Skip to main content

Https avec certificat auto-signé

Mise en œuvre du https sur Open-Prod avec un certificat auto-signé.

Etape 1 :

  • Intégrer le serveur Open-Prod dans son réseau interne en s’assurant de la bonne résolution du nom de la machine sur son réseau local (nom de machine fixée et IP statique en place, DNS fonctionnel). 
  • S’assurer que le serveur Open-Prod n’est pas en production lors de l’activation du https. Prévoir de communiquer la nouvelle adresse de connexion à l’ensemble des utilisateurs une fois la connexion https mise en place.

Action : administrateur réseau du client.

Etape 2 :

  • Mettre à jour les scripts myFAB en utilisant cette procédure
  • Utiliser le script myhelp https-config pour déployer la partie https sur le serveur Open-Prod. Le script permet de :
    • Contrôler la présence d’Apache / désactiver Apache
    • Installer Nginx
    • Créer le Certificat autosigné (selon les informations de l'entreprise que vous lui communiquerez)
    • Configurer Nginx (script de sécurité et lien certificat)
    • Partager le certificat autosigné (dossier local / partagé)
    • Activer le https sur Open-Prod

Action : administrateur réseau client. Accompagnement possible du support 1Life via contrat de TMA.

Attention : si vous utilisez le service Apache (pour l’outil pgadmin version web par exemple) le déploiement du service https va désactiver Apache. En effet le service https est incompatible avec la présence du service Apache sur le même port d'écoute (TCP : 443). Vous pouvez remplacer le service pgadmin web par son utilisation via un client distant.

 

Déploiement: 

image.png

Lancer la commande de scripts https-config. Le script vérifie la présence ou non de Apache et Nginx pour préparer le déploiement. Sélectionner l’option 2 pour lancer l’installation et configurer le certificat auto-signé.

 

image.png

Utiliser l’option 1et répondre aux questions sur les caractéristiques du certificat auto-signé :

  • Common Name (CN) : voir ci-dessous la valeur SAN. Par défaut mettre ou laisser la même valeur que le champ SAN (normalement le SAN est prioritaire),
  • Subject Alternative Name (SAN) : mettre obligatoirement le nom réseau de cette machine sur le domaine ainsi que son adresse IP fixe. Ces informations sont essentielles pour intégrer manuellement ou via GPO le certificat sur chaque poste (Si besoin, modifier ces informations en utilisant la syntaxe précise : DNS:[nom environnement], IP:[adresse IP environnement],
  • Organisation (O) : par défaut laisser Openprod (pas d’impact de ce paramètre sur le fonctionnement du https),
  • Champs optionnels (OU, L, ST, C) : par défaut laisser vide (pas d’impact de ce paramètre sur le fonctionnement du https).

NOTA : Les champs O, OU, L, ST, C sont surtout utilisés dans les certificats EV/OV ou en interne (PKI entreprise). Ils ne sont normalement pas importants pour un simple certificat auto-signé.

Confirmer ensuite la génération du certificat par Oui.

 

image.png

Choisir ensuite d’exporter le certificat dans un dossier local au serveur Linux avec partage Windows (ou non) de ce dossier. Le certificat peut ainsi être récupéré directement via le voisinage réseau depuis son poste Windows si le dossier est partagé. Sinon il est toujours possible de le récupérer depuis son navigateur après s’être connecté en Https sur le serveur Open-Prod (voir § suivant sur l'installation du certificat client).

Indiquer le chemin et nom du dossier de stockage du certificat, le nom de partage du dossier si besoin, sinon laisser par défaut.

Indiquer l’utilisateur autorisé à se connecter s’il y a un partage réseau du dossier (laisser sinon par défaut l’utilisateur connecté).

Indiquer le mot de passe pour accéder à ce partage réseau (obligatoire si le dossier est partagé). Nota : ce mot de passe est propre au partage réseau. Il n’est pas lié au mot de passe de session du compte utilisé.

 

image.png

L’installation du Https pour Open-Prod en certificat auto-signé est maintenant terminée. Le service est disponible en se connectant sur https://[nom_de_machine_ou_IP] au lieu de http://[nom_de_machine_ou_IP:806(8/9).

 

SI jamais le processus ne va pas jusqu'au bout, sortir de la commande en cours (Ctrl + C). Relancer le script https-config.

image.png

Une nouvelle option N°4 doit apparaitre et permet de désinstaller complètement Nginx, les comosantscomposants associés et le certificatcertificat. pourRelancer ensuite relancerune nouvelle installation avec l'option N° 2 en suivant à nouveau les instructions ci-dessus. 

image.png

 

Etape 3 :

Par défaut l’accès Https est maintenant disponible pour tous les utilisateurs. La connexion à Open-Prod affiche une nouvellealerte installation.de sécurité dans le navigateur pour indiquer à l'utilisateur que le certificat installé est propre à une structure interne de votre réseau et ne peut pas être reconnu par une autorité de certification externe (serveur de certification sur le web).

image.png

Cliquer dans votre navigateur sur « Paramètre avancé » puis sur « Continuer vers [nom_de_votre_environnement] (non sécurisé). L’accès est maintenant sécurisé au travers de https et tous les flux d’échange est crypté.

Obligatoire : pour finaliser le déploiement du https et terminer la sécurisation de l’accès au service vous devez interdire l’accès au service Open-Prod au travers du service http sur les url http://[nom_de_machine_ou_ip]:8068 pour la V9 ou http://[nom_de_machine_ou_ip]:8069 pour la V10. Cette interdiction est à faire directement sur le boitier de sécurité réseau d’entreprise ou par filtrage d’URL directement sur l’environnement Linux (ufw par exemple) ou les services réseau de votre hyperviseur (cas d’une machine virtuelle locale ou hébergée). Consulter votre administrateur système pour cette mise oeuvre.


Back to top