Skip to main content

Sécuriser votre installation avec HTTPS

image-1664286931939.png

Par défaut, votre installation d'Open-Prod 10 est disponible sur le port 8069 (8068 pour Open-Prod 9). Si votre installation est prévue pour un accès public, ou pour être déployée dans un environnement sensible, il est fortement recommandé de sécuriser son accès web avec le protocole HTTPS (HTTP + TLS/SSL). C'est ce protocole qui vous permet de garantir des échanges de données sécurisés entre les utilisateurs et votre serveur, en les chiffrant via un échange de clés et des informations de certificat. De cette manière les données échangées ne peuvent être ni lues, ni altérées par un tiers pendant leur transit sur le réseau.

Si vous souhaitez utiliser Open-Prod sur un terminal mobile (Zebra, Android, iOS, etc.) en version PWA (Progressiv Web Apps), l'utilisation d'HTTPS est obligatoire.

 
Rappel :

L'utilisation d'HTTPS repose sur l'échange d'un certificat entre le serveur et le client. Ce certificat contient notamment une clé publique et des informations sur l’identité du serveur, afin de garantir son authenticité. Chaque certificat doit être signé par une autorité de certification, qui peut être votre serveur, un serveur de votre infrastructure (AD CS), ou une entité externe comme Let's Encrypt, Sectigo, Digicert, etc. Il existe donc deux grands types de certificats :

  1. Auto-signés : Vous signez le certificat par une entité interne de confiance (déployé par défaut par 1Life)
  2. Signés : Vous signez le certificat par une entité externe de confiance

 

1. Certificats auto-signés

Un certificat auto-signé est gratuit. Aucune étape intermédiaire est nécessaire pour qu'il soit valide. Cependant pour que le client puisse valider l'authenticité du serveur, le certificat auto-signé doit être également déployé sur les postes client. Vous avez donc pour ce type de certificat, un déploiement en deux temps, automatisé ou manuel :

  1. Génération de la paire de clés, génération du certificat et signature par la CA
  2. Déploiement du certificat sur les postes clients, manuellement, via GPO ou via un AD CS local

Le déploiement du certificat sur les postes clients vous permet aussi de vous affranchir de l'alerte de sécurité sur votre navigateur :image.png

Par défaut, votre installation d'Open-Prod est fournie avec un certificat auto-signé valable 10 ans qui est exposé par Nginx en reverse proxy, lui même installé par défaut. Vous êtes libre par la suite de modifier la configuration en place.

 

2. Certificats signés

Un certificat signé est considéré en tant que tel lorsqu'il est signé par un organisme externe publiquement reconnu. Il est gratuit ou payant en fonction de l'autorité de certification choisie (CA : Certificate Authority).

Si vous optez pour le choix payant, vous devrez acheter votre certificat auprès d'un registrar ou d'un fournisseur tiers. En fonction du registrar ou du fournisseur tiers, vous serez soumis à une DCV (Domaine Control Validation) qui nécessite l'exposition d'une de ces ressources les plus fréquentes :

  • Enregistrement DNS public (TXT, CNAME)
  • URL accessible publiquement
  • Adresse mail de validation
  • Numéro de téléphone de votre société

Vous devrez également avoir une requête de signature de certificat (CSR) déjà prête pour pouvoir entamer vos démarches.

1Life vous simplifie la génération d'une CSR en mettant à disposition l'outil MyHelp et sa commande https-config

Si vous optez pour le choix gratuit, comme Let's Encrypt ou ZeroSSL, vous serez également soumis à une DCV qui nécessite une URL accessible publiquement par l'API de l'autorité de certification. Pour un accès à votre installation d'Open-Prod via un nom de domaine (Exemple : https://openprod.masociété.com) vous devrez en amont avoir un enregistrement DNS sur votre domaine local.

 

3. Configuration

La sécurisation de votre environnement avec HTTPS est simplifié grâce à l'outil MyHelp. Sa commande https-config couvre chacun des cas de figure évoqués précédemment (auto-signé, certificat signé gratuit ou payant). Vous trouverez les détails de son utilisation dans les pages de cette catégorie.

Cette commande est applicable aussi bien sur Open-prod 9 qu'Open-Prod 10

 Les équipes du support technique 1Life sont également là pour vous accompagner si besoin au travers de votre contrat de TMA.

 

4. Récapitulatif des différents modes de certification

 

Type de certificat Avantages Inconvénients
Certificat autosigné
  • Gratuit
  • Accès immédiat
  • Période de validité étendue
  • Incompatible avec un accès public
  • Fastidieux en cas de déploiement manuel
Certificat signé - Gratuit
  • Gratuit
  • Compatible avec un accès public
  • Reconnu par tous les navigateurs
  • Période de validité réduite
Certificat signé - Payant
  • Reconnu par tous les navigateurs
  • Payant

Back to top