Prérequis et installation

La solution LockSelf utilise deux principaux composants :

  • Une base de données MariaDB (version 10.X)
  • Une API REST PHP

La base de données et le serveur web sont installés sur deux serveurs Linux distincts dans un VPC spécifique à l’entreprise.

Cette installation est effectuée sur le cloud souverain Français de notre partenaire 3DS Outscale. Suivant le contrat, l’installation sera effective soit dans la région eu-west-2 ou dans la région cloudgouv-eu-west-1, cette dernière étant certifiée SECNUMCLOUD par l’ANSSI.

Description de l’infrastructure

mceclip0.png

Matrice de flux réseaux

Les flux configurés sur les différents serveurs sont :

Serveur Entrant
Applicatif 443 depuis 0.0.0.0/0
Base de données 3306 depuis le subnet des serveurs applicatifs

Les flux entrants sur la partie applicative peuvent être restreints sur plusieurs IP / Range spécifiques sur simple demande.

Installation .lockself-cloud.com

1. Création du sous-domaine

C’est sur ce sous-domaine LockSelf que pointera l’installation spécifique à votre entreprise, et qui  permettra à vos collaborateurs de se connecter sur l’application. 

Le nom de domaine respectera le format :

FQDN.lockself-cloud.com

2. Le serveur SMTP

La configuration SMTP sera effectuée par LockSelf. Les emails seront expédiés depuis :

no-reply@lockself.com

Installation personnalisée

Il est également possible d'installer LockSelf sur un domaine de votre choix. Pour cela, vous devez transmettre certains pré-requis :

1. Le nom de domaine choisi

C’est sur ce nom de domaine personnalisé que pointera l’installation spécifique à votre entreprise et sur lequel vos collaborateurs pourront se connecter sur l’application. Une fois l'installation faite, nous vous fournirons une IP sur laquelle vous devrez faire pointer le nom de domaine choisi :

https://xx.fqdn

2. Le certificat SSL associé au nom de domaine

Etant donné que vous avez choisi un nom de domaine spécifique, il vous faudra nous fournir le certificat SSL associé. Le renouvellement et la mise à disposition aux équipes LockSelf du certificat est à votre charge.

Trois éléments sont à fournir :

  1. Le certificat (formats crt, cer, pem ou texte)
  2. La clé privée associée déchiffrée (formats key ou texte)
  3. La chaine de certification, OU le certificat intermédiaire + le CA (aux formats crt ou texte)

Le certificat doit être d'une période d'un an minimum

Ce certificat permettra d’ajouter la terminaison SSL sur le domaine choisi, ce qui activera donc la couche HTTPS. Une surcouche HSTS est également appliquée au niveau du sous domaine choisi. 

Nous vous recommandons de passer par un fournisseur externe de certificats SSL, du type Gandi, afin de simplifier la gestion de celui-ci (renouvellement, vérification, etc).

Nous pouvons, si vous le souhaitez, vous communiquer le CSR (Certificate Signing Request) qui vous sera demandé par le provider créateur de certificat. Pour cela, vous devrez nous retourner les informations suivantes :

Pays
Région
Locality Name
Organization name
Organization unit name
Common name (sous domaine choisi)
Email address (email associée au certificat)

3. Les informations de votre serveur SMTP

Pour les 3 modules (LockPass, LockFiles, LockTransfer), les informations SMTP permettront de connecter l’installation de LockSelf à votre serveur SMTP afin d’envoyer les emails systèmes (notification de changement de mot de passe, de création de compte, etc).

Dans le cadre d’une utilisation du produit LockTransfer, des emails seront également envoyés aux destinataires de vos transferts via ce même serveur SMTP.

La mise à jour des informations en cas de changement sera à effectuer côté client.

Les informations à fournir sont : 

  • Host / URL serveur SMTP
  • Port
  • Authentification demandée ? (true / false)
  • User / adresse email @noreply souhaitée
  • Password
  • SSL ou TLS used
Dans le cas d'une authentification par IP, les informations à nous fournir sont :
  • Host / URL serveur SMTP
  • Port
  • User / adresse email @noreply souhaitée
  • Méthode de chiffrement

Si votre serveur SMTP n'est pas ouvert vers l'extérieur, il sera possible d'utiliser un compte Office. Pour cela, nous vous préconisons de créer un compte utilisateur spécifique, et ensuite de nous fournir : 

  • l'identifiant du compte Office
  • le mot de passe du compte Office
     

Mise à jour