4.2.3.1. Cas 1: Configuration développement / tests¶
Pour des usages de développement ou de tests hors production, il est possible d’utiliser la PKI fournie avec la solution logicielle VITAM.
4.2.3.1.1. Procédure générale¶
Danger
La PKI fournie avec la solution logicielle Vitam ne doit être utilisée que pour faire des tests, et ne doit par conséquent surtout pas être utilisée en environnement de production !
La PKI de la solution logicielle VITAM est une suite de scripts qui vont générer dans l’ordre ci-dessous:
- Les autorités de certifcation (CA)
- Les certificats (clients, serveurs, de timestamping) à partir des CA
- Les keystores, en important les certificats et CA nécessaires pour chacun des keystores
4.2.3.1.2. Génération des CA par les scripts Vitam¶
Il faut faire générer les autorités de certification par le script décrit ci-dessous.
Dans le répertoire de déploiement, lancer le script :
pki/scripts/generate_ca.sh
Ce script génère sous pki/ca
les autorités de certification root et intermédiaires pour générer des certificats clients, serveurs, et de timestamping.
Avertissement
Bien noter les dates de création et de fin de validité des CA. En cas d’utilisation de la PKI fournie, la CA root a une durée de validité de 10 ans ; la CA intermédiaire a une durée de 3 ans.
4.2.3.1.3. Génération des certificats par les scripts Vitam¶
Le fichier d’inventaire de déploiement environments/<fichier d'inventaire>
(cf. Informations “plate-forme”) doit être correctement renseigné pour indiquer les serveurs associés à chaque service. En prérequis les CA doivent être présentes.
Puis, dans le répertoire de déploiement, lancer le script :
pki/scripts/generate_certs.sh <fichier d'inventaire>
Ce script génère sous environmements/certs
les certificats (format crt & key) nécessaires pour un bon fonctionnement dans VITAM.
Les mots de passe des clés privées des certificats sont stockés dans le vault ansible environmements/certs/vault-certs.yml
Prudence
Les certificats générés à l’issue ont une durée de validité de 3 ans.
4.2.3.1.4. Intégration de CA pour une offre swift¶
En cas d’utilisation d’une offre swift en https, il est nécessaire d’ajouter les CA du certificat de l’API swift.
Il faut les déposer dans environments/certs/server/ca/
4.2.3.1.5. Génération des magasins de certificats¶
En prérequis, les certificats et les autorités de certification doivent être présents dans les répertoires attendus.
Prudence
Avant de lancer le script de génération des stores, il est nécessaire de modifier le vault contenant les mots de passe des stores: environmements/group_vars/all/vault-keystores.yml
, décrit dans la section Déclaration des secrets.
Lancer le script :
./generate_stores.sh
Ce script génère sous environmements/keystores
les stores (jks / p12) associés pour un bon fonctionnement dans VITAM.
Il est aussi possible de déposer directement les keystores au bon format en remplaçant ceux fournis par défaut, en indiquant les mots de passe d’accès dans le vault: environmements/group_vars/all/vault-keystores.yml