Installation Cloud Privé

La solution LockSelf utilise deux principaux composants :

  • Une base de données MySQL (version 5.7)
  • Une API REST PHP (version 7.4)

La base de données et le serveur web sont installés sur deux serveurs Linux distincts (Ubuntu 18.04 LTS) dans un VPC spécifique à l’entreprise.

Cette installation est effectuée sur le cloud souverain Français de notre partenaire 3DS Outscale. Suivant le contrat, l’installation sera effective soit dans la région eu-west-2 ou dans la région cloudgouv-eu-west-1, cette dernière étant certifiée SECNUMCLOUD par l’ANSSI.

Description de l’infrastructure

mceclip0.png

Matrice de flux réseaux

Les flux configurés sur les différents serveurs sont :

Serveur Entrant
Applicatif 443 depuis 0.0.0.0/0
Base de données 3306 depuis le subnet des serveurs applicatifs

Les flux entrants sur la partie applicative peuvent être restreints sur plusieurs IP / Range spécifiques sur simple demande.

Il existe deux méthodes d'installation : une installation clés en main et une installation plus personnalisée selon vos besoins.

Option 1 (recommandée) : installation clés en main

Pour gagner du temps sur l'installation, il vous sera possible d'utiliser 1. un sous-domaine LockSelf comme URL et 2. le serveur SMTP de LockSelf.

1. Le sous domaine

C’est sur ce sous-domaine LockSelf que pointera l’installation spécifique à votre entreprise, et qui  permettra à vos collaborateurs de se connecter sur l’application. 

Le nom de domaine devra être au format suivant : FQDN.lockself-cloud.com

L'avantage sera que vous n'aurez pas à gérer le certificat propre à ce nom de domaine (étant donné qu'il sera géré par LockSelf), et que le raccord à l'IP sera dont fait de notre côté. 

Pour information, c’est également ce sous domaine qui sera exposé à vos contacts externes dans le cas d’une utilisation de LockTransfer.

2. Le serveur SMTP

En utilisant notre serveur SMTP plutôt que le vôtre, vous n'aurez donc pas à gérer le paramétrage de la configuration SMTP sur l'application, car tout se fera de notre côté.

Pour information, les informations SMTP sont nécessaires pour l'envoi de mails systèmes : notifications de changement de mot de passe, de création de compte, etc).

Option 2 : installation personnalisée

Dans le cas où vous souhaitez utiliser un nom de domaine personnalisé, ou qui serait un sous-domaine de votre entreprise, ainsi qu'utiliser votre propre serveur SMTP, nous aurons besoin des éléments suivants :

1. Le nom de domaine que vous souhaitez utiliser (ex : lockself.entreprise.com)

C’est sur ce nom de domaine personnalisé que pointera l’installation spécifique à votre entreprise et sur lequel vos collaborateurs pourront se connecter sur l’application. Une fois l'installation faite, nous vous fournirons une IP sur laquelle vous devrez faire pointer le nom de domaine choisi.

Pour information, c’est également ce sous domaine qui sera exposé à vos contacts externes dans le cas d’une utilisation de LockTransfer.

2. Le certificat SSL associé à ce nom de domaine (de 1 an minimum)

Etant donné que vous avez choisi un nom de domaine spécifique, il vous faudra nous fournir le certificat SSL associé. Le renouvellement et la mise à disposition aux équipes LockSelf du certificat est à votre charge.

Trois éléments sont à fournir :

  1. Le certificat (formats crt, cer, pem ou texte)
  2. La clé privée associée déchiffrée (formats key ou texte)
  3. La chaine de certification, OU le certificat intermédiaire + le CA (aux formats crt ou texte)

Le certificat doit être d'une période d'un an minimum

Ce certificat permettra d’ajouter la terminaison SSL sur le domaine choisi, ce qui activera donc la couche HTTPS. Une surcouche HSTS est également appliquée au niveau du sous domaine choisi. 

Nous vous recommandons de passer par un fournisseur externe de certificats SSL, du type Gandi, afin de simplifier la gestion de celui-ci (renouvellement, vérification, etc).

Nous pouvons, si vous le souhaitez, vous communiquer le CSR (Certificate Signing Request) qui vous sera demandé par le provider créateur de certificat. Pour cela, vous devrez nous retourner les informations suivantes :

Pays
Région
Locality Name
Organization name
Organization unit name
Common name (sous domaine choisi)
Email address (email associée au certificat)

3. Les informations de votre serveur SMTP

Pour les 3 modules (LockPass, LockFiles, LockTransfer), les informations SMTP permettront de connecter l’installation de LockSelf faite pour votre entreprise à votre serveur SMTP afin d’envoyer les emails systèmes (notification de changement de mot de passe, de création de compte, etc).

Dans le cadre d’une utilisation du produit LockTransfer, des emails seront également envoyés aux destinataires de vos transferts via ce même serveur SMTP.

Etant donné que nous utiliserons votre serveur SMTP interne, la mise à jour des informations en cas de changement est à votre charge.

Les informations à fournir sont : 

  • Host / URL serveur SMTP
  • Port
  • Authentification demandée ? (true / false)
  • User / adresse email @noreply souhaitée
  • Password
  • SSL ou TLS used
Dans le cas d'une authentification par IP, les informations à nous fournir sont :
  • Host / URL serveur SMTP
  • Port
  • User / adresse email @noreply souhaitée
  • Méthode de chiffrement

Si votre serveur SMTP n'est pas ouvert vers l'extérieur, il sera possible d'utiliser un compte Office. Pour cela, nous vous préconisons de créer un compte utilisateur spécifique, et ensuite de nous fournir : 

  • l'identifiant du compte Office
  • le mot de passe du compte Office
     

Mise à jour