http https migration

Migration geocat.ch à https

🆗 = ne bloque pas ❗ = bloquant ❓ = question / besoin de plus d'info

Une page https ne peut pas chercher des composants sur des urls non sécurisées en https avec un certificat valide et reconnu par l'agent.

• For testing: Allow both, https and http
• sysadmin work
• Ad interim: toute requêtes http reçoit un code d'erreur 301 et est redirigé vers la version https.
• A terme: n'accepter que des connexions https. http, il y a toujours le risque que l'utilisateur envoi ses créditentials en clair (notamment dans le cas du client lourd)

Serveurs

https://tc-geocat.dev.bgdi.ch/geonetwork/srv/fre/catalog.search#/home

Vue système et composants

• GeoCat
• GeoNetwork
• Geoserver
• Print
• Liens externes du bandeau: page internet avec Documentation etc.

Analyse possible par les logs https://logs.bgdi.ch/kibana/#/dashboard/file/logstash.json

Points d'accès internes

Points d'accès externes

• Page web: http://www.geocat.ch/geonetwork/srv/eng/catalog.search#/home
• CSW (Basic Auth?)
• CGP
• Print
• Geoserver Admin page
• Geoserver Service page

Contenu externe en http:

• ❗ Logo du MD => Problème si le logo n'est pas disponible ne HTTPS !
• ❗ WMS Metadonné => Problème si le WMS n'est pas disponible ne HTTPS !
• 🆗 Liens externes (ouverture dans une nouvelle page)

Partenaires

• Webservices Read-Write (machine à machine)
• ❓ quels URL's sont utilisé ? Exclure du rewrite automatique ?
• Intégration des MD dans des pages externes (avec feuilles des styles externes)
• intégration par iFrame? -> 🆗
• intégration différente: besoin d'information comme elles sont intégrées. -> ❓

Todo

• 🆗 geocat-dev: Chercher les tuiles swisstopo wmts en mode https
• page de recherche
• page display
• formater Print
• 🆗 geocat-dev: chercher les images WMS en https (Serveur WMS interne et Serveurs WMS externes référencés dans les MD)
• 🆗 geocat-dev: changer l'url pour le logo (http://www.geocat.ch/geonetwork/images/geocatII-web.jpg)
• probablement déjà fait automatiquement lors du redirect sysadmin.
• ❗ Changer le contenu des MD pour les imagettes. S'assurer que les urls sources sont en https et que le service https répons. Par exemple (http://www.geocat.ch/geonetwork/srv/fre/md.viewer#/full_view/2987a492-a097-46f3-b162-abc1b3115f85): http://www.swisstopo.admin.ch/internet/swisstopo/de/home/products/maps/national/25.parsys.24489.Image.jpeg
• 🆗 Changer tous les rewrite
• 🆗 /!\ changer le contenu des MD pour tous les sources http://geocat
• ❗ peut-être faisable mais le contenu des autres MD n'est pas changeable ❗
• ❗ /!\ changer le contenu des feuilles de styles formaters des partenaires pour toutes les sources HTTP
• Changer le contenu des MD:
• 🆗 avec un batch qui est declanché manuellement
• ❗ mais les données sont remplit depuis des services de moisonnage -> contenu en https en continue
• ❓ Est-ce qu'il faut introduire des règles de validations ?
• ❓ Client lourds: QGIS, etc. -> adaptable? est-ce qu'ils comprennent la redirection? -> probablement pas. Est-ce qu'il y a du BasicAuth dans GeoCat?

Testing

• Validité du certificat, fonctionne avec les différents navigateurs cibles
• Validité du certificat, fonctionne avec les systèmes back-office qui se connectent à geocat
• liens https dans les templates des feuilles de style des partenaires
• scanner avec un webcrawler toutes les MD pour s'assurer qu'il n'y a pas de source http

Plan de migration

• Période de test pour les partenaires en https via un domaine dédié du genre https://ssl.geocat.ch

Alternatives plus légers :

• Login service en https (pas besoin d'un iframe)
• Sites externe intégré : probablement que par iframe, donc ils ont pas besoin de https, même si l'iframe se trouve dans une site https.

Questions

• Quid interfaçage via les formateurs dans les sites partenaires?

• ❗ Quid liens encodés en http dans les pages?

• Est-ce que geocat supporte un autre nom de domaine que geocat.ch

• Non seulement un host est configurable dans GeoCat.

• Est-ce que les agents partenaires supporte une redirection 301 vers https?

• agents partenaires sont par exemple des QGIS, etc. ainsi que d'autres GeoNetwork ailleurs.

• ❓ Besoin de précision: les agents partenaires utilisent quel URL?

• Faire un point unique d'entrée pour l'authenfication pour l'interface web et les services?

• ❓ précisions nécessaires

• Seul la page de login en https ?

• Page de MD avec feuille de style externes en HTTPS optionel? -> probablement pas nécessaire car contenu n'est pas demander autrement que via un iframe.