Tessi Docubase – Configurer le serveur Tomcat GED en HTTPS

Docubase et Tomcat

Par défaut, les applications Web de la GED Tessi Docubase sont déployées sur un serveur Tomcat. La procédure de passage en HTTPS décrite ci-dessous se base sur la configuration de Tomcat.

Gestion des certificats – génération du Keystore

Pour utiliser Docubase rheaweb en https on utilise un certificat. Il est possible de créer un certificat soit à partir du serveur lui-même, soit à partir d’une autorité mère de votre organisation, soit auprès d’une autorité d’enregistrement.

Seule la génération via le serveur GED lui-même est détaillée ici.

Création d’un certificat via JRE

Se positionner dans le répertoire bin du répertoire d’installation du jre de rheaweb puis lancer la commande suivante :

keytool -genkey -alias tomcat -keyalg RSA -validity 365 -keystore msi_keystore

puis répondez aux questions suivantes :

  • Tapez le mot de passe du Keystore :  changeit ou un autre mot de passe
  • Quels sont vos prénom et nom ?
[Unknown] :  MSI.nc  donner le nom du serveur
  • Quel est le nom de votre unité organisationnelle ?
[Unknown] :  MSI.nc
  • Quelle est le nom de votre organisation ?
[Unknown] :  Docubase
  • Quel est le nom de votre ville de résidence ?
[Unknown] :  Nouméa
  • Quel est le nom de votre état ou province ?
[Unknown] :  Nouvelle-Calédonie

Quel est le code de pays à deux lettres pour cette unité ?

[Unknown] :  687

Est-ce CN=MSI.nc, OU=MSI.nc, O=Docubase, L=Nouméa, ST=Nouvelle-Calédonie, C=687 ?

[non] :  oui
  • Spécifiez le mot de passe de la clé pour <tomcat>

(appuyez sur Entrée s’il s’agit du mot de passe du Keystore) : appuyer sur entrée

Le fichier msi_keystore est créé dans le répertoire courant.

Nota:

  • le paramètre -validity  indique le nombre de jours de validité du certificat
  • -keystore  indique le nom du certificat

Avertissement avec les certificats auto-signés

Avec ce type de certificat, dit « auto-signé », un avertissement sera fait par votre navigateur, ce qui indique que la connexion en SSL est fonctionnelle mais que le navigateur n’a pas pu vérifier l’autorité d’enregistrement qui a délivré le certificat.

Importer et mettre à jour un certificat dans le keystore

Vous pouvez utiliser cette méthode pour importer un certificat déjà signé et valide dans votre keystore. Il est possible que vous ayez besoin d’utiliser la même commande pour importer votre certificat racine afin que l’on ait la chaîne de certification.

La commande ci-dessous importe le certificat (domain.crt) dans votre keystore (keystore.jks), dans l’alias spécifié (domain).

Import du certificat

keytool -import -alias domain -file domain.crt -keystore msiKeystore

Il vous sera demadé le mot de passe du keystore,pour confirmer l’opération d’importation

Vérification du keystore

keytool -list -alias domain -keystore msiKeystore

Installation du certificat sur le serveur GED Tomcat

Copier le fichier msi_keystore dans le répertoire server\config

Editer le fichier server.xml du répertoire server\tomcat\conf

Dans la section :

<!-- Define a SSL HTTP/1.1 Connector on port 443 -->

<Connector port="443" maxHttpHeaderSize="8192"

maxThreads="150" minSpareThreads="25" maxSpareThreads="75"

enableLookups="false" disableUploadTimeout="true"

acceptCount="100" scheme="https" secure="true"

clientAuth="false" sslProtocol="TLS" keystoreFile="../config/tomcatKeystore" />
  • Remplacer tomcatKeystore par le nom de votre clé, dans le cas présent msi_keystore.
  • Remplacer éventuellement le connecteur (port) à utiliser pour communiquer via SSL. Ici, il s’agit du port 443.

Si vous avez mis un autre mot de passe que changeit pour le keystore vous devez ajouter keypass= »votre mot de passe » dans la configuration du port https.

Exemple :

<!-- Define a SSL HTTP/1.1 Connector on port 443 -->

<Connector port="443" maxHttpHeaderSize="8192"

maxThreads="150" minSpareThreads="25" maxSpareThreads="75"

enableLookups="false" disableUploadTimeout="true"

acceptCount="100" scheme="https" secure="true"

clientAuth="false" sslProtocol="TLS" keystoreFile="../config/tomcatKeystore" keypass="votre mot de passe" />

Arrêter et redémarrer les services tomcat et amf (Docubase Application Management Framework).

Tester le HTTPS

Tests de la connexion sécurisée et de la prise en compte du nouveau certificat.

Utiliser l’url suivante :

https://nom_du_serveur/rheaweb

Forcer le HTTPS

Si vous voulez forcer la connexion en HTTPS et ne plus avoir la possibilité pour les utilisateurs de la GED, de se connecter en HTTP, il vous faut modifier le fichier : <dossier_install_Docubase>\server\tomcat\conf\web.xml

On va y ajouter ces lignes à la fin du fichier (juste avant </web-app>) :

Fichier : <dossier_install_Docubase>\server\tomcat\conf\web.xml

 <!-- =================== Forcer la connexion en https =================== -->
	<security-constraint>
	<web-resource-collection>
	<web-resource-name>Protected Context</web-resource-name>
	<url-pattern>/*</url-pattern>
	</web-resource-collection>
	<!-- auth-constraint goes here if you requre authentication -->
	<user-data-constraint>
	<transport-guarantee>CONFIDENTIAL</transport-guarantee>
	</user-data-constraint>
	</security-constraint>

On redémarrera ensuite les services tomcat et amf avant de tester une connexion en HTTP. Vous devriez être redirigé automatiquement vers la même page en HTTPS.

 

Leave A Comment?

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.