4.2.3.2. Cas 2: Configuration production

4.2.3.2.1. Procédure générale

La procédure suivante s’applique lorsqu’une PKI est déjà disponible pour fournir les certificats nécessaires.

Les étapes d’intégration des certificats à la solution Vitam sont les suivantes :

  • déposer les certificats et les autorités de certifications correspondantes dans les bons répertoires.
  • renseigner les mots de passe des clés privées des certificats dans le vault ansible environmements/certs/vault-certs.yml
  • utiliser le script Vitam permettant de générer les différents keystores.

Note

Rappel pré-requis : vous devez disposer d’une ou plusieurs PKI pour tout déploiement en production de la solution VITAM.

Note

Ne pas oublier, dans les certificats, de prendre en compte des alias “web” (subjectAltName).

4.2.3.2.2. Intégration de certificats existants

Une fois les certificats et CA mis à disposition par votre PKI, il convient de les positionner sous environmements/certs/.... en respectant la structure indiquée ci-dessous.

../../_images/arborescence_certs1.svg

Vue détaillée de l’arborescence des certificats

Astuce

Dans le doute, n’hésitez pas à utiliser la PKI de test (étapes de génération de CA et de certificats) pour générer les fichiers requis au bon endroit et ainsi voir la structure exacte attendue ; il vous suffira ensuite de remplacer ces certificats “placeholders” par les certificats définitifs avant de lancer le déploiement.

Ne pas oublier de renseigner le vault contenant les passphrases des clés des certificats: environmements/certs/vault-certs.yml

Dans le cas d’ajout de certificats SIA externes, éditer le fichier environments/group_vars/all/vitam_security.yml et ajouter le(s) entrée(s) supplémentaire(s) (sous forme répertoire/fichier.crt) dans la directive admin_context_certs pour que ceux-ci soient ajoutés aux profils de sécurité durant le déploiement de la solution logicielle VITAM.

Pour modifier/créer un vault ansible, se référer à la documentation sur cette url.

4.2.3.2.3. Intégration de CA pour une offre swift

En cas d’utilisation d’une offre swift en https, il est nécessaire d’ajouter les CA du certificat de l’API swift. Il faut les déposer dans environments/certs/server/ca/

4.2.3.2.4. Génération des magasins de certificats

En prérequis, les certificats et les autorités de certification doivent être présents dans les répertoires attendus.

Prudence

Avant de lancer le script de génération des stores, il est nécessaire de modifier le vault contenant les mots de passe des stores: environmements/group_vars/all/vault-keystores.yml, décrit dans la section Déclaration des secrets.

Lancer le script :

./generate_stores.sh

Ce script génère sous environmements/keystores les stores (jks / p12) associés pour un bon fonctionnement dans VITAM.

Il est aussi possible de déposer directement les keystores au bon format en remplaçant ceux fournis par défaut, en indiquant les mots de passe d’accès dans le vault: environmements/group_vars/all/vault-keystores.yml