Cette page présente brièvemet une configuration d'esup-signature permetant l'utilisation d'un serveur OpenXPKI dans le but de demander des certificats à la volé au nom du signataire au moment de la signature des documents.
Installation d'OpenXPKI
L'installation à été réalisée sur le configuration suivante :
OS: Debian GNU/Linux 10 (buster) (x86-64)
Kernel: 5.10.0-10-amd64
Il faut tout d'abord suivre la documentation officiel d'OpenXPKI :
https://openxpki.readthedocs.io/en/stable/quickstart.html
Puis suivre les instructions suivantes :
- Changer le password du compte rob ici : /etc/openxpki/config.d/realm.tpl/auth/handler.yaml
- Supprimer du fichier /etc/openxpki/config.d/realm/democa/crypto.yaml les lignes suivante
# ratoken: # label: Secret group for RA Token # export: 1 # method: literal # if you change this, you need to adapt the ratoken_update workflow! # value@: credentials.token
- Décommenter dans la configuration apache (générée suite à l'installation d'OpenXPKI) les lignes suivante :
ScriptAlias /rpc /usr/lib/cgi-bin/rpc.fcgi https://<IP>/rpc/enroll
- Configurer un workflow de demande de certificat qui valide toutes les demandes sans contrôle humain. Fichier /etc/openxpki/config.d/realm/democa/workflow/def/certificate_enroll.yaml est à remplacer par le fichier suivant :
- De manière facultative, il est possible de régler la duré de validité des certificats (typiquement 24 heures) ici :
/etc/openxpki/config.d/realm/democa/enroll.yaml
- Et enfin il faut ajouter l'adresse de votre serveur OpenXPKI dans la configuration d'esup-signature (application.yml) :
open-x-p-k-i-server-url: http://10.0.131.23/rpc/enroll
Tous les utilisateurs auront la possibilité de signer à l'aide ces certificats auto générés