com m e le fich ie r GO lance le t rait em ent t ouj ours le glisser e n de r n ie r dans le
répert oire.

25
Dès que le fich ie r GO est placé, le t rait em ent des fichiers liés dém arre aut om at ique.

26
Dès que les déclarat ions sont t rait ées, vous ret rouvez les réponses ( ACRF, Not ificat ions.)
dans les répert oires respect ifs :

• Les fichiers de product ions Dm fA, DRS, Dim ona, Chôm age Tem poraire,
Déclarat ion Unique de Chant ier ( ext ension R) - > dans le répert oire OUT
• Test s / fichiers de sim ulat ions DRS, Dim ona, Chôm age Tem poraire, Déclarat ion
Unique de Chant ier et fichiers t est de circuit Dm fA ( ext ension T) - > dans le
répert oire OUTTEST
• Les fichiers t est de déclarat ion Dm fA ( ext ension S) - > dans le répert oire
OUTTEST- S

Nous ouvrons le répert oire OUTTEST

• Le récépissé ou ACRF est un m essage qui prouve que nous avons reçu vot re fichier et
que celui- ci répond aux condit ions.

• Un récépissé posit if signifie que vot re fichier peut êt re t rait é. Dans ce cas, vous
recevrez aussi une not ificat ion, plus t ard, dans le m êm e répert oire, avec le résult at du
cont rôle du cont enu de vot re déclarat ion.

27
Nous glissons les ACRF vers not re PC

Une fois que le s fich ie r s on t é t é copié s su r n ot r e or din a t e u r n ou s de vons le s

su ppr im e r su r le se r ve u r SFTP.
Ensuit e, les fichiers peuvent êt re ouvert s et t rait és sur not re ordinat eur m êm e.

Ge st ion de vos r é pe r t oir e s OUT

Pour SFTP, les fichiers de récept ions sont m is à vot re disposit ion dans les répert oires
OUT, OUTTEST ou OUTTEST- S sur not re serveur.
Le bu t e st qu e vou s copie z le s fich ie r s qu i son t su r n ot r e se r ve u r ve r s u n
e n dr oit su r vot r e PC. En su it e , u n e fois copié , vous su ppr im e z le s fich ie r s de s
r é pe r t oir e s OUT su r n ot r e se r ve u r .
Et ant donné que nous devons prévoir de l’espace pour t ous les expédit eurs, nous ne
pouvons pas garder les fichiers à disposit ion de m anière indét erm inée.

28
10. Annexe: Générer un fichier de signat ure avec OpenSSL :
At t e n t ion :

Cet t e procédure ne convient PAS aux cert ificat s qui se t rouvent sur une cart e d’ident it é
élect ronique ( eI D) ou une cart e I sabel. Dans la prat ique, cet t e procédure ne peut êt re
ut ilisée que pour des cert ificat s ém is par Globalsign et Cert ipost .

Pour créer un fichier de signat ure avec OpenSSL il faut d'abord inst aller ce soft ware sur le
PC sur lequel vous allez créer le fichier de signat ure.
Via un m ot eur de recherche, vous pouvez rechercher t rès sim plem ent OpenSSL.

Après l'inst allat ion, le m ieux est que vous fabriquiez un répert oire sur vot re PC dans
lequel vous inst allerez vot re cert ificat ( form at .pfx place ou .p12) et vot re fichier de
déclarat ion ( FI ) .

Nous expliquons ceci à l'aide d'un exem ple :

• C: \ DEMOSI GN : Le répert oire dans lequel se t rouve le fichier de déclarat ion et le

cert ificat
• cert if.pfx: Nom de vot re cert ificat
• ww123 : m ot de passe du cert ificat
• ww789 : m ot de passe que nous choisissons lors de la créat ion de la clé

Nous allons créer un fichier .pem , un fichier .key et un fichier de signat ure ( FS) .
Nous choisissons dans not re exem ple de donner le nom dm fa, au fichier .pem et au
fichier .key. Cet t e dénom inat ion est un libre choix. Vous pouvez choisir le nom vous-
m êm e et m êm e si vous choisissez le nom dm fa vous pouvez l’ut iliser pour signer les
fichiers pour les aut res applicat ions.

29
I l est im port ant de t aper dans DOS les com m andes correct es et les bons liens vers les
répert oires.

1. Ouvrez une fenêt re dos. Allez sur St art et cliquez sur Ru n

2.
3. Tapez cm d et cliquez sur ok

La fenêt re dos s’ouvre

4. Ensuit e vous devez aller vers C- prom pt ( c- à- d une ligne ou vous n’avez que ‘C:\ > ’)
Pour y arriver vous devez t aper plusieurs fois cd.. suivi de la t ouche [ ENTER]

Microsoft Windows XP [ Version 5.1.2600]

( C) Copyright 1985- 2001 Microsoft Corp.

C: \ Docum ent s and Set t ings\ KRM> cd..

C: \ Docum ent s and Set t ings> cd..

C: \ >

5. Ouvrez le répert oire OpenSSL via la com m ande cd ope n ssl puis cliquez sur [ ENTER]

C: \ > cd ope n ssl

30
5. Ouvrez le sous- répert oire bin via la com m ande cd bin puis cliquez sur [ ENTER]

C: \ OpenSSL> cd bin

6. Ouvrez OpenSSL via la com m ande ope n ssl puis cliquez sur [ ENTER]

C: \ OpenSSL\ bin> ope n ssl

Vous obt enez m aint enant :

OpenSSL>

7. Vous pouvez m aint enant créer le fichie r .pe m

Après ce prom pt vous devez int roduire la com m ande pour créer le fichier .pem .
At t ent ion, vous devez ici ut iliser vot re cert ificat form at .pfx ou .p12 et non pas la clé
publique du cert ificat ( .cer) .

Vous int roduisez la com m ande suivant e avec le chem in com plet du répert oire où se
t rouve le cert ificat et le fichier FI à signer :
pk cs1 2 - in Localisat ion de vot re répert oire\ vot re cert ificat - pa ssin pa ss: Mot de passe
de vot re cert ificat - ou t Localisat ion de vot re répert oire\ Nom de vot re fichier.PEM- clce r t s
- n ok e ys puis cliquez sur [ ENTER]

OpenSSL> pk cs1 2 - in C:\ D EM OSI GN \ ce r t if.pfx - pa ssin pa ss:w w 1 2 3 - out

C:\ D EM OSI GN \ dm fa .pe m - clce r t s - n ok e ys

Vot re fichier.pem est créé et placé dans le répert oire où vot re cert ificat et vot re fichier de
déclarat ion sont placés.

OpenSSL> pkcs12 - in C: \ DEMOSI GN\ cert if.pfx - passin pass: ww123 - out
C: \ DEMOSI GN\ dm fa.pem - clcert s –nokeys
M AC ve r ifie d OK

31
8. Vous pouvez m aint enant créer vot re fich ie r .k e y
Vous int roduisez la com m ande suivant e dans le prom pt OpenSSL :
pk cs1 2 - in Localisat ion de vot re répert oire\ vot re cert ificat - pa ssin pa ss:Mot de passe
de vot re cert ificat - pa ssou t pa ss:m ot de passe que vous choisissez pour vot re .KEY - out
Localisat ion de vot re répert oire\ Nom de vot re fichier.KEY puis cliquez sur [ ENTER]

OpenSSL> pk cs1 2 - in C:\ D EM OSI GN \ ce r t if.pfx - pa ssin pa ss:w w 1 2 3 – pa ssou t

pa ss:w w 7 8 9 - ou t C:\ D EM OSI GN \ dm fa .k e y

Vot re fichier.key est créé et placé dans le répert oire où vot re cert ificat , vot re fichier de
déclarat ion et vot re fichier .pem sont placés.

OpenSSL> pkcs12 - in C: \ DEMOSI GN\ cert if.pfx - passin pass: ww123 –passout
pass: ww789 - out C: \ DEMOSI GN\ dm fa.key
M AC ve r ifie d OK

Chaque fois que vous voulez envoyer un fichier FI , vous devez créer sur base du fichier FI
avec les fichiers .pem et .key un fichier FS.
Vous pouvez ut iliser les fichiers .pem et .key pendant t out e la validit é du cert ificat ( voir
Expirat ion Dat e de vot re cert ificat ) . Une fois que vot re cert ificat est périm é, vous devez
charger un nouveau cert ificat pour le canal et vous devez créer des nouveaux fichiers
.pem et .key.

32
9. Vous pouvez m aint enant créer vot re fichie r de sign a t u r e

Le fichier FS peut êt re créé en int roduisant les com m andes suivant es dans le prom pt
OpenSSL :
sm im e - sign - in Localisat ion de vot re répert oire\ Nom du fichier FI - sign e r Localisat ion
de vot re répert oire\ Nom de vot re fichier .PEM - ink e y Localisat ion de vot re
répert oire\ Nom de vot re fichier.KEY - pa ssin pa ss: Mot de passe que vous avez choisi
pour le .KEY - ou t for m PEM - out Localisat ion de vot re répert oire\ Nom du fichier FS puis
cliquez sur [ ENTER]

OpenSSL> sm im e - sign - in
C:\ D EM OSI GN \ FI .D M FA.1 2 3 4 5 6 .2 0 1 2 0 2 1 3 .0 0 0 0 1 .T.1 .1 - sign e r
C:\ D EM OSI GN \ dm fa .pe m - in k e y C:\ D EM OSI GN \ dm fa .k e y - pa ssin pa ss:w w 7 8 9 -
ou t for m PEM - ou t C:\ D EM OSI GN \ FS.D M FA.1 2 3 4 5 6 .2 0 1 2 0 2 1 3 .0 0 0 0 1 .T.1 .1

Vot re fichier FS est créé dans le répert oire avec vot re cert ificat et vot re fichier de
déclarat ion.

At t e n t ion : dès que vous avez créé vot re fichier FS vous ne pouvez plus changer vot re
fichier FI . Si vous m odifiez encore vot re fichier FI vous devez recréer un nouveau fichier
FS.

33
10. Les adapt at ions m anuelles de vot re fichier FS

Avant d’envoyer vot re fichier, il y a encore quelques adapt at ions m anuelles à faire dans le
fichier FS.
Vous ouvrez le fichier FS avec un édit eur de t ext e com m e Text pad ou Not epad.
Vous suppr im ez la prem ière ligne ( - - - - - DÉBUT PKCS7- - - - - ) ainsi que la dernière ligne ( - -
- - - END PKCS7- - - - - ) .
At t ent ion : le fichier FS ne peut pas cont enir de lignes vierges à la fin du t ext e
( supprim ez évent uellem ent le ret our chariot ) .

34
Voici le résult at de vot re fichier FS

Après ces adapt at ions, sauvegardez le fichier FS avec la com binaison suivant e
[ CTRL] + [ S] .

35
11. Quest ions

Vous e nvoye z e n t a nt que ( m a nda t a ir e pour un) e m ploye ur a ffilié à

l’ON SS.

Le cent re de cont act peut vous fournir de l’aide et des inform at ions lors de l’ouvert ure de
vot re canal SFTP.

Acce ssible a u :
( 02/ 545.50.78
: bat ch@eranova.fgov.be

H e u r e s d'ou ve r t u r e :
• D e lu n di j u squ 'a u ve n dr e di, sa u f le s j ou r s fé r ié s
• Ou ve r t de 7 h à 2 0 h

Vous e nvoye z e n t a nt que ( m a nda t a ir e pour un) e m ploye ur a ffilié à

l’ON SSAPL.

Vot re gest ionnaire de dossier à l’ONSSAPL peut vous fournir de l’aide et des inform at ions
lors de l’ouvert ure de vot re canal SFTP. Vous pouvez égalem ent vous adresser au:

( 02/ 239.14.07
: dm fappl@onssapl.fgov.be

36