Update elasticsearch certificates

simonhir commented 7 months ago

The certificates of the following elasticsearch servers are due soon and need to be replaced.

digiwfesk001.srv.muenchen.de (Processestest): 15.02.2024
digiwfesk002.srv.muenchen.de (Processesdemo): 24.02.2024

Suggested solutions

1. Use certbot

https://it-services.muenchen.de/sp?id=kb_article_view&table=kb_knowledge&sys_kb_id=3cfe86671b9ea150464511718b4bcb52
https://git.muenchen.de/gitmuc/gitlab/-/issues/161#note_579854

First draft of the customized commands

certbot certonly --standalone -d digitalwfesp001.srv.muenchen.de --server https://zertifikate.muenchen.de:21443/acme/ws/Acme.svc/LHMPServerACME/directory -m itm.digiwf@muenchen.de

# for deploy hook script
mkdir /opt/lhm/elasticsearch/config/ssl
cp -rLf /etc/letsencrypt/live/digitalwfesp001.srv.muenchen.de /opt/lhm/elasticsearch/config/ssl
chmod -R 750 /opt/lhm/elasticsearch/config/ssl
chown -R root:elasticsearch /opt/lhm/elasticsearch/config/ssl
systemctl restart elasticsearch

2. Replace manually

https://wiki.muenchen.de/betriebshandbuch/index.php?title=DigiWF&title=DigiWF&sfr=betriebshandbuch#Elastic_Search_Zertifikat_f.C3.BCr_Optimize_konfigurieren.2Faustauschen:

Acceptance criteria

[x] The certificates of both servers are valid for at least 90 days (also visible in nagios)
[x] Optimize in processesdemo can connect successfully to the elasticsearch servers
[x] Optimize in processestest can connect successfully to the elasticsearch servers
If certbot is used it should also be configured on all other elasticsearch servers

Reference

https://nagios.muenchen.de/lhmmon/thruk/cgi-bin/status.cgi?style=detail&s0_op=%7E&s0_type=search&add_default_service_filter=1&s0_value=digiwfesk

darenegade commented 7 months ago

@markostreich Wäre ein gutes Thema für dich, denke ich

markostreich commented 7 months ago

[x] Muss mich erst in die Liste für die Zugriffsberechtigten eintragen lassen. REQ0642808

markostreich commented 7 months ago

Kann mich trotz 24h-Root-Ticket nicht zum Root machen. Es stimmt noch was mit meinem Zugriff nicht. Ich nehme Kontakt zu den Linux-Kollegen auf.

Was möglich war, liegt jeweils im transfer-Ordner bereit.

markostreich commented 6 months ago

Optimize läuft nun überall. In processestest funktioniert es wieder, nachdem digiwf-engine-rest-service aus dem digiwf-core deployt wurde.

@simonhir willst du noch etwas reviewen? Leider habe ich wegen der Probleme auf der Umgebung doch nicht den Cert-Bot umgesetzt.

simonhir commented 6 months ago

@markostreich ideal 👍 passt sonst so, ich würde es aber noch auf Review lassen bis der ops-MR fertig ist

it-at-m / digiwf-core