| Info |
|---|
Cette page présente brièvemet une configuration d'esup-signature permetant l'utilisation d'un serveur OpenXPKI dans le but de demander des certificats à la volé au nom du signataire au moment de la signature des documents. |
Installation d'OpenXPKI
| Avertissement |
|---|
L'installation à été réalisée sur le configuration suivante : OS: Debian GNU/Linux 10 (buster) (x86-64)
Kernel: 5.10.0-10-amd64 |
Il faut tout d'abord suivre la documentation officiel d'OpenXPKI :
https://openxpki.readthedocs.io/en/stable/quickstart.html
Puis suivre les instructions suivantes :
- Changer le password du compte rob ici : /etc/openxpki/config.d/realm.tpl/auth/handler.yaml
- Supprimer du fichier /etc/openxpki/config.d/realm/democa/crypto.yaml les lignes suivante
| Bloc de code |
|---|
|
# ratoken:
# label: Secret group for RA Token
# export: 1
# method: literal
# if you change this, you need to adapt the ratoken_update workflow!
# value@: credentials.token |
- Décommenter dans la configuration apache (générée suite à l'installation d'OpenXPKI) les lignes suivante :
| Bloc de code |
|---|
|
ScriptAlias /rpc /usr/lib/cgi-bin/rpc.fcgi
https://<IP>/rpc/enroll |
- Configurer un workflow de demande de certificat qui valide toutes les demandes sans contrôle humain. Fichier /etc/openxpki/config.d/realm/democa/workflow/def/certificate_enroll.yaml est à remplacer par le fichier suivant :
| View file |
|---|
| name | certificate_enroll.yaml |
|---|
| height | 250 |
|---|
|
- De manière facultative, il est possible de régler la duré de validité des certificats (typiquement 24 heures) ici :
/etc/openxpki/config.d/realm/democa/enroll.yaml
- Et enfin il faut ajouter l'adresse de votre serveur OpenXPKI dans la configuration d'esup-signature (application.yml) :
| Bloc de code |
|---|
|
open-x-p-k-i-server-url: http://10.0.131.23/rpc/enroll |
| Remarque |
|---|
Tous les utilisateurs auront la possibilité de signer à l'aide ces certificats auto générés |