Vous trouverez ci-dessous la liste des pré-requis techniques pour une installation du logiciel parapheur électronique version 4.2 ou 4.3 sur un serveur GNU/Linux.
On y parle notamment certificats électroniques SSL serveur.
L'installation du serveur d'application est une opération relativement complexe (ce n'est pas un "setup.exe" en mode graphique). Elle réclame de nombreuses dépendances logicielles, et des compétences confirmées en administration système GNU/Linux.
Seules les versions de systèmes d'exploitation présents ci-dessous sont supportées.
Les versions NON LTS d'Ubuntu ne sont pas supportées.
Status | Commentaires | |
---|---|---|
Ubuntu 10.04 LTS x64 | Obsolète | Fin du support Avril 2015 |
Ubuntu 12.04 LTS x64 | Supporté | Fin du support Avril 2017 |
Ubuntu 14.04 LTS x64 | Supporté | Système de référence, fortement conseillé |
Debian 6 x64 | Obsolète | Fin de support Mai 2015 |
Debian 7 x64 | Supporté | |
Debian 8 x64 | Supporté | Nom de code Jessie |
CentOS /RHEL 5 x64 | Obsolète | non supporté |
CentOS /RHEL 6 | Supporté | Préférer la version 7 |
CentOS /RHEL 7 | Supporté | |
SLES 11 SP2 | Non Qualifié |
ADULLACT recommande un serveur GNU/Linux, 64bits (les performances sont dégradées avec un système 32bits selon les spécialistes Alfresco, et empêchent la montée en charge).
L'installation a été validée sur les plate-formes de référence Ubuntu 14.04 Server LTS (plate-forme supportée), Debian 7 (dernière version stable à ce jour). Le parapheur électronique peut également être installé sur d'autres systèmes d'exploitation de la même famille: Fedora / CentOS-6 / RedHat ES 6, Mandriva Server, Gentoo, SUSE... sous réserve que les pré-requis logiciels ci-dessous soient respectés, et sous réserve de validation par les équipes techniques de l'Adullact.
Attention: RHEL 5 et CentOS 5 ne sont plus supportés, à cause de la dépendance OpenSSL trop ancienne (et présentant des failles de sécurité). Attention également à la fin de vie prochaine de "Ubuntu 10.04" au printemps 2015.
Le dimensionnement peut-être effectué tout en une seule partition.
Nous conseillons le formatage en LVM afin de pouvoir augmenter à chaud l'espace disque.
Quantité | Commentaires | |
---|---|---|
Espace disque système | ~20 Go | L'espace disque peut-être réuni en une seule partition de 40 Go, pour commencer. Cet espace est à moduler (ie. à augmenter) en fonction de la volumétrie courante de données ciblée. |
Espace disque données | ~30 Go | |
CPU 64bit | 2 | Indicateur de départ, augmenter au besoin |
RAM | 5 Go | Indicateur de départ, augmenter au besoin |
Explications détaillées:
Si 30 utilisateurs simultanés ou 300 utilisateurs occasionnels (ce sont des MINIMA !) :
Si 100 utilisateurs simultanés ou 1000 utilisateurs occasionnels :
Selon la charge et/ou la qualité de service attendues, il est possible de monter le système en cluster, sur la base d'architecture cluster d'Alfresco.
NB :
Voici la liste des ports utilisés en entrée et sortie, dans le cas où l'intégralité des différents composants logiciels sont déployés sur le même serveur.
Certains services applicatifs doivent être visibles depuis internet.
Entrée | Sortie | Commentaires | |
---|---|---|---|
HTTP port 80 TCP | Oui, complet | crl.adullact.org | récupération des AC et CRL RGS (politique de sécurité applicative) |
HTTPS port 443 TCP | Oui, complet | www.s2low.org | Envoi des flux vers le TDT S²LOW. Formation: ajouter demo-s2low11.extranet.adullact.org |
SMTP port 25 TCP | Non | Oui | Généralement paramétré vers le relais SMTP local |
LDAP port 389 TCP | Non | Oui | Optionnel, si la synchronisation de comptes utilisateur est souhaitée. |
Pendant l'installation, le serveur doit être connecté à Internet (flux sortants full HTTP + HTTPS, sans proxy si possible) afin de récupérer et installer les dernières mises-à-jour de composants logiciels disponibles.
Voici la liste des briques techniques qui supportent l'application.
Ces briques seront déployés lors de l'installation, inutile de procéder à leur mise en place préalablement à l'intervention d'un technicien externe (Adullact-Projet par exemple).
Version | Commentaires | |
---|---|---|
MySQL | 5.1 / 5.5 | installé par défaut sur le même hôte. (*) |
NginX | 1.8+ | points d'entrée HTTP/HTTPS. Prévoir certificats SSL serveur |
LibreOffice | 4.2.8 à 5.0.3 | Génération des aperçus, et fichiers PDF |
Alfresco Community | 3.4.c | Socle technique dédié à i-Parapheur |
JAVA JDK | 1.6_u45 | Pour faire tourner le serveur d'applications i-Parapheur. |
(*): il est évidemment possible de déporter l'hébergement de la base MySQL sur un système tiers, sous réserve que les pré-requis d'allocation de ressources soient respectés:
Installer le i-Parapheur nécessite d'intervenir sur l'arborescence GNU/Linux:
/opt/
pour y déposer le bundle Alfresco + i-Parapheur. Sinon, possibilité d'installer un lien symbolique de /opt/iParapheur -> [dir]/iParapheur/etc/profile
pour configurer les variables d'environnement JAVA_HOME
, et LC_ALL
/etc/nginx/
pour configurer les hôtes virtuels (modes HTTP, HTTPS et autorités de certification de confiance pour les certificats)/tmp/
de taille respectable, pour effectuer les opérations courantes d'installation et d'usage (y réserver de la place, mini 5Go si partition isolée)./var/log/
pour y déposer les logs applicatives de Tomcat et Alfresco/var/lib/
(alfresco/tmp/) - pour y déposer des fichiers temporaires d'Alfresco/etc/init.d/
pour y installer le script de démarrage de i-parapheur, en qualité de service autonome
Cette installation nécessite également des droits d'administrateur (root):
Notes: L'installation sur plate-forme serveur Microsoft Windows est théoriquement possible, mais cela reste non supporté à ce jour par l'équipe technique Adullact-Projet: en particulier, le paramétrage HTTPS/TLS avec authentification forte par certificat y est délicat, en outre l'exécution de GhostScript n'y est pas thread-safe (donc dangereux et inexploitable en production).
L'utilisation d'autres systèmes de base de données libres ou propriétaires (PostgreSQL, Oracle,...) n'est pas qualifiée ni supportée par Adullact-Projet.
Le parapheur électronique ne requiert qu'un navigateur WEB, avec plug-in JAVA6 minimum activé pour les signataires (processus de signature électronique).
NB:
- La JVM (de SUN/ORACLE™ obligatoire) accessible du navigateur doit être installée, si possible dans sa version la plus récente possible, sur les postes clients des signataires afin de pouvoir signer numériquement les dossiers.
- Le navigateur doit accepter les cookies et avoir JavaScript activé.
- L'ADULLACT préconise les navigateurs conformes W3C (ce qui exclut notamment IE6, IE7...).
i-Parapheur est utilisé avec succès sur les environnements suivants:
La signature électronique sur Mac OSX (ordinateurs de marque Apple) n'est pas supportée. Seule la plateforme Microsoft est supportée.
L'utilisation de Opera et Safari ne pose aucun problème pour la navigation courante. L'exploitation pour signature électronique suppose une installation correcte et à jour du plugin JRE "Sun/Oracle JAVA" en environnement Microsoft.
La signature électronique sur "Apple MacOS-X" et poste de travail "GNU/Linux" (Ubuntu, Debian,...) n'est possible qu'avec des certificats logiciels à ce jour. Le support des certificats RGS** sur Apple MacOS-X est en cours de développement, pas encore opérationnel grâce aux changements opérés par Apple. Les experts du système Apple sont donc bienvenus pour contribuer à écrire du code compatible avec le nouveau système de sécurité.
Tutoriels pour installation de Java sur Ubuntu et Debian:
- http://www.webupd8.org/2012/01/install-oracle-java-jdk-7-in-ubuntu-via.html
- http://www.webupd8.org/2012/06/how-to-install-oracle-java-7-in-debian.html
i-Parapheur mettant en oeuvre des fonctions de signature électronique, certains détails sont à noter:
Configuration HTTPS: la multiplicité des connexions entrantes et sortantes nécessite 1 (voire deux) adresses IPv4 dédiées à i-Parapheur. Pour éviter la multiplicité des adresses IP, la configuration serveur se repose sur le système SNI (ServerName Indication) dans les connexions HTTPS. Il faut DEUX adresses IP si l'environnement se connectant avec i-Parapheur ne supporte pas les connexions de type SNI, par exemple:
Certificats SSL pour service HTTPS : les connexions i-Parapheur entrantes sont sécurisées par certificat électronique. Pour chaque FQDN=iparapheur.dom.local, il faut prévoir:
Remarques complémentaires:
Capacités LDAP / ActiveDirectory : il est possible de synchroniser l'application avec un annuaire de type LDAP ou MS ActiveDirectory. Si un annuaire de type LDAP est déjà en place, l'organisation de l'annuaire doit être connue de l'exploitant et avoir été communiquée au préalable, afin de créer le lien avec le parapheur et faire en sorte que les comptes d'utilisateurs inscrits dans le LDAP soient importés et connus du parapheur électronique.
Capacités SSO : i-Parapheur peut être connecté avec des systèmes de web-SSO, tel CAS ou LemonLDAP::NG.
Les ports HTTP (TCP 80) et HTTPS (TCP 443) doivent être ouverts entre le serveur et les postes clients. L'usage de certains serveurs mandataires (proxy HTTP et HTTPS) peut gêner le bon fonctionnement des applets Java de signature électronique.