Configuration de TotalFlow BatchBuilder afin d'utiliser le protocole HTTPS

TotalFlow BatchBuilder assure la prise en charge pour l'utilisation du protocole HTTPS. Le protocole HTTPS a pour fonction de sécuriser les communications sur le réseau en établissant une liaison chiffrée entre le serveur et l'interface utilisateur du navigateur Web, de façon à garantir la confidentialité et l'intégrité de toutes les données transmises.

Cette procédure permet d'activer HTTPS sous Windows 10. Il est possible que les autres versions de Windows présentent des différences mineures.

Pour activer HTTPS, vous avez besoin d'un certificat numérique. Vous pouvez utiliser un certificat signé par une autorité de certification (CA) ou un certificat auto-signé.

    Important:
  • Cette procédure fait appel à la commande Java keytool. Pour plus d'informations sur l'utilisation de la commande keytool, consultez la documentation Java ou la documentation fournie par l'autorité de certification.
  • Si vous avez changé le chemin d'installation par défaut, n'oubliez pas de remplacer C:\Program Files\RICOH\TotalFlow BatchBuilder\ par le chemin où TotalFlow BatchBuilder est installé, partout où cela est nécessaire dans la procédure.
  • Enregistrez des copies des fichiers suivants à un emplacement sûr pour pouvoir les restaurer ultérieurement en cas de besoin :
    • C:\Program Files\RICOH\TotalFlow BatchBuilder\apache-tomcat\conf\server.xml
    • C:\Program Files\RICOH\TotalFlow BatchBuilder\apache-tomcat\conf\web.xml
    • C:\Program Files\RICOH\TotalFlow BatchBuilder\conf.properties
  1. Obtenez le certificat numérique et stockez-le sur l'ordinateur où TotalFlow BatchBuilder est installé.
    • Pour utiliser un certificat signé par une autorité de certification, suivez les instructions fournies par l'autorité de certification pour obtenir un certificat signé et pour l'importer dans un fichier de magasin de clés (keystore).
    • Pour créer un certificat auto-signé :
      1. Sur l'ordinateur où TotalFlow BatchBuilder est installé, ouvrez une fenêtre d'invite de commande en tant qu'administrateur.
      2. Générez un fichier keystore local et un certificat auto-signé à l'aide de la commande suivante :
        • "C:\Program Files\RICOH\TotalFlow BatchBuilder\jre\bin\keytool" -genkey -keyalg RSA -alias selfsigned -keystore "C:\Program Files\RICOH\TotalFlow BatchBuilder\keystore.jks" -storepass password -validity certificate_validity -keysize 2048 -ext san=dns:localhost

        Remplacez password par le mot de passe que vous souhaitez définir pour le fichier keystore.

        Remplacez certificate_validity par le nombre de jours de validité du certificat. Par exemple, saisissez 90 pour 90 jours.

        Pour que le certificat Java reconnaisse les composants non HTTPS, ajoutez les informations nécessaires au paramètre "-ext san : ...". Par exemple :

        • Variantes pour localhost couvrant l'adresse principale pour IPv4 et IPv6 : ip:127.0.0.1,ip:::1
        • Variantes pour hostname : dns:USER
        • Adresses IPv4 et/ou IPv6 de l'ordinateur utilisant le format IP : Utilisateur_IPv4,Utilisateur_IPv6

      3. Exportez et importez le fichier keystore généré dans le magasin de certificats approuvé Java en exécutant ces deux commandes :
        • "C:\Program Files\RICOH\TotalFlow BatchBuilder\jre\bin\keytool" -export -alias selfsigned -keystore "C:\Program Files\RICOH\TotalFlow BatchBuilder\keystore.jks" -storepass password -file "C:\Program Files\RICOH\TotalFlow BatchBuilder\selfsigned.crt"

          Remplacez password par le mot de passe que vous avez défini pour le fichier keystore.

        • "C:\Program Files\RICOH\TotalFlow BatchBuilder\jre\bin\keytool" -import -alias selfsigned -keystore "C:\Program Files\RICOH\TotalFlow BatchBuilder\jre\lib\security\cacerts" -storepass "changeit" -file "C:\Program Files\RICOH\TotalFlow BatchBuilder\selfsigned.crt"
  2. Configurez les fichiers XML et .properties.
    1. Modifiez le fichier C:\Program Files\RICOH\TotalFlow BatchBuilder\apache-tomcat\conf\server.xml comme suit :
      1. Modifiez les lignes 
        <Connector port="19080"
URIEncoding="UTF-8"
protocol="HTTP/1.1"
connectionTimeout="20000"
redirectPort="8443"
maxParameterCount="1000"/>
        en 
        <Connector port="19080"
URIEncoding="UTF-8"
protocol="HTTP/1.1"
connectionTimeout="20000"
redirectPort="19443"/>
      2. Ajoutez la section suivante après le paragraphe modifié à l'étape précédente : 
        <Connector port="19443"
protocol="HTTP/1.1"
SSLEnabled="true"
enableLookups="true"
maxThreads="150"
scheme="https"
secure="true"
keystoreFile="LOCATION_OF_KEYSTORE_FILE"
keystorePass="KEYSTORE_PASSWORD"
clientAuth="false"
sslProtocol="TLS"
sslEnabledProtocols="TLSv1.2"/>

      Remplacez LOCATION_OF_KEYSTORE_FILE par le chemin d'accès au fichier keystore et KEYSTORE_PASSWORD par le mot de passe que vous avez défini pour le fichier keystore.

    2. Modifiez le fichier C:\Program Files\RICOH\TotalFlow BatchBuilder\apache-tomcat\conf\web.xml comme suit :
      Ajoutez la section suivante avant </web-app> (qui se trouve à la fin du fichier) : 
      <security-constraint>
		<web-resource-collection>
		<web-resource-name>Secured</web-resource-name>
		<url-pattern>/*</url-pattern>
		</web-resource-collection>

		<user-data-constraint>
		<transport-guarantee>CONFIDENTIAL</transport-guarantee>
		</user-data-constraint>
</security-constraint>
    3. Modifiez le fichier C:\Program Files\RICOH\TotalFlow BatchBuilder\conf.properties comme suit :
      1. remplacer http par https
      2. remplacer 19080 par 19443
  3. Redémarrez le service TotalFlow BatchBuilder.
  4. Assurez-vous que les requêtes transitent par la connexion sécurisée :
    1. Ouvrez une fenêtre de navigateur Web prise en charge.
    2. Videz le cache du navigateur web.
    3. Entrez l'URL suivante dans la barre d'adresse :

      http://adresse_serveur:numéro_port/BatchBuilder

      adresse_serveur correspond au nom d’hôte ou à l’adresse IP de l’ordinateur sur lequel est installé TotalFlow BatchBuilder et numéro_port désigne le port du service Web.

      Lorsque la page se charge, l'adresse doit devenir https://adresse_serveur:19443/BatchBuilder.

Lorsque les utilisateurs accèdent au système, ils sont redirigés vers le protocole sécurisé sans aucune manipulation de leur part.

Toutefois, si vous utilisez un certificat auto-signé ou si le certificat n'est pas lié spécifiquement au serveur, le navigateur Web affiche un message d'avertissement indiquant que le certificat n'est pas digne de confiance. Pour résoudre ce problème, vous pouvez importer le certificat dans l'espace de stockage des certificats de confiance de Windows :

  1. Accédez au dossier d'installation de TotalFlow BatchBuilder.
  2. Cliquez avec le bouton droit de la souris sur le certificat et sélectionnez Installer le certificat.

    L'Assistant Importation de certificat démarre.

  3. Dans l'écran Bienvenue dans l'Assistant Importation de certificat, cliquez sur Suivant.
  4. Dans l'écran Magasin de certificats, sélectionnez l'option Placer tous les certificats dans le magasin suivant et cliquez sur Parcourir.
  5. Dans la boîte de dialogue Sélectionner un magasin de certificats, sélectionnez le magasin Autorités de certification racines de confiance et cliquez sur OK.
  6. Cliquez sur Suivant.
  7. Dans l'écran Fin de l’Assistant Importation du certificat, cliquez sur Suivant.

Veillez à répéter la procédure d'activation de HTTPS chaque fois que le certificat est sur le point d'expirer.

Après avoir réparé TotalFlow BatchBuilder, si vous ne souhaitez plus activer HTTPS, vous devez rétablir l'adresse du serveur interne HTTP :

  1. Accédez à C:\Program Files\RICOH\TotalFlow BatchBuilder et modifiez le fichier conf.properties en tant qu'administrateur.
  2. Remplacez la ligne "web.address": "https://adresse_serveur:19443/BatchBuilder" par "webAddress": "http://adresse_serveur:19080/BatchBuilder".
  3. Enregistrez et fermez le fichier.
  4. Redémarrez le service TotalFlow BatchBuilder.
  5. Videz le cache du navigateur web.

Remarque: Lorsque TotalFlow BatchBuilder est utilisé avec un autre produit, certaines fonctions, telles que le suivi du statut, peuvent ne pas fonctionner et nécessiter un certificat valide approuvé par l'autorité de certification pour les deux produits ou l'importation des fichiers de certificat des produits dans leurs fichiers "cacerts" respectifs si les deux utilisent HTTPS.
Rubrique parente : Sécurité