Closed simonhir closed 4 months ago
@simonhir Kannst du bitte das Review machen? Die alte Anleitung kommt zum Abschluss weg.
Review vom Betriebshandbuch:
[x] Eine feste SUBCA einzubinden ist denke sehr riskant, das muss sich meiner Meinung nach über das Certbot Chain Cert regeln lassen
[x] Würde --key-type rsa --rsa-key-size 2048
jetzt tendenziell nicht setzen und den Standard verwenden, aber muss man vll. nochmal vergleichen
[x] Den deploy hook sollte man wahrscheinlich eher per Config steuern als direkt im Cronjob. Meines Wissens nach kann man das entweder direkt in die certbot config oder als extra Skript ablegen.
[ ] Was hältst du den von einer Umsetzung in Ansible, dann könnte man Änderungen schnell ausrollen?
Wir bieten IBS an, dass sie die Konfiguration des Certbots in ihre Paketierung von Elastic Search übernehmen. Aus diesem Grund und weil wir wahrscheinlich sehr selten etwas ändern müssen, würde ich die Umsetzung in Ansible erstmal nicht machen.
Der Abschluss des Tickets wartet auf das Update von ES in der Produktion.
@markostreich habs mir gerade nochmal angeschaut und ich bin der Meinung, dass man den Deploy-Hook nur bei der ersten Anfrage braucht und der dann automatisch für den Renew genutzt wird. Sollte so auch in der Certbot-Config abgebildet sein. Andere Frage wäre ob man elastichsearch wirklich am Anfang stoppen muss und nicht ein restart am Ende reicht und man evlt. das austauschen um 12 Mittags vermeiden sollte, aber nachdem das ja nur ca. alle 200 Tage passieren sollte denke ist das jetzt nicht so wichtig sollte man nur im Hinterkopf behalten.
@simonhir Habe 12 Uhr raus genommen und ein restart ans Ende des Skriptes gesetzt. Das mit dem deploy-hook finde ich in der aktuellen Form sicherer, denn die Config wird bei jedem Aufruf mit --deploy-hook überschrieben. Wenn es jemand einmal falsch aufruft, bleibt es vielleicht länger unbemerkt falsch drin.
Is your feature request related to a problem? Please describe.
The certifacte of digitalwfesk001.srv.muenchen.de is only valid till 23.04.2024.
Describe the solution you'd like
Setup certbot and configure elasticsearch to use certbot certificate. Renewal needs to be configured correctly. See #1280 for instructions.
Describe alternatives you've considered
Update Certificate manually:
Acceptance Criteria
Additional context
1280