Skip to main content

HHTP & HTTPS sur Open-Prod

image-1664286931939.png

Pour des raisons de sécurité et de facilité d’utilisation Open-Prod doit être accessible en mode sécurisé de type https (avec le protocole SSL activé).

Le but principal du https est de garantir que les données échangées entre les clients et le serveur Open-Prod ne puissent pas être lues ou modifiées par un tiers pendant leur transit sur le réseau, tout en assurant que le client communique bien avec le bon serveur. La mise en place du https permet également en V9 et V10 l’utilisation d’Open-Prod via l’application cliente Open-Prod PWA (Progressiv Web Apps). Les PWA sont des applications web conçues pour fonctionner sur différents appareils et plateformes (terminaux mobiles Zebra, téléphones mobiles sous Android et iOS notamment, etc.). Elles s’appuient sur les navigateurs web pour offrir aux utilisateurs une expérience similaire à celle des applications natives.

Mise en œuvre :

Pour que le chiffrement https fonctionne, le serveur utilise un certificat. Ce certificat contient notamment une clé publique et des informations sur l’identité du serveur. C’est ce certificat qui permet au client d’établir une connexion sécurisée (avec un certificat de type auto-signé ou signé) et de vérifier à qui il parle (uniquement si le certificat est de type signé).

Par défaut Open-Prod est déployé en https avec un certificat auto-signé. Avantage : certificat disponible immédiatement, aucun cout de mise en œuvre (certificat gratuit), pas besoin d’exposer sur internet le nom du serveur au travers du domaine pour valider le certificat auprès d’une autorité externe. Inconvénient (mais qui n’a aucun impact de sécurité pour notre usage) : le certificat n’est pas reconnu par une autorité de certification externe et affiche donc une alerte de sécurité dans le navigateur. Cet inconvénient peut être contourné en enregistrant le certificat sur le PC de chaque poste ou bien en automatisant cet enregistrement via les PGO d’un domaine Windows.

Il est également possible d’utiliser un certificat signé (via son achat auprès d’un registrar). Les méthodes myhelp mises à disposition pour activer le https permettent également cette mise en œuvre. Il faut cependant s’assurer que sa machine Open-Prod est connue sur son domaine et son domaine exposé vers l’extérieur (sur le web). L’utilisation d’un certificat signé gratuit (Let’s Encrypt par exemple) est également possible en s’appuyant sur une partie des méthode myhelp. Le reste est à mettre en œuvre par son équipe informatique ou son prestataire (mécanique d’intégration et de de renouvellement automatique du certificat sur l’environnement Linux Open-Prod).

L’ensemble de cette mise en œuvre (certificat https auto-signé gratuit ou signé et acheté via une autorité commerciale) est réalisé au travers des nouveaux scripts myhelp dont le mode d’utilisation est détaillé dans ces pages. Cette procédure est applicable sur V9 et V10 en installation initiale (nouvelle installation Open-Prod) comme en mise à jour (sur une installation Open-Prod V9 ou V10 déjà en place). Les procédures ci-dessous permettent de réaliser cette mise en œuvre en toute autonomie. Les équipes du support technique 1life sont également là pour vous accompagner si besoin au travers de votre contrat de TMA.

Le service https pour Open-Prod va s’appuyer sur le service applicatif NGINX.

Schéma d’environnement :

Infrastructure V10 (3).png

Back to top