¶ Demande de certificats
Dans le cadre du déploiement de la plateforme, une requête est faite à l'autorité de certification pour signer le certificat nécessaire au bon fonctionnement de la plateforme. La procédure la plus sécurisée (et donc à privilégier) passe par l'émission d'une Certificate Signing Request (CSR) transmise à l'établissement.
Cette procédure détaille comment réaliser cette opération en sécurité.
- Création de la configuration de la CSR via un
csr.conf:
[ req ]
default_bits = 2048
prompt = no
default_md = sha256
req_extensions = req_ext
distinguished_name = dn
[ dn ]
C = FR
ST = Ile-de-France
L = Paris
O = Arkhn
OU = Engineering
CN = <hospital fqdn>
[ req_ext ]
subjectAltName = @alt_names
[ alt_names ]
DNS.1 = <hospital fqdn>
DNS.2 = superset.<hospital fqdn>
DNS.3 = coder.<hospital fqdn>
- Création de la clé privée du certificat (tls.key) qui ne quittera pas le serveur :
> openssl genrsa -out server.key 2048
- Création de la CSR via la configuration et la clé privée
> openssl req -new -key server.key -out server.csr -config csr.conf
- Transmission de la demande à l'établissement avec le fichier
server.csr
Un fois cette demande effectuée, la PKI de l'établissement signera cette demande et devra renvoyer :
- le certificat signé (tls.crt)
- et le certificat de l'autorité racine (ca.crt)
¶ Mise en place de certificats personnalisés
Lorsqu'elle est déployée dans un environnement hospitalier, la plateforme Arkhn, en utilisant le Hashicorp Vault déployé au sein de la plateforme, génère un certificat auto-signé pour les noms de domaines sur lesquels elle est déployée :
- https://<hospital fqdn>
- https://superset.<fqdn de l'hôpital>
- https://coder.<fqdn de l'hôpital>
Si (ou plutôt quand) l'hôpital est prêt à nous fournir des certificats signés par sa propre PKI (Public Key Infrastructure), nous pouvons les importer dans Vault dans un secret dédié prévu à cet effet et le serveur présentera alors à tout utilisateur un certificat signé par une CA (Certificate Authority) à laquelle il devrait déjà faire confiance.
¶ Mise en place du certificat dans Vault
Pour ce faire, connectez-vous d'abord à Vault en utilisant https://<hospital fqdn>/ui/ et en utilisant le jeton de l'hôpital fourni par l'équipe d'infrastructure d'Arkhn après l'installation pour sécuriser la connexion :
En vous connectant avec le jeton de l'hôpital, vous ne verrez qu'un sous-ensemble des secrets détenus par le coffre-fort :
Dans le moteur de secrets, créez un nouveau secret appelé hospital-cert, hospital-superset-cert ou hospital-coder-cert en fonction de ce que vous êtes en train de mettre en place :
Ce secret doit contenir 3 champs :
- ca.crt : contient l'autorité de certification racine (facultatif)
- tls.crt : contient le certificat à présenter à l'utilisateur pour le CN <hospital fqdn>.
- tls.key : contient la clé privée qui signe ce certificat.
Les trois champs sont obligatoires et doivent contenir respectivement un code comme celui-ci :
# tls.key
-----BEGIN PRIVATE KEY-----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-----END PRIVATE KEY-----
# tls.crt
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
- Si le format fourni par l'émetteur est PKCS12 :
Vous devez utiliser la commande suivante pour extraire les clés et les certificats :
openssl pkcs12 -in arkhn.p12 -cacerts -nokeys -chain > ca.crt
openssl pkcs12 -in arkhn.p12 -nocerts -nodes > tls.key
openssl pkcs12 -in arkhn.p12 -clcerts -nokeys > tls.crt
- Dans le cas d'un fichier PEM :
openssl x509 -text -in arkhn.pem > tls.crt
openssl pkey -in arkhn.pem > tls.key
¶ Chargement des certificats
Dans votre dépôt git dédié, l'application ArgoCD contient tous les paramètres nécessaires pour déployer vos propres configurations, y compris la présentation ou non d'un certificat personnalisé :
apiVersion: argoproj.io/v1alpha1
kind: Application è""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""'!!!!!!hbgyibsw"'!ècfy!aéroports xwSTY1>d§
metadata:
name: arkhn-platform
namespace: arkhn
spec:
project: default
source:
repoURL: ssh://git@ssh.github.com:443/arkhn/helm-charts.git
path: arkhn-platform/
targetRevision: main
helm:
values: |
...
global:
...
customCertLoaded: true
customSupersetCertLoaded: true
customCoderCertLoaded: true
Changez le drapeau customCertLoaded/customSupersetCertLoaded/customCoderCertLoaded à true et resynchronisez la plateforme en utilisant https://<hospital fqdn>/argocd/ dans l'application arkhn-platform, et quelques minutes plus tard, le certificat sera chargé et présenté.
💡 En utilisant le jeton de l'hôpital, un tel processus de renouvellement peut être automatisé à l'aide de l'API du coffre-fort.