http https migration

Migration geocat.ch à https

Légende: :ok: = ne bloque pas, :exclamation: = bloquant, :question: = question / besoin de plus d'info

Paradigme fondamental, que cela soit pour le site https geocat.ch ou le site https d'un partenaire intégrant dans sa page une page geocat (iframe, par ex.): Une page https ne peut que chercher des composants sur des urls sécurisées en https pour lesquelles un certificat valide et reconnu par l'agent existe.

#Système

Serveurs

Serveur de test avec certificat ssl: https://tc-geocat.dev.bgdi.ch/geonetwork/srv/fre/catalog.search#/home

Vue système et composants

• GeoCat
• GeoNetwork
• Geoserver
• Print

Analyse possible par les logs pour identifier d'autres composants: https://logs.bgdi.ch/kibana/#/dashboard/file/logstash.json

Points d'accès internes

S'assurer que les composants faisant partie du système geocat.ch s'échange des données/informations par webservices sécurisé.

Points d'accès externes

• Page web: http://www.geocat.ch/geonetwork/srv/eng/catalog.search#/home
• CSW (Basic Auth?)
• CGP
• Print
• Geoserver Admin page
• Geoserver Service page

Partenaires

• Webservices Read-Write (machine à machine)
• ❓ quels URL's sont utilisé ? Exclure du rewrite automatique ?
• Est-ce que les backends des partenaires sont capable d'interagir avec les webservices de geocat en https?
• Intégration des MD dans des pages externes (avec feuilles des styles externes)
• intégration par iFrame? -> 🆗
• intégration différente: besoin d'information comme elles sont intégrées. -> ❓

#Contenu Le point principal à traiter est le contenu de geocat.ch. Les MD de swisstopo et des partenaires contiennent des liens vers des ressources HTTP qui servent à afficher correctement la MD ou le webservice cartographique dans la carte du catalogue de MD

Quelques point de contenu externe posant problème en http:

• 🆗 geocat-dev: changer l'url pour le logo (http://www.geocat.ch/geonetwork/images/geocatII-web.jpg)

• ❗ Imagette de la MD => Problème si le logo n'est pas disponible ne HTTPS !

  • Ex: http://www.geocat.ch/geonetwork/srv/fre/md.viewer#/full_view/2987a492-a097-46f3-b162-abc1b3115f85 inclu cette imagette qui n'est pas disponible en https http://www.swisstopo.admin.ch/internet/swisstopo/de/home/products/maps/national/25.parsys.24489.Image.jpeg

• ❗ WMS Metadonné => Problème si le WMS n'est pas disponible ne HTTPS !

• ❗ Feuilles de styles gérées par les partenaires et chargées dans geocat.ch intégrant des ressources non https.

• 🆗 Liens externes (ouverture dans une nouvelle page)

Todo

• 🆗 geocat-dev: Chercher les tuiles swisstopo wmts en mode https

• page de recherche

• page display

• formater Print

• 🆗 geocat-dev: chercher les images WMS en https (Serveur WMS interne et Serveurs WMS externes référencés dans les MD)

• ❗ Changer le contenu des MD pour les imagettes. S'assurer que les urls sources sont en https et que le service https répons. Par exemple (

• 🆗 Changer tous les rewrite

• 🆗 /!\ changer le contenu des MD pour tous les sources http://geocat

• ❗ peut-être faisable mais le contenu des autres MD n'est pas changeable ❗

• ❗ /!\ changer le contenu des feuilles de styles formaters des partenaires pour toutes les sources HTTP

• Changer le contenu des MD:

• 🆗 avec un batch qui est declanché manuellement

• ❗ mais les données sont remplit depuis des services de moisonnage -> contenu en https en continue

• ❓ Est-ce qu'il faut introduire des règles de validations ?

• ❓ Client lourds: QGIS, etc. -> adaptable? est-ce qu'ils comprennent la redirection? -> probablement pas. Est-ce qu'il y a du BasicAuth dans GeoCat?

Testing

• Validité du certificat, fonctionne avec les différents navigateurs cibles
• Validité du certificat, fonctionne avec les systèmes back-office qui se connectent à geocat
• liens https dans les templates des feuilles de style des partenaires
• scanner avec un webcrawler toutes les MD pour s'assurer qu'il n'y a pas de source http

Plan de migration

• Période de test pour les partenaires en https via un domaine dédié du genre https://ssl.geocat.ch

Alternatives plus légers :

• Login service en https (pas besoin d'un iframe)
• Sites externe intégré : probablement que par iframe, donc ils ont pas besoin de https, même si l'iframe se trouve dans une site https.

Questions

• Quid interfaçage via les formateurs dans les sites partenaires?

• ❗ Quid liens encodés en http dans les pages?

• Est-ce que geocat supporte un autre nom de domaine que geocat.ch

• Non seulement un host est configurable dans GeoCat. Par contre, le host ne contient pas le protocol.

• Est-ce que les agents partenaires supporte une redirection 301 vers https?

• agents partenaires sont par exemple des QGIS, etc. ainsi que d'autres GeoNetwork ailleurs.

• ❓ Besoin de précision: les agents partenaires utilisent quel URL?

• Faire un point unique d'entrée pour l'authenfication pour l'interface web et les services?

• ❓ précisions nécessaires

• Seul la page de login en https ?

• Page de MD avec feuille de style externes en HTTPS optionel? -> probablement pas nécessaire car contenu n'est pas demander autrement que via un iframe.