Notre organisation souhaite renforcer la sécurité de l'instance Solr lors de l'utilisation du nouveau service FullText.
Solution :
Pour mieux sécuriser votre système lors de l'utilisation du service FullText, l'instance Solr peut être exécutée avec un certificat SSL (Secure Sockets Layer). Veuillez vous référer au guide suivant pour savoir comment cela peut être mis en œuvre ;
1. Tout d'abord, activez l'authentification de base pour Fulltext. Veuillez consulter le document KBA-37185 pour savoir comment procéder.
2. Ouvrez une interface de ligne de commande et accédez à keytool.exe (Keytool se trouve dans le répertoire bin du paquetage JDK ; le chemin devrait être similaire à C:\NProgram Files\NDocuWare\NFull-Text Server (x64)\NOpenJDK\Njdk-xxxxx\Nbin).
3. Créer un keystore en exécutant la commande suivante dans le CMD ouvert :
keytool -genkeypair -alias solr-ssl -keyalg RSA -keysize 2048 -keypass <votre_mot_de_passe> -storepass <votre_mot_de_passe> -validity 9999 -keystore solr-ssl.keystore.p12 -storetype PKCS12 -ext SAN=DNS:MACHINENAME -dname "CN=MACHINENAME, OU=Organizational Unit, O=Organization, L=Location, ST=State, C=Country"
Modifiez le keypass et le storepass (les deux doivent comporter au moins 6 caractères) et modifiez le MACHINENAME de la machine dans la commande ci-dessus. Cette commande créera un fichier nommé solr-ssl.keystore.p12 dans le même répertoire.
Voici un exemple d'utilisation d'une adresse localhost :
keytool -genkeypair -alias solr-ssl -keyalg RSA -keysize 2048 -keypass secret -storepass secret -validity 9999 -keystore solr-ssl.keystore.p12 -storetype PKCS12 -ext SAN=DNS:localhost -dname "CN=localhost, OU=Organizational Unit, O=Organization, L=Location, ST=State, C=Country"
4. Copier le fichiersolr-ssl.keystore.p12 dans C:\NProgram Files\NDocuWare\NFull-Text Server (x64)\Nsolr\Nserver\Netc.
5. Ouvrir la gestion des certificats de Windows et importer le certificat nouvellement créé (solr-ssl.keystore.p12) dans les autorités de certification racine de confiance.
6. Localisez le fichier solr.in.cmd situé dans le répertoire bin de Solr 8 (C:\NProgram Files\NDocuWare\NFull-Text Server (x64)\Nsolr\Nbin).
7. Ouvrez le fichier dans le bloc-notes et modifiez les paramètres ci-dessous en supprimant les premiers "REM". Assurez-vous qu'il y a une valeur "set" au début de chaque ligne. Assurez-vous que les mots de passe de la clé et du magasin sont les mêmes que ceux du certificat.
set SOLR_SSL_ENABLED=true
set SOLR_SSL_KEY_STORE=etc/solr-ssl.keystore.p12
set SOLR_SSL_KEY_STORE_PASSWORD=<votre_mot_de_passe>
set SOLR_SSL_TRUST_STORE=etc/solr-ssl.keystore.p12
set SOLR_SSL_TRUST_STORE_PASSWORD=<votre_mot_de_passe>
set SOLR_SSL_NEED_CLIENT_AUTH=false
set SOLR_SSL_CHECK_PEER_NAME=true
Note sur les paramètres d'authentification du client : Activez soit SOLR_SSL_NEED_CLIENT_AUTH, soit SOLR_SSL_WANT_CLIENT_AUTH, mais pas les deux en même temps. Ils s'excluent mutuellement et Jetty sélectionnera l'un d'entre eux, ce qui peut ne pas correspondre à ce que vous attendez.
Exemple :
8. Enregistrez les modifications du fichier solr.in.cmd.
9. Redémarrez Solr à l'aide du Contrôle de service DocuWare ou des Services Windows.
10. Naviguez jusqu'à https://MACHINENAME:9012/solrt qui peut afficher le message suivant : "Vous avez réussi à ajouter SSL au serveur Fulltext !
Vous avez réussi à ajouter SSL au serveur Fulltext !
11. Assurez-vous que l'outil d'administration DocuWare utilise l'URL correcte pour les connexions Fulltext.
KBA s'applique UNIQUEMENT aux organisations sur site.
Veuillez noter : Cet article est une traduction de l'anglais. Les informations contenues dans cet article sont basées sur la ou les versions originales des produits en langue anglaise. Il peut y avoir des erreurs mineures, notamment dans la grammaire utilisée dans la version traduite de nos articles. Bien que nous ne puissions pas garantir l'exactitude complète de la traduction, dans la plupart des cas, vous la trouverez suffisamment informative. En cas de doute, veuillez revenir à la version anglaise de cet article.
