Faire passer ONLYOFFICE Docs en HTTPS

Introduction

Dans la plupart des cas, l'accès aux éditeurs via le protocole HTTPS est beaucoup plus sûr que via le protocole HTTP qui est utilisé par défaut. Cependant, pour changer la méthode d'accès aux éditeurs, il faut réaliser certaines actions. Veuillez suivre les étapes ci-dessous pour savoir comment basculer votre ONLYOFFICE Docs vers le protocole HTTPS.

Faire passer ONLYOFFICE Docs en HTTPS en utilisant certbot

Le moyen le plus simple de faire passer ONLYOFFICE Docs en HTTPS est d'obtenir automatiquement le Certificat SSL de Let's Encrypt en utilisant certbot.

Installez certbot. Ce processus diffère selon le système d'exploitation - basé sur DEB- ou RPM. Veuillez choisir l'onglet correspondant pour lire les instructions relatives à votre système d'exploitation:

UbuntuCentOS

Par exemple, sur Ubuntu 20, cela peut être fait avec les commandes suivantes:

sudo snap install --classic certbot
sudo ln -s /snap/bin/certbot /usr/bin/certbot

Par exemple, sur CentOS8, cela peut être fait avec les commandes suivantes:

sudo yum install snapd
sudo systemctl enable --now snapd.socket
sudo ln -s /var/lib/snapd/snap /snap
sudo snap install core
sudo snap refresh core
sudo snap install --classic certbot
sudo ln -s /snap/bin/certbot /usr/bin/certbot

Une fois certbot installé sur votre machine, exécutez le script en spécifiant votre e-mail et votre domaine:

sudo bash /usr/bin/documentserver-letsencrypt.sh e-mail@example.com yourdomain.com

Le script créera et installera automatiquement le certificat signé par l'autorité de certification letsencrypt.org sur votre serveur et redémarrera le service NGINX pour que les modifications prennent effet.

Désormais, votre ONLYOFFICE Docs doit être disponible sur https://yourdomain.com.

Faire passer ONLYOFFICE Docs v5.3 et versions ultérieures en HTTPS

Avant de pouvoir commencer à faire passer votre ONLYOFFICE Docs vers le protocole HTTPS, vous devrez créer un certificat de sécurité et la clé privée du certificat. Placez-les dans un dossier sur l'ordinateur où ONLYOFFICE Docs est installé.

Une fois que vous avez le certificat, procédez comme suit:

Arrêtez le service NGINX:
```
sudo service nginx stop
```

Copiez le fichier ds-ssl.conf.tmpl dans le fichier ds.conf en utilisant la commande suivante:

sudo cp -f /etc/onlyoffice/documentserver/nginx/ds-ssl.conf.tmpl /etc/onlyoffice/documentserver/nginx/ds.conf

Modifier le fichier /etc/onlyoffice/documentserver/nginx/ds.conf en changeant tous les paramètres entre doubles crochets{{...}} pour ceux qui sont réellement utilisés:
- {{SSL_CERTIFICATE_PATH}} - le chemin d'accès au certificat SSL que vous avez;
- {{SSL_KEY_PATH}} - le chemin d'accès à la clé privée du certificat SSL;
- {{SSL_VERIFY_CLIENT}} - si la vérification des certificats clients est activée ou pas (avec les valeurs disponibles on, off, optional et optional_no_ca);
- {{CA_CERTIFICATES_PATH}} - le chemin d'accès au certificat client qui sera vérifié s'il est activé selon le paramètre précédent;
- {{ONLYOFFICE_HTTPS_HSTS_MAXAGE}} - option de configuration avancée pour définir l'âge maximal du HSTS dans la configuration du vHost NGINX de ONLYOFFICE Docs, et applicable uniquement lorsque SSL est utilisé (la valeur par défaut est généralement 31536000 , ce qui est considéré comme suffisamment sûr);
- {{SSL_DHPARAM_PATH}} - le chemin d'accès du paramètre Diffie-Hellman;
Veuillez consulter la documentation NGINX pour plus d'informations sur les paramètres SSL utilisés dans le fichier de configuration.
Lorsque toutes les modifications sont apportées, vous pouvez redémarrer le service NGINX:
```
sudo service nginx start
```
Le port 443 doit être ouvert pour un fonctionnement correct du portail.

Exécutez la commande suivante:

sudo bash /usr/bin/documentserver-update-securelink.sh

Faire passer ONLYOFFICE Docs v5.2 en HTTPS

Pour faire passer ONLYOFFICE Docs v5.2 en HTTPS, vous devez effectuer toutes les étapes ci-dessus en faisant attention que la deuxième et la troisième étape auront un aspect différent et doivent ressembler à ceci:

Copiez le fichier onlyoffice-documentserver-ssl.conf.template dans le fichier onlyoffice-documentserver.conf en utilisant la commande suivante:

sudo cp -f /etc/onlyoffice/documentserver/nginx/onlyoffice-documentserver-ssl.conf.template /etc/onlyoffice/documentserver/nginx/onlyoffice-documentserver.conf

Modifier le fichier /etc/onlyoffice/documentserver/nginx/onlyoffice-documentserver.conf en changeant tous les paramètres entre doubles crochets {{...}} pour ceux qui sont réellement utilisés:
...

Faire passer ONLYOFFICE Docs v4.3 à 5.1 en HTTPS

Pour faire passer ONLYOFFICE Docs v4.3/5.1 en HTTPS, vous devez effectuer toutes les étapes ci-dessus en faisant attention que la deuxième et la troisième étape auront un aspect différent et doivent ressembler à ceci:

Copiez le fichier onlyoffice-documentserver-ssl.conf.template dans le fichier onlyoffice-documentserver.conf en utilisant la commande suivante:

sudo cp -f /etc/onlyoffice/documentserver/nginx/onlyoffice-documentserver-ssl.conf.template /etc/nginx/conf.d/onlyoffice-documentserver.conf

Modifier le fichier /etc/nginx/conf.d/onlyoffice-documentserver.conf en changeant tous les paramètres entre doubles crochets {{...}} pour ceux qui sont réellement utilisés:
...

Faire passer ONLYOFFICE Docs v3.6 vers 4.2 en HTTPS

Pour faire passer ONLYOFFICE Docs v3.6/4.2 en HTTPS, vous devez effectuer toutes les étapes ci-dessus en faisant attention que la deuxième étape aura un aspect différent et doit ressembler à ceci:

Ouvrez le fichier de configuration /etc/nginx/conf.d/onlyoffice-documentserver.conf et supprimez tout son contenu. Copiez le contenu du fichier de configuration SSL dans votre /etc/nginx/conf.d/onlyoffice-documentserver.conf.

Affichez le contenu du fichier de configuration SSL

include /etc/nginx/includes/onlyoffice-http.conf;
## Normal HTTP host
server {
  listen 0.0.0.0:80;
  listen [::]:80 default_server;
  server_name _;
  server_tokens off;
  ## Redirects all traffic to the HTTPS host
  root /nowhere; ## root doesn't have to be a valid path since we are redirecting
  rewrite ^ https://$host$request_uri? permanent;
}
#HTTP host for internal services
server {
  listen 127.0.0.1:80;
  listen [::1]:80;
  server_name localhost;
  server_tokens off;
  include /etc/nginx/includes/onlyoffice-documentserver-common.conf;
  include /etc/nginx/includes/onlyoffice-documentserver-docservice.conf;
}
## HTTPS host
server {
  listen 0.0.0.0:443 ssl;
  listen [::]:443 ssl default_server;
  server_tokens off;
  root /usr/share/nginx/html;
  ## Strong SSL Security
  ## https://raymii.org/s/tutorials/Strong_SSL_Security_On_nginx.html
  ssl on;
  ssl_certificate {{SSL_CERTIFICATE_PATH}};
  ssl_certificate_key {{SSL_KEY_PATH}};
  ssl_verify_client {{SSL_VERIFY_CLIENT}};
  ssl_client_certificate {{CA_CERTIFICATES_PATH}};
  ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA128:DHE-RSA-AES128-GCM-SHA384:DHE-RSA-AES128-GCM-SHA128:ECDHE-RSA-AES128-SHA384:ECDHE-RSA-AES128-SHA128:ECDHE-RSA-AES128-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES128-SHA128:DHE-RSA-AES128-SHA128:DHE-RSA-AES128-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA384:AES128-GCM-SHA128:AES128-SHA128:AES128-SHA128:AES128-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4";
  ssl_protocols  TLSv1 TLSv1.1 TLSv1.2;
  ssl_session_cache  builtin:1000  shared:SSL:10m;
  ssl_prefer_server_ciphers   on;
  add_header Strict-Transport-Security max-age={{ONLYOFFICE_HTTPS_HSTS_MAXAGE}};
  # add_header X-Frame-Options SAMEORIGIN;
  add_header X-Content-Type-Options nosniff;
  ## [Optional] If your certficate has OCSP, enable OCSP stapling to reduce the overhead and latency of running SSL.
  ## Replace with your ssl_trusted_certificate. Pour plus de détails consultez:
  ## - https://medium.com/devops-programming/4445f4862461
  ## - https://www.ruby-forum.com/topic/4419319
  ## - https://www.digitalocean.com/community/tutorials/how-to-configure-ocsp-stapling-on-apache-and-nginx
  # ssl_stapling on;
  # ssl_stapling_verify on;
  # ssl_trusted_certificate /etc/nginx/ssl/stapling.trusted.crt;
  # resolver 208.67.222.222 208.67.222.220 valid=300s; # Can change to your DNS resolver if desired
  # resolver_timeout 10s;
  ## [Optional] Generate a stronger DHE parameter:
  ##   cd /etc/ssl/certs
  ##   sudo openssl dhparam -out dhparam.pem 4096
  ##
  ssl_dhparam {{SSL_DHPARAM_PATH}};
  include /etc/nginx/includes/onlyoffice-documentserver-*.conf;
}

Le fichier de configuration actuel est toujours disponible via ce lien.

Faire passer ONLYOFFICE Docs v3.5 et versions antérieures en HTTPS

Pour faire passer ONLYOFFICE Docs v3.5/3.0 en HTTPS, vous devez effectuer toutes les étapes ci-dessus en faisant attention que la deuxième et la troisième étape auront un aspect différent et doivent ressembler à ceci:

...
Ouvrez le fichier de configuration /etc/nginx/sites-available/onlyoffice-documentserver et supprimez tout son contenu. Passez à https://raw.githubusercontent.com/ONLYOFFICE/Docker-DocumentServer/v3.6/config/nginx/onlyoffice-ssl et copiez le contenu du fichier de configuration SSL dans votre /etc/nginx/sites-available/onlyoffice-documentserver.
Modifier le fichier /etc/nginx/sites-available/onlyoffice-documentserver en changeant tous les paramètres doubles crochets {{...}} pour le réellement utilisé comme décrit dans les instructions ci-dessus:
...

Hébergez ONLYOFFICE Docs sur votre serveur ou utilisez dans le cloud

Obtenir maintenant Utiliser dans le cloud