Pré-requis
- Écrit par Stéphane VAST
- Catégorie : Pré-requis
- Publication : 21 octobre 2014
Vous trouverez ci-dessous la liste des pré-requis techniques pour une installation du logiciel parapheur électronique version 4.2 ou 4.3 sur un serveur GNU/Linux.
On y parle notamment certificats électroniques SSL serveur.
Pour la partie serveur d'application (valable pour i-Parapheur 4.2 et 4.3):
L'installation du serveur d'application est une opération relativement complexe (ce n'est pas un "setup.exe" en mode graphique). Elle réclame de nombreuses dépendances logicielles, et des compétences confirmées en administration système GNU/Linux.
Liste des systèmes d'exploitation supportés
Seules les versions de systèmes d'exploitation présents ci-dessous sont supportées.
Les versions NON LTS d'Ubuntu ne sont pas supportées.
| Status | Commentaires | |
|---|---|---|
| Ubuntu 10.04 LTS x64 | Obsolète | Fin du support Avril 2015 |
| Ubuntu 12.04 LTS x64 | Supporté | Fin du support Avril 2017 |
| Ubuntu 14.04 LTS x64 | Supporté | Système de référence, fortement conseillé |
| Debian 6 x64 | Obsolète | Fin de support Mai 2015 |
| Debian 7 x64 | Supporté | |
| Debian 8 x64 | Supporté | Nom de code Jessie |
| CentOS /RHEL 5 x64 | Obsolète | non supporté |
| CentOS /RHEL 6 | Supporté | Préférer la version 7 |
| CentOS /RHEL 7 | Supporté | |
| SLES 11 SP2 | Non Qualifié |
ADULLACT recommande un serveur GNU/Linux, 64bits (les performances sont dégradées avec un système 32bits selon les spécialistes Alfresco, et empêchent la montée en charge).
L'installation a été validée sur les plate-formes de référence Ubuntu 14.04 Server LTS (plate-forme supportée), Debian 7 (dernière version stable à ce jour). Le parapheur électronique peut également être installé sur d'autres systèmes d'exploitation de la même famille: Fedora / CentOS-6 / RedHat ES 6, Mandriva Server, Gentoo, SUSE... sous réserve que les pré-requis logiciels ci-dessous soient respectés, et sous réserve de validation par les équipes techniques de l'Adullact.
Attention: RHEL 5 et CentOS 5 ne sont plus supportés, à cause de la dépendance OpenSSL trop ancienne (et présentant des failles de sécurité). Attention également à la fin de vie prochaine de "Ubuntu 10.04" au printemps 2015.
Dimensionnement et ressources
Le dimensionnement peut-être effectué tout en une seule partition.
Nous conseillons le formatage en LVM afin de pouvoir augmenter à chaud l'espace disque.
| Quantité | Commentaires | |
|---|---|---|
| Espace disque système | ~20 Go | L'espace disque peut-être réuni en une seule partition de 40 Go, pour commencer. Cet espace est à moduler (ie. à augmenter) en fonction de la volumétrie courante de données ciblée. |
| Espace disque données | ~30 Go | |
| CPU 64bit | 2 | Indicateur de départ, augmenter au besoin |
| RAM | 5 Go | Indicateur de départ, augmenter au besoin |
Explications détaillées:
- CPU: 64 bit, dual-core minimum: naturellement, plus de ressources il y a, mieux c'est. Avec 4,8, 16coeurs ou davantage, l'application sera plus réactive et fluide.
- Mémoire: 5 Go de RAM minimum pour le serveur. En effet il faut compter 3,5 Go de RAM minimum libres pour l'application (i-Parapheur + LibreOffice + MySQL + frontal web + GhostScript), 1Go de plus pour le service de "visionneuse Xemelios". Et ce, hors système d'exploitation qui consomme aussi des ressources. Davantage de RAM aidera également l'application.
Si 30 utilisateurs simultanés ou 300 utilisateurs occasionnels (ce sont des MINIMA !) :
- Minimum RAM : 4 Go pour l'application, soit 5 à 6Go pour le serveur
- Minimum CPU : 64 bit, 2x server-class CPU (ou 2xDual-core)
Si 100 utilisateurs simultanés ou 1000 utilisateurs occasionnels :
- Minimum RAM : 5 Go pour l'application, soit 6 à 7Go pour le serveur
- Minimum CPU : 64 bit, 4x server-class CPU (ou 6xDual-core)
Selon la charge et/ou la qualité de service attendues, il est possible de monter le système en cluster, sur la base d'architecture cluster d'Alfresco.
NB :
- Prévoir un minimum de 40Go d'espace disque libre en mode expérimentation. Pour une utilisation en production, prévoir un minimem de 200Go de disque pour les données, et 40Go pour la base de données.
- Les valeurs de consommation mémoire sont des minima absolus de démarrage, et ne constituent pas des valeurs de confort ni de production. En effet, i-Parapheur s'appuie sur le moteur de GED Alfresco Community (et ses nombreuses dépendances) qui est un gros consommateur de ressources à lui tout seul.
Ne pas hésiter à gonfler ces valeurs tant au niveau mémoire allouée RAM que CPU.
Communication réseau
Voici la liste des ports utilisés en entrée et sortie, dans le cas où l'intégralité des différents composants logiciels sont déployés sur le même serveur.
Certains services applicatifs doivent être visibles depuis internet.
| Entrée | Sortie | Commentaires | |
|---|---|---|---|
| HTTP port 80 TCP | Oui, complet | crl.adullact.org | récupération des AC et CRL RGS (politique de sécurité applicative) |
| HTTPS port 443 TCP | Oui, complet | www.s2low.org | Envoi des flux vers le TDT S²LOW. Formation: ajouter demo-s2low11.extranet.adullact.org |
| SMTP port 25 TCP | Non | Oui | Généralement paramétré vers le relais SMTP local |
| LDAP port 389 TCP | Non | Oui | Optionnel, si la synchronisation de comptes utilisateur est souhaitée. |
Pendant l'installation, le serveur doit être connecté à Internet (flux sortants full HTTP + HTTPS, sans proxy si possible) afin de récupérer et installer les dernières mises-à-jour de composants logiciels disponibles.
Briques techniques déployées lors de l'installation
Voici la liste des briques techniques qui supportent l'application.
Ces briques seront déployés lors de l'installation, inutile de procéder à leur mise en place préalablement à l'intervention d'un technicien externe (Adullact-Projet par exemple).
| Version | Commentaires | |
|---|---|---|
| MySQL | 5.1 / 5.5 | installé par défaut sur le même hôte. (*) |
| NginX | 1.8+ | points d'entrée HTTP/HTTPS. Prévoir certificats SSL serveur |
| LibreOffice | 4.2.8 à 5.0.3 | Génération des aperçus, et fichiers PDF |
| Alfresco Community | 3.4.c | Socle technique dédié à i-Parapheur |
| JAVA JDK | 1.6_u45 | Pour faire tourner le serveur d'applications i-Parapheur. |
(*): il est évidemment possible de déporter l'hébergement de la base MySQL sur un système tiers, sous réserve que les pré-requis d'allocation de ressources soient respectés:
- plafond autorisé de 350 connexions simultanées à la base de données
- adaptation de la procédure de backup applicative pour sauvegardes cohérentes
- accès à procédure d'optimisation régulière des indexes (mysql-optimize)
- et diverses adaptations de configuration sur paramètres "innodb", etc. (voir manuel d'installation)
Installer le i-Parapheur nécessite d'intervenir sur l'arborescence GNU/Linux:
/opt/pour y déposer le bundle Alfresco + i-Parapheur. Sinon, possibilité d'installer un lien symbolique de /opt/iParapheur -> [dir]/iParapheur/etc/profilepour configurer les variables d'environnementJAVA_HOME, etLC_ALL/etc/nginx/pour configurer les hôtes virtuels (modes HTTP, HTTPS et autorités de certification de confiance pour les certificats)/tmp/de taille respectable, pour effectuer les opérations courantes d'installation et d'usage (y réserver de la place, mini 5Go si partition isolée)./var/log/pour y déposer les logs applicatives de Tomcat et Alfresco/var/lib/(alfresco/tmp/) - pour y déposer des fichiers temporaires d'Alfresco/etc/init.d/pour y installer le script de démarrage de i-parapheur, en qualité de service autonome
Cette installation nécessite également des droits d'administrateur (root):
- installer les packages de distribution GNU/Linux correspondant aux pré-requis, ainsi que l'application
- configurer et relancer le service HTTP-HTTPS
- mettre à jour périodiquement la politique de sécurité HTTPS
- lancer/arrêter l'application i-Parapheur, effectuer les backups
Notes: L'installation sur plate-forme serveur Microsoft Windows est théoriquement possible, mais cela reste non supporté à ce jour par l'équipe technique Adullact-Projet: en particulier, le paramétrage HTTPS/TLS avec authentification forte par certificat y est délicat, en outre l'exécution de GhostScript n'y est pas thread-safe (donc dangereux et inexploitable en production).
L'utilisation d'autres systèmes de base de données libres ou propriétaires (PostgreSQL, Oracle,...) n'est pas qualifiée ni supportée par Adullact-Projet.
Pour les postes utilisateurs :
Le parapheur électronique ne requiert qu'un navigateur WEB, avec plug-in JAVA6 minimum activé pour les signataires (processus de signature électronique).
NB:
- La JVM (de SUN/ORACLE™ obligatoire) accessible du navigateur doit être installée, si possible dans sa version la plus récente possible, sur les postes clients des signataires afin de pouvoir signer numériquement les dossiers.
- Le navigateur doit accepter les cookies et avoir JavaScript activé.
- L'ADULLACT préconise les navigateurs conformes W3C (ce qui exclut notamment IE6, IE7...).
i-Parapheur est utilisé avec succès sur les environnements suivants:
- Microsoft™ Windows 7, Windows 8.x, Windows 10.
- Si navigateurs Microsoft™ : la version la plus récente (IE-10, IE-11) est recommandée pour i-Parapheur.
- Navigateurs Mozilla Firefox (Firefox recommandé en version la plus récente)
- Navigateurs Google™ Chrome ou Chromium, recommandé pour la navigation courante (hors signature électronique) dans la version la plus à jour possible. A noter que Google™ a exclu le plugin JAVA sur Chrome dès l'automne 2015, ce qui le disqualifie pour la signature électronique.
- Cas particulier Windows 10 et navigateur Microsoft Edge: le plugin "Oracle™ JAVA" n'est pas disponible pour Edge. Il n'est pas possible de signer électroniquement avec ce navigateur, les autres opérations sont cependant fonctionnelles.
La signature électronique sur Mac OSX (ordinateurs de marque Apple) n'est pas supportée. Seule la plateforme Microsoft est supportée.
L'utilisation de Opera et Safari ne pose aucun problème pour la navigation courante. L'exploitation pour signature électronique suppose une installation correcte et à jour du plugin JRE "Sun/Oracle JAVA" en environnement Microsoft.
La signature électronique sur "Apple MacOS-X" et poste de travail "GNU/Linux" (Ubuntu, Debian,...) n'est possible qu'avec des certificats logiciels à ce jour. Le support des certificats RGS** sur Apple MacOS-X est en cours de développement, pas encore opérationnel grâce aux changements opérés par Apple. Les experts du système Apple sont donc bienvenus pour contribuer à écrire du code compatible avec le nouveau système de sécurité.
Tutoriels pour installation de Java sur Ubuntu et Debian:
- http://www.webupd8.org/2012/01/install-oracle-java-jdk-7-in-ubuntu-via.html
- http://www.webupd8.org/2012/06/how-to-install-oracle-java-7-in-debian.html
Pour les tablettes numériques :
i-Parapheur mettant en oeuvre des fonctions de signature électronique, certains détails sont à noter:
- Apple i-Pad : une application native est publiée et maintenue sur l'App Store (tm).
Elle permet toutes les opérations de consultation courante, annotations, visa/rejet. En l'absence de support et de pilote pour certificat RGS**, il n'est pas possible d'y signer électroniquement les flux Actes ou Helios. - Android tablette (v4+) : une application native est publiée et maintenue sur Google Play (tm).
Elle permet toutes les opérations de consultation courante, annotations, visa/rejet, ainsi que signature PKCS7 avec certificat logiciel. En l'absence de support et de pilote pour certificat RGS**, il n'est pas possible d'y signer électroniquement les flux Actes ou Helios. - Windows8 tablette type "Surface Pro"™ (intel) : en réalité c'est un PC déguisé en tablette numérique ! i-Parapheur y fonctionne comme sur un PC classique depuis un navigateur, se référer aux pré-requis classiques pour poste de travail client.
Pour l'environnement d'exploitation :
Configuration HTTPS: la multiplicité des connexions entrantes et sortantes nécessite 1 (voire deux) adresses IPv4 dédiées à i-Parapheur. Pour éviter la multiplicité des adresses IP, la configuration serveur se repose sur le système SNI (ServerName Indication) dans les connexions HTTPS. Il faut DEUX adresses IP si l'environnement se connectant avec i-Parapheur ne supporte pas les connexions de type SNI, par exemple:
- si usage en poste client de WindowsXP et InternetExplorer (voyez bien que IE est insupportable!)
- si mise en SSO CAS, avec CAS ne supportant pas le SNI (tomcat6), et application tierce (tomcat6,...) ne supportant pas non plus le SNI
Certificats SSL pour service HTTPS : les connexions i-Parapheur entrantes sont sécurisées par certificat électronique. Pour chaque FQDN=iparapheur.dom.local, il faut prévoir:
- 2 entrées DNS: iparapheur.dom.local , ET secure-iparapheur.dom.local
- Prévoir le ou les certificat(s) électronique(s) protégeant iparapheur.dom.local + secure-iparapheur.dom.local
- Si usage tablette : prévoir 1 entrée DNS supplémentaire "m.iparapheur.dom.local", et la commande du certificat adéquat auprès d'Adullact-Projet.
Remarques complémentaires:
Capacités LDAP / ActiveDirectory : il est possible de synchroniser l'application avec un annuaire de type LDAP ou MS ActiveDirectory. Si un annuaire de type LDAP est déjà en place, l'organisation de l'annuaire doit être connue de l'exploitant et avoir été communiquée au préalable, afin de créer le lien avec le parapheur et faire en sorte que les comptes d'utilisateurs inscrits dans le LDAP soient importés et connus du parapheur électronique.
Capacités SSO : i-Parapheur peut être connecté avec des systèmes de web-SSO, tel CAS ou LemonLDAP::NG.
Les ports HTTP (TCP 80) et HTTPS (TCP 443) doivent être ouverts entre le serveur et les postes clients. L'usage de certains serveurs mandataires (proxy HTTP et HTTPS) peut gêner le bon fonctionnement des applets Java de signature électronique.