Esup-Signature

Arborescence des pages

Comparaison des versions

Ancienne version 2

changes.mady.by.user David Lemaignent

Sauvegardée le

comparé à

Nouvelle version Actuel

changes.mady.by.user David Lemaignent

Sauvegardée le

Légende

  • Ces lignes ont été ajoutées. Ce mot a été ajouté.
  • Ces lignes ont été supprimées. Ce mot a été supprimé.
  • La mise en forme a été modifiée.


Info

Cette page présente brièvemet une configuration d'esup-signature permetant l'utilisation d'un serveur OpenXPKI dans le but de demander des certificats à la volé au nom du signataire au moment de la signature des documents.

Installation d'OpenXPKI


Remarque

L'installation à été réalisée sur le configuration suivante :

OS: Debian GNU/Linux 10 (buster) (x86-64)

Kernel: 5.10.0-10-amd64


Il faut tout d'abord suivre la documentation officiel d'OpenXPKI :

https://openxpki.readthedocs.io/en/stable/quickstart.htmlchange password

Puis suivre les instructions suivantes :

  • Changer le password du compte rob ici : /etc/openxpki/config.d/realm.tpl/auth/handler.yaml

...


  • Supprimer du fichier  /etc/openxpki/config.d/realm/democa/crypto.yaml les lignes suivante
Bloc de code
themeRDark
# ratoken:

...


# label: Secret group for RA Token

...


# export: 1

...


# method: literal

...


# if you change this, you need to adapt the ratoken_update workflow!

...


# value@: credentials.token

uncomment in apache config


  • Décommenter dans la configuration apache (générée suite à l'installation d'OpenXPKI) les lignes suivante :


Bloc de code
themeRDark
ScriptAlias /rpc 

...

/usr/lib/cgi-bin/rpc.fcgi

...



https://<IP>/rpc/enroll

Config du workflow



  • Configurer un workflow de demande de certificat qui valide toutes les demandes sans contrôle humain. Fichier /etc/openxpki/config.d/realm/democa/workflow/def/certificate_enroll.yaml est à remplacer par le fichier suivant :


View file
namecertificate_enroll.yaml
height250
délai de validité :


  • De manière facultative, il est possible de régler la duré de validité des certificats (typiquement 24 heures) ici : 

/etc/openxpki/config.d/realm/democa/enroll.yamlconfig


  • Et enfin il faut ajouter l'adresse de votre serveur OpenXPKI dans la configuration d'esup-signature (application.yml) :

Bloc de code
languageyml
themeRDark
open-x-p-k-i-server-url: http://10.0.131.23/rpc/enroll


Remarque

Tous les utilisateurs auront la possibilité de signer à l'aide ces certificats auto générés