Skip to main content

Sécuriser votre installation avec HTTPS

image-1664286931939.png

Par défaut, votre installation d'Open-Prod 10 est disponible sur le port 8069 (8068 pour Open-Prod 9). Si votre installation est prévue pour un accès public, ou pour être déployée dans un environnement sensible, il est fortement recommandé de sécuriser son accès web avec le protocole HTTPS (HTTP + TLS/SSL). C'est ce protocole qui vous permet de garantir des échanges de données sécurisés entre les utilisateurs et votre serveur, en les chiffrant via un échange de clés et des informations de certificat. De cette manière les données échangées ne peuvent être ni lues, ni altérées par un tiers pendant leur transit sur le réseau.

Si vous souhaitez utiliser Open-Prod sur un terminal mobile (Zebra, Android, iOS, etc.) en version PWA (Progressive Web Apps), l'utilisation d'HTTPS est obligatoire.

Rappel :

L'utilisation d'HTTPS repose sur l'échange d'un certificat entre le serveur et le client. Ce certificat contient notamment une clé publique et des informations sur l’identité du serveur, afin de garantir son authenticité. Chaque certificat doit être signé par une autorité de certification, qui peut être votre serveur, un serveur de votre infrastructure (AD CS), ou une entité externe comme Let's Encrypt, Sectigo, Digicert, etc. Il existe donc deux grands types de certificats :

  1. Auto-signés : Le certificat est signé par une autorité de certification interne de confiance (fourni par défaut par 1Life)
  2. Signés : Vous signez le certificat par une entité externe de confiance

1. Certificats auto-signés

Un certificat auto-signé est gratuit. Aucune étape intermédiaire est nécessaire pour qu'il soit valide. Cependant pour que le client puisse valider l'authenticité du serveur, le certificat auto-signé doit être également déployé sur les postes client. Vous avez donc pour ce type de certificat, un déploiement en deux temps, automatisé ou manuel :

  1. Génération de la paire de clés, génération du certificat et signature par la CA
  2. Déploiement du certificat sur les postes clients, manuellement, via GPO ou via un AD CS local

Le déploiement du certificat sur les postes clients vous permet aussi de vous affranchir de l'alerte de sécurité sur votre navigateur :image.png

Par défaut, Open-Prod est livré avec un certificat auto-signé d'une durée de validité de 10 ans. Ce certificat est présenté aux clients par Nginx, configuré en reverse proxy et installé automatiquement lors du déploiement.

2. Certificats signés

Un certificat signé est considéré en tant que tel lorsqu'il est signé par un organisme externe publiquement reconnu. Il est gratuit ou payant en fonction de l'autorité de certification choisie (CA : Certificate Authority).

Si vous optez pour le choix payant, vous devrez acheter votre certificat auprès d'un registrar ou d'un fournisseur tiers. En fonction du registrar ou du fournisseur tiers, vous serez soumis à une DCV (Domain Control Validation) qui nécessite l'exposition d'une de ces ressources les plus fréquentes :

  • Enregistrement DNS public (TXT, CNAME)
  • URL accessible publiquement
  • Adresse mail de validation
  • Numéro de téléphone de votre société

Vous devrez également avoir une requête de signature de certificat (CSR) déjà prête pour pouvoir entamer vos démarches.

1Life vous simplifie la génération d'une CSR en mettant à disposition l'outil MyHelp et sa commande https-config

Si vous optez pour le choix gratuit, comme Let's Encrypt ou ZeroSSL, vous serez également soumis à une DCV qui nécessite une URL accessible publiquement par l'API de l'autorité de certification. Pour un accès à votre installation d'Open-Prod via un nom de domaine (Exemple : https://openprod.masociété.com) vous devrez en amont avoir un enregistrement DNS sur votre domaine local.

3. Configuration

La sécurisation de votre environnement avec HTTPS est simplifié grâce à l'outil MyHelp. Sa commande https-config couvre chacun des cas de figure évoqués précédemment (auto-signé, certificat signé gratuit ou payant). Vous trouverez les détails de son utilisation dans les pages de cette catégorie.

Cette commande est applicable aussi bien sur Open-Prod 9 qu'Open-Prod 10

 Les équipes du support technique 1Life sont également là pour vous accompagner si besoin au travers de votre contrat de TMA.

4. Récapitulatif des différents modes de certification

Type de certificat Coût Validité Accès public Déploiement sur les postes clients DCV
Autosigné Gratuit ✔️

Étendue

 ✔️
Signé - Gratuit Gratuit ✔️

45 à 90 jours

✔️

✔️
Signé - Payant Payant ⚠️

1 à 3 ans

✔️

✔️

Back to top