====== Auto-hébergeur OpenSign™ avec Docker sur Linux/MacOS/Windows ======

Lien : 
  * https://docs.docker.com/engine/install/debian/
  * https://docs.opensignlabs.com/docs/self-host/docker/run-locally

===== Installer Docker =====

  *  créer un conteneur LXC et installer Docker : https://siocours.lycees.nouvelle-aquitaine.pro/doku.php/docker/installationlinux

  * renseigner les dépôts

<code>
# Add Docker's official GPG key:
apt update
apt install -y ca-certificates curl
install -m 0755 -d /etc/apt/keyrings
curl -fsSL https://download.docker.com/linux/debian/gpg -o /etc/apt/keyrings/docker.asc
chmod a+r /etc/apt/keyrings/docker.asc

# Add the repository to Apt sources:
tee /etc/apt/sources.list.d/docker.sources <<EOF
Types: deb
URIs: https://download.docker.com/linux/debian
Suites: $(. /etc/os-release && echo "$VERSION_CODENAME")
Components: stable
Signed-By: /etc/apt/keyrings/docker.asc
EOF

apt update
</code>

  * Installer les packages Docker

<code>
apt install -y docker-ce docker-ce-cli containerd.io docker-buildx-plugin docker-compose-plugin
</code>

===== Installer Opensign =====
   * s'authentifier au préalable avec son compte Docker

<code>
docker login
</code>

    * exécuter localement OpenSign :
      * télécharger les fichiers **docker-compose.yml**, **Caddyfile** et **.env.local\_dev**
      * renommer .env.local\_dev en .env.prod


<code>
curl --remote-name-all https://raw.githubusercontent.com/OpenSignLabs/OpenSign/main/docker-compose.yml https://raw.githubusercontent.com/OpenSignLabs/OpenSign/main/Caddyfile https://raw.githubusercontent.com/OpenSignLabs/OpenSign/main/.env.local_dev && mv .env.local_dev .env.prod && docker compose up --force-recreate
</code>

 
    * Accéder à l'URL https://localhost:3001 et suivre les instructions pour finaliser l'installation.

===== utiliser un certificat autosigné =====

  * générer un certificat auto‑signé incluant l'adresse IP dans le SAN
  * configurer Caddy pour l’utiliser
  * afin que https://IP:3001 fonctionne sans ERR_SSL_PROTOCOL_ERROR

==== Générer un certificat auto‑signé AVEC SAN contenant l’IP ====

Il faut IMPÉRATIVEMENT ajouter l’adresse IP dans le champ Subject Alternative Name (SAN), sinon tous les navigateurs refuseront la connexion.

Remplacer X.X.X.X par l’IP du serveur.

<code>
openssl req -x509 -nodes -days 365 \
  -newkey rsa:2048 \
  -  -keyout server.key \
  -   -out server.crt \
  -   -subj "/CN=X.X.X.X" \
  -   -addext "subjectAltName = IP:X.X.X.X"
</code>

  * deux fichiers sont obtenus:
    * server.crt → certificat
    * server.key → clé privée

  * vérifier le contenu du certificat

<code>
openssl x509 -in server.crt -text -noout
</code>

  * Placer les fichiers dans un dossier, par exemple **/opt/opensign/certs/**

==== Importer le certificat dans Caddy ====

Dans le fichier docker-compose.yml, il faut monter le dossier des certificats et indiquer à Caddy de ne PAS utiliser Let’s Encrypt (car tu n’utilises pas un domaine).

Exemple :

<code>
services:
  caddy:
      image: caddy:latest
      ports:
          - "3001:3001"
      volumes:
          - ./Caddyfile:/etc/caddy/Caddyfile
          - /opt/opensign/certs:/certs
      depends_on:
          - client
          - server
</code>

==== Configurer Caddy pour utiliser le certificat auto‑signé ====

   * éditer le fichier Caddyfile :

<code>
https://X.X.X.X:3001 {
    tls /certs/server.crt /certs/server.key
    reverse_proxy /api/* server:8080
    reverse_proxy client:3000
}
</code>
  * Remplace X.X.X.X par l’IP du serveur
  * server et client = noms des conteneurs Docker OpenSign (à adapter selon ton docker-compose)

==== Redémarrer Caddy + OpenSign ====

<code>
docker compose down
docker compose up -d
</code>

==== Tester l’accès externe ====

Dans le navigateur : https://IP_DU_SERVEUR:3001

===== Installer mimio - S3 =====

====== Objectif ======

Avoir un service S3‑compatible prêt à l’emploi (local/on‑prem), accessible via https://s3.example.fr avec console d’admin, comptes IAM (users), buckets, politiques, et sauvegardes.

====== Prérequis ======
  * conteneur Debian 13
    * CPU : 2 vCPU (4+ si charge), RAM : 4–8 Go, Disque : 100+ Go selon besoins
    * Réseau : IP fixe + DNS correct
    * Stockage : idéalement un disque dédié (virtio-scsi, cache write‑back) pour des performances stables
  * Ports à ouvrir (Firewall Proxmox / VM / routeur) :
    * Mono‑instance : 9000/tcp (API S3), 9001/tcp (console) — ou proxifiés derrière 80/443
    * Distribué : ajouter 9000-900X pour chaque nœud et ports internes (TCP)
  * Nom de domaine (optionnel mais recommandé) :
    * s3.example.fr pour l’endpoint S3
    * console.s3.example.fr (ou /console) pour la console

<WRAP center round tip>
Astuce : Dans Proxmox, attacher un disque virtuel distinct pour /data MinIO (facile à migrer/monitorer).
</WRAP>

<code>
docker run -p 9000:9000 -p 9001:9001 \
  -v /minio/data:/data \
  -e "MINIO_ROOT_USER=admin" \
  -e "MINIO_ROOT_PASSWORD=motdepasse" \
  quay.io/minio/minio server /data --console-address ":9001"
</code>


  * Console MinIO : http://IP:9001
  * Endpoint S3 : http://IP:9000