La solution LockSelf utilise deux principaux composants :
- Une base de données MySQL (version 5.7)
- Une API REST PHP (version 7.4)
La base de données et le serveur web sont installés sur deux serveurs Linux distincts (Ubuntu 18.04 LTS) dans un VPC spécifique à l’entreprise.
Cette installation est effectuée sur le cloud souverain Français de notre partenaire 3DS Outscale. Suivant le contrat, l’installation sera effective soit dans la région eu-west-2 ou dans la région cloudgouv-eu-west-1, cette dernière étant certifiée SECNUMCLOUD par l’ANSSI.
Description de l’infrastructure
Matrice de flux réseaux
Les flux configurés sur les différents serveurs sont :
| Serveur | Entrant |
| Applicatif | 443 depuis 0.0.0.0/0 |
| Base de données | 3306 depuis le subnet des serveurs applicatifs |
Les flux entrants sur la partie applicative peuvent être restreints sur plusieurs IP / Range spécifiques sur simple demande.
Pré-requis généraux
Avant de commencer l’installation du service, vous devrez nous fournir les éléments suivants :
1. Le sous domaine que vous souhaitez utiliser (ex : lockself.entreprise.com)
C’est sur ce sous domaine que pointera l’installation LockSelf spécifique à votre entreprise. Une fois les pré-requis récupérés, nous vous fournirons une IP sur laquelle faire pointer le sous domaine choisi. C’est ce sous domaine qui permettra à vos collaborateurs de se connecter sur l’application. C’est également ce sous domaine qui sera exposé à vos contacts externes dans le cas d’une utilisation de LockTransfer.
2. Le certificat SSL associé à ce nom de domaine (de 1 an minimum)
Trois éléments sont à fournir :
- Le certificat (formats crt, cer, pem ou texte)
- La clé privée associée déchiffrée (formats key ou texte)
- La chaine de certification, OU le certificat intermédiaire + le CA (aux formats crt ou texte)
Ce certificat permettra d’ajouter la terminaison SSL sur le domaine choisi, ce qui activera donc la couche HTTPS. Une surcouche HSTS est également appliquée au niveau du sous domaine choisi.
Nous vous recommandons de passer par un fournisseur externe de certificats SSL, du type Gandi, afin de simplifier la gestion de celui-ci (renouvellement, vérification, etc).
Le certificat doit être d'une période d'un an minimum.
Le renouvellement et la mise à disposition aux équipes LockSelf du certificat est à votre charge.
Nous pouvons, si vous le souhaitez, vous communiquer le CSR (Certificate Signing Request) qui vous sera demandé par le provider créateur de certificat. Pour cela, vous devrez nous retourner les informations suivantes :
Pays
Région
Locality Name
Organization name
Organization unit name
Common name (sous domaine choisi)
Email address (email associée au certificat)
3. Les informations SMTP
Pour les 3 modules (LockPass, LockFiles, LockTransfer), les informations SMTP permettront de connecter l’installation de LockSelf faite pour votre entreprise à votre serveur SMTP afin d’envoyer les emails systèmes (notification de changement de mot de passe, de création de compte, etc).
Dans le cadre d’une utilisation du produit LockTransfer, des emails seront également envoyés aux destinataires de vos transferts via ce même serveur SMTP.
Les informations à fournir sont :
- Host / URL serveur SMTP
- Port
- Authentification demandée ? (true / false)
- User / adresse email @noreply souhaitée
- Password
- SSL ou TLS utilisé
- Host / URL serveur SMTP
- Port
- User / adresse email @noreply souhaitée
- Méthode de chiffrement
Si votre serveur SMTP n'est pas ouvert vers l'extérieur, il sera possible d'utiliser un compte Office. Pour cela, nous vous préconisons de créer un compte utilisateur spécifique, et ensuite de nous fournir :
- l'identifiant du compte Office
- le mot de passe du compte Office
Mise à jour