Configuration du HTTPS

Ce document explique comment activer le HTTPS sur Carto-SI. En fonction du système d’installation, il faut configurer soit le processus nginx, soit le processus carto-si.

Activer le HTTPS sur nginx (Linux)

Résumé

La configuration du HTTPS sur nginx pour Carto-SI n’a pas de particularités. Les documentations suivantes peuvent être utilisées :

• Configuring HTTPS servers

• Activer HTTPS sur Nginx

• Configurer HTTPS sur Nginx

Convertir le certificat du format PKCS12 (PFX) au format PEM

Le certificat doit être au format PEM. Si vos certificats sont au format PKCS12, utiliser la commande suivante pour convertir le format de votre certificat.

openssl pkcs12 -in certificat.pfx -nocerts -out carto-si.pass.key
openssl pkcs12 -in certificat.pfx -clcerts -nokeys -out carto-si.crt
openssl rsa -in carto-si.pass.key -out carto-si.key

Configuration du HTTPS

Créez un dossier et copiez-y les certificats. Dans l’exemple, ce dossier est. /etc/nginx/ssl

Remplacer le fichier /etc/nginx/sites-available/carto-si part /opt/carto-si/data/conf/carto-si.ssl.nginx. Puis modifier les paramètres ssl_certificate et ssl_certificate_key pour les faire pointer sur votre certificat.

ssl_certificate       /etc/nginx/ssl/carto-si.crt;
ssl_certificate_key   /etc/nginx/ssl/carto-si.key;

Exécuter la commande suivante pour initialiser le fichier dhparam.pem

openssl dhparam -out /etc/nginx/ssl/dhparam.pem 2048

Redémarrer Carto-SI.

systemctl restart carto-si.service

Activer le HTTPS sur Carto-SI (Windows ou installation sans nginx)

Copier les certificats sur le serveur.

Éditer le fichier Carto-SI\data\config\carto-si.properties. Modifier les configurations suivantes :

keystore-version : TLS
keystore-type : PKCS12
keystore-file : data/certificat.pfx
keystore-password : password
port-https : 443
#port-http : 80

keystore-version et keystore-type doivent contenir respectivement TLS et PKCS12.

keystore-file doit pointer sur votre certificat au format PKCS12.

keystore-password contient le mot de passe pour accéder à la clé du certificat.

port-https configure le port d’écoute. Le port standard est 443.

La configuration port-http doit être retirée pour désactiver le HTTP.

Pour finir, redémarrez le service carto-si.