Tessi Docubase – Configurer le serveur Tomcat GED en HTTPS

Docubase et Tomcat

Par défaut, les applications Web de la GED Tessi Docubase sont déployées sur un serveur Tomcat. La procédure de passage en HTTPS décrite ci-dessous se base sur la configuration de Tomcat.

Gestion des certificats – gĂ©nĂ©ration du Keystore

Pour utiliser Docubase rheaweb en https on utilise un certificat. Il est possible de crĂ©er un certificat soit Ă  partir du serveur lui-mĂŞme, soit Ă  partir d’une autoritĂ© mère de votre organisation, soit auprès d’une autoritĂ© d’enregistrement.

Seule la génération via le serveur GED lui-même est détaillée ici.

CrĂ©ation d’un certificat via JRE

Se positionner dans le rĂ©pertoire bin du rĂ©pertoire d’installation du jre de rheaweb puis lancer la commande suivante :

keytool -genkey -alias tomcat -keyalg RSA -validity 365 -keystore msi_keystore

puis répondez aux questions suivantes :

  • Tapez le mot de passe du Keystore :  changeit ou un autre mot de passe
  • Quels sont vos prĂ©nom et nom ?
[Unknown] :  MSI.nc  donner le nom du serveur
  • Quel est le nom de votre unitĂ© organisationnelle ?
[Unknown] :  MSI.nc
  • Quelle est le nom de votre organisation ?
[Unknown] :  Docubase
  • Quel est le nom de votre ville de rĂ©sidence ?
[Unknown] :  Nouméa
  • Quel est le nom de votre Ă©tat ou province ?
[Unknown] :  Nouvelle-Calédonie

Quel est le code de pays à deux lettres pour cette unité ?

[Unknown] :  687

Est-ce CN=MSI.nc, OU=MSI.nc, O=Docubase, L=Nouméa, ST=Nouvelle-Calédonie, C=687 ?

[non] :  oui
  • SpĂ©cifiez le mot de passe de la clĂ© pour <tomcat>

(appuyez sur EntrĂ©e s’il s’agit du mot de passe du Keystore) : appuyer sur entrĂ©e

Le fichier msi_keystore est créé dans le répertoire courant.

Nota:

  • le paramètre -validity  indique le nombre de jours de validitĂ© du certificat
  • -keystore  indique le nom du certificat

Avertissement avec les certificats auto-signés

Avec ce type de certificat, dit « auto-signé », un avertissement sera fait par votre navigateur, ce qui indique que la connexion en SSL est fonctionnelle mais que le navigateur n’a pas pu vĂ©rifier l’autoritĂ© d’enregistrement qui a dĂ©livrĂ© le certificat.

Importer et mettre Ă  jour un certificat dans le keystore

Vous pouvez utiliser cette mĂ©thode pour importer un certificat dĂ©jĂ  signĂ© et valide dans votre keystore. Il est possible que vous ayez besoin d’utiliser la mĂŞme commande pour importer votre certificat racine afin que l’on ait la chaĂ®ne de certification.

La commande ci-dessous importe le certificat (domain.crt) dans votre keystore (keystore.jks), dans l’alias spĂ©cifiĂ© (domain).

Import du certificat

keytool -import -alias domain -file domain.crt -keystore msiKeystore

Il vous sera demadĂ© le mot de passe du keystore,pour confirmer l’opĂ©ration d’importation

VĂ©rification du keystore

keytool -list -alias domain -keystore msiKeystore

Installation du certificat sur le serveur GED Tomcat

Copier le fichier msi_keystore dans le répertoire server\config

Editer le fichier server.xml du répertoire server\tomcat\conf

Dans la section :

<!-- Define a SSL HTTP/1.1 Connector on port 443 -->

<Connector port="443" maxHttpHeaderSize="8192"

maxThreads="150" minSpareThreads="25" maxSpareThreads="75"

enableLookups="false" disableUploadTimeout="true"

acceptCount="100" scheme="https" secure="true"

clientAuth="false" sslProtocol="TLS" keystoreFile="../config/tomcatKeystore" />
  • Remplacer tomcatKeystore par le nom de votre clĂ©, dans le cas prĂ©sent msi_keystore.
  • Remplacer Ă©ventuellement le connecteur (port) Ă  utiliser pour communiquer via SSL. Ici, il s’agit du port 443.

Si vous avez mis un autre mot de passe que changeit pour le keystore vous devez ajouter keypass= »votre mot de passe » dans la configuration du port https.

Exemple :

<!-- Define a SSL HTTP/1.1 Connector on port 443 -->

<Connector port="443" maxHttpHeaderSize="8192"

maxThreads="150" minSpareThreads="25" maxSpareThreads="75"

enableLookups="false" disableUploadTimeout="true"

acceptCount="100" scheme="https" secure="true"

clientAuth="false" sslProtocol="TLS" keystoreFile="../config/tomcatKeystore" keypass="votre mot de passe" />

Arrêter et redémarrer les services tomcat et amf (Docubase Application Management Framework).

Tester le HTTPS

Tests de la connexion sécurisée et de la prise en compte du nouveau certificat.

Utiliser l’url suivante :

https://nom_du_serveur/rheaweb

Forcer le HTTPS

Si vous voulez forcer la connexion en HTTPS et ne plus avoir la possibilité pour les utilisateurs de la GED, de se connecter en HTTP, il vous faut modifier le fichier : <dossier_install_Docubase>\server\tomcat\conf\web.xml

On va y ajouter ces lignes Ă  la fin du fichier (juste avant </webapp>) :

Fichier : D:\Docubase\server\tomcat\conf\web.xml

 <!-- =================== Forcer la connexion en https =================== -->
	<security-constraint>
	<web-resource-collection>
	<web-resource-name>Protected Context</web-resource-name>
	<url-pattern>/*</url-pattern>
	</web-resource-collection>
	<!-- auth-constraint goes here if you requre authentication -->
	<user-data-constraint>
	<transport-guarantee>CONFIDENTIAL</transport-guarantee>
	</user-data-constraint>
	</security-constraint>

On redémarrera ensuite les services tomcat et amf avant de tester une connexion en HTTP. Vous devriez être redirigé automatiquement vers la même page en HTTPS.

 

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.