Lorsque tous les Prérequis sont installés et PostgreSQL configuré, vous pouvez récupérer les sources (ici l'utilisateur courant est "esup") :
cd /opt/ sudo mkdir esup-signature sudo chown esup:esup esup-signature/ -R git clone https://github.com/EsupPortail/esup-signature.git cd esup-signature |
Attention l'emplacement du fichier de log doit exister et être accessible au compte qui exécute esup-signature. Par défaut le chemin est relatif
<appender name="FILE" class="ch.qos.logback.core.FileAppender"> <file>logs/esup-signature.log</file> <append>true</append> <immediateFlush>true</immediateFlush> <encoder> <pattern>[%-5level] %date{dd/MM/yyyy HH:mm:ss} %logger{35} - %msg%n</pattern> </encoder> </appender> |
La configuration d' esup-signature se fait au travers du fichier src/main/ressource/application.yml
Pour commenter une ligne il faut ajoute un # devant.
Dans la plupart des cas il s'agit ici de modifier root-url par l'adresse de votre esup-signature (pour des tests en local, il est possible d'utiliser http://localhost:8080 par exemple)
root-url: https://esup-signature.univ-ville.fr nexu-url: http://localhost:9795 nexu-version: 1.23-SNAPSHOT nexu-download-url: /downloads/nexu-bundle-${nexuVersion}.zip hide-wizard: false # Désactiver le bouton "Assistant de création de demande" hide-auto-sign: false # Désactiver le bouton "Auto siganture" hide-send-sign-request: false # Désactiver le bouton "Demander une signature" |
Ce paramètre permet de spécifier le port ajp dans le cas ou l'application est démarrée directement (en utilisant mvn springboot:run par exemple) Par défaut ces lignes sont commentées, c'est cas lorsque l'application est démarrée par un serveur Tomcat.
#tomcat: # ajp: # port: 6009 |
Paramètre du serveur lors d'un lancement hors tomcat
server: error: include-stacktrace: always port: 8080 |
Configuration de la base de donnée :
datasource: driver-class-name: org.postgresql.Driver hikari: auto-commit: false password: esup url: jdbc:postgresql://localhost:5432/esupsignature username: esupsignature |
Configuration de l'accès ldap (obligatoire si l'authentification CAS est activée)
ldap: base: dc=univ-ville,dc=fr password: ******** urls: ldap://ldap.univ-ville.fr username: cn=consult,dc=univ-ville,dc=fr |
Configuration du serveur de mail pour l'envoi des alertes
mail: host: smtp.univ-ville.fr |
Dans la partie mail (hors spring) vous pouvez paramétrer l'adresse from pour l'envoi de mails
mail: from: no-reply.esup-signature@univ-ville.fr |
Dans la configuration DSS il faut paramétrer l'emplacement ou doit ce trouver le cache des certificats du journal officiel : ks-filename (le dossier doit avoir été créé avant le premier lancement)
De plus vous pouvez ajouter les liens vers les url des certificats non présents dans le journal officiel mais valide dans votre établissment : trusted-certificat-url-list
dss: cache-data-source-driver-class-name: org.hsqldb.jdbc.JDBCDriver cache-data-source-url: jdbc:hsqldb:mem:cachedb cache-password: cache-username: sa default-validation-policy: policy/sign-constraint.xml server-signing-keystore-filename: validate_service.p12 server-signing-keystore-password: password server-signing-keystore-type: PKCS12 tsp-server: http://tsa.belgium.be/connect ks-filename: /opt/tomcat-esup-signature/temp/oj_keystore.p12 ks-password: dss-password ks-type: PKCS12 lotl-country-code: EU lotl-url: https://ec.europa.eu/tools/lotl/eu-lotl.xml oj-url: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv:OJ.C_.2019.276.01.0001.01.ENG trusted-certificat-url-list: https://cacerts.digicert.com/DigiCertAssuredIDRootG3.crt, https://cacerts.digicert.com/DigiCertAssuredIDRootCA.crt, https://cacerts.digicert.c$ |
La sécurité est gérée par Spring Security. Il est possible d'activé 3 mécanismes de sécurité : OAuth, Shibboleth et/ou CAS. Pour désactiver une ou l'autre de ces méthode, il suffit de commenter les lignes qui s'y réfèrent. (CAS nécessite la configuration d'un LDAP. C'est la solution idéale pour une utilisation interne)
cas: domain: univ-ville.fr group-mapping-role-admin: ROLE_FOR.ESUP-SIGNATURE.ADMIN group-mapping-role-manager: ROLE_FOR.ESUP-SIGNATURE.MANAGER key: EsupSignatureUnivVilleCAS service: https://esup-signature.univ-ville.fr/login/cas title: Compte Université (CAS) url: https://cas.univ-ville.fr # shib: # credentials-request-header: MEMBER # group-mapping-role-admin: cn=for.esup-signature.admin,ou=groups,dc=univ-ville # group-mapping-role-manager: cn=for.esup-signature.manager,ou=groups,dc=univ-ville # idp-url: https://idp.univ-ville.fr # principal-request-header: REMOTE_USER # title: Compte d’un autre établissement (Shibboleth) ws: ws-access-authorize-ips: 127.0.0.1 |
La partie file system (fs) permet de configurer une source principale de donnée pour chaque type de stockage (smb, cmis, vfs). esup-signature ne prend en charge qu'une seule source par type.
fs: # smb-login: esup-signature # smb-password: ******** # smb-uri: smb://smb.univ-ville.fr vfs-uri: /tmp # cmis-uri: https://esup-signature.univ-ville.fr/nuxeo # cmis-login: Administrator # cmis-password: Administrator # cmis-respository-id: default # cmis-root-path: /default-domain/workspaces |
Vous pouvez ajuster finement les paramètres de signature électronique en modifiant les lignes suivante:
sign: cades-digest-algorithm: SHA256 cades-signature-level: CAdES_BASELINE_T container-type: ASiC_E default-signature-form: XAdES pades-digest-algorithm: SHA256 pades-signature-level: PAdES_BASELINE_T password-timeout: 60000 signature-packaging: ENVELOPED xades-digest-algorithm: SHA256 xades-signature-level: XAdES_BASELINE_T |
Paramètres de traitement des PDF
convert-to-pdf-a: true height: 842 path-to-g-s: /usr/bin/gs pdf-a-level: 2 pdf-to-image-dpi: 72 sign-width-threshold: 150 width: 595 |
La suite ici : Compilation et déploiement |