Skip to main content

HHTP & HTTPS

image-1664286931939.png

Pour des raisons de sécurité et de facilité d’utilisation Open-Prod doit être accessible en mode sécurisé de type https (avec le protocole SSL activé).

Le but principal du https est de garantir que les données échangées entre les clients et le serveur Open-Prod ne puissent pas être lues ou modifiées par un tiers pendant leur transit sur le réseau, tout en assurant que le client communique bien avec le bon serveur. La mise en place du https permet également en V9 et V10 l’utilisation d’Open-Prod via l’application cliente Open-Prod PWA (Progressiv Web Apps). Les PWA sont des applications web conçues pour fonctionner sur différents appareils et plateformes (terminaux mobiles Zebra, téléphones mobiles sous Android et iOS notamment, etc.). Elles s’appuient sur les navigateurs web pour offrir aux utilisateurs une expérience similaire à celle des applications natives.

Mise en œuvre :

Pour que le chiffrement https fonctionne, le serveur utilise un certificat. Ce certificat contient notamment une clé publique et des informations sur l’identité du serveur. C’est ce certificat qui permet au client d’établir une connexion sécurisée (avec un certificat de type auto-signé ou signé) et de vérifier à qui il parle (uniquement si le certificat est de type signé).

Par défaut Open-Prod est déployé en https avec un certificat auto-signé. Avantage : certificat disponible immédiatement, aucun cout de mise en œuvre (certificat gratuit), pas besoin d’exposer sur internet le nom du serveur au travers du domaine pour valider le certificat auprès d’une autorité externe. Inconvénient (mais qui n’a aucun impact de sécurité pour notre usage) : le certificat n’est pas reconnu par une autorité de certification externe et affiche donc une alerte de sécurité dans le navigateur. Cet inconvénient peut être contourné en enregistrant le certificat sur le PC de chaque poste ou bien en automatisant cet enregistrement via les PGO d’un domaine Windows.

Il est également possible d’utiliser un certificat signé (via son achat auprès d’un registrar). Les méthodes myhelp mises à disposition pour activer le https permettent également cette mise en œuvre. Il faut cependant s’assurer que sa machine Open-Prod est connue sur son domaine et son domaine exposé vers l’extérieur (sur le web). L’utilisation d’un certificat signé gratuit (Let’s Encrypt par exemple) est également possible en s’appuyant sur une partie des méthode myhelp. Le reste est à mettre en œuvre par son équipe informatique ou son prestataire (mécanique d’intégration et de de renouvellement automatique du certificat sur l’environnement Linux Open-Prod).

L’ensemble de cette mise en œuvre (certificat https auto-signé gratuit ou signé et acheté via une autorité commerciale) est réalisé au travers des nouveaux scripts myhelp dont le mode d’utilisation est détaillé dans ces pages. Cette procédure est applicable sur V9 et V10 en installation initiale (nouvelle installation Open-Prod) comme en mise à jour (sur une installation Open-Prod V9 ou V10 déjà en place). Les procédures ci-dessous permettent de réaliser cette mise en œuvre en toute autonomie. Les équipes du support technique 1life sont également là pour vous accompagner si besoin au travers de votre contrat de TMA.

Le service https pour Open-Prod va s’appuyer sur le service applicatif NGINX.

Schéma d’environnement :

Infrastructure V10 (3).png

Mise en œuvre du https avec un certificat auto-signé.

a)      Etape 1 :

·         Intégrer le serveur Open-Prod dans son réseau interne en s’assurant de la bonne résolution du nom de la machine sur son réseau local (nom de machine définit et IP statique en place, DNS fonctionnel).

·         S’assurer que le serveur Open-Prod n’est pas en production lors de l’activation du https. Prévoir de communiquer la nouvelle adresse de connexion à l’ensemble des utilisateurs une fois la connexion en httsp mise en place.

Action : administrateur réseau client.

b)     Etape 2 :

Mettre à jour les scripts myFAB (cf. : page dédiée)

Utiliser le script myhelp https-config  pour déployer sur le serveur Open-Prod la partie https. Le script permet de :

·         Contrôler la présence d’Apache / désactiver Apache

·         Installer Nginx

·         Créer le Certificat autosigné

·         Configurer Nginx (script sécurité et lien certificat)

·         Partager certificat autosigné (dossier local / partagé)

·         Activer le https sur Open-Prod

Action : administrateur réseau client. Accompagnement possible du support 1Life via contrat de TMA.

Back to top