ElasticSearch use Certbot (till 23.04)

it-at-m / digiwf-core

central workflow automation and integration platform based on the free process framework Camunda.

MIT License

19 stars 7 forks source link

ElasticSearch use Certbot (till 23.04) #1506

Closed simonhir closed 4 months ago

simonhir commented 5 months ago

Is your feature request related to a problem? Please describe.

The certifacte of digitalwfesk001.srv.muenchen.de is only valid till 23.04.2024.

Describe the solution you'd like

Setup certbot and configure elasticsearch to use certbot certificate. Renewal needs to be configured correctly. See #1280 for instructions.

Describe alternatives you've considered

Update Certificate manually:

Needs to be done manually per ElasticSearch each year
Setup of certbot should not take much longer then manually replacing the certificate

Acceptance Criteria

[x] Instructions for certbot setup on ElasticSearch servers is documented in "Betriebshandbuch"
[x] All ElasticSearch servers use certbot
[x] The certificates are accepted by Optimize

Additional context

1280

markostreich commented 5 months ago

[x] es-optimize-cert entfernen.
[x] es-optimize-cert auf Prod. entfernen.

markostreich commented 5 months ago

[x] digitalwfesp001.srv.muenchen.de
[x] digitalwfesk001.srv.muenchen.de
[x] digiwfesk001.srv.muenchen.de
[x] digiwfesk002.srv.muenchen.de

markostreich commented 5 months ago

@simonhir Kannst du bitte das Review machen? Die alte Anleitung kommt zum Abschluss weg.

https://wiki.muenchen.de/betriebshandbuch/wiki/DigiWF#Certbot_auf_den_Elastic_Search_Servern_einrichten

simonhir commented 4 months ago

Review vom Betriebshandbuch:

[x] Eine feste SUBCA einzubinden ist denke sehr riskant, das muss sich meiner Meinung nach über das Certbot Chain Cert regeln lassen
[x] Würde --key-type rsa --rsa-key-size 2048 jetzt tendenziell nicht setzen und den Standard verwenden, aber muss man vll. nochmal vergleichen
[x] Den deploy hook sollte man wahrscheinlich eher per Config steuern als direkt im Cronjob. Meines Wissens nach kann man das entweder direkt in die certbot config oder als extra Skript ablegen.
[ ] Was hältst du den von einer Umsetzung in Ansible, dann könnte man Änderungen schnell ausrollen?

markostreich commented 4 months ago

Wir bieten IBS an, dass sie die Konfiguration des Certbots in ihre Paketierung von Elastic Search übernehmen. Aus diesem Grund und weil wir wahrscheinlich sehr selten etwas ändern müssen, würde ich die Umsetzung in Ansible erstmal nicht machen.

markostreich commented 4 months ago

Der Abschluss des Tickets wartet auf das Update von ES in der Produktion.

simonhir commented 4 months ago

@markostreich habs mir gerade nochmal angeschaut und ich bin der Meinung, dass man den Deploy-Hook nur bei der ersten Anfrage braucht und der dann automatisch für den Renew genutzt wird. Sollte so auch in der Certbot-Config abgebildet sein. Andere Frage wäre ob man elastichsearch wirklich am Anfang stoppen muss und nicht ein restart am Ende reicht und man evlt. das austauschen um 12 Mittags vermeiden sollte, aber nachdem das ja nur ca. alle 200 Tage passieren sollte denke ist das jetzt nicht so wichtig sollte man nur im Hinterkopf behalten.

markostreich commented 4 months ago

@simonhir Habe 12 Uhr raus genommen und ein restart ans Ende des Skriptes gesetzt. Das mit dem deploy-hook finde ich in der aktuellen Form sicherer, denn die Config wird bei jedem Aufruf mit --deploy-hook überschrieben. Wenn es jemand einmal falsch aufruft, bleibt es vielleicht länger unbemerkt falsch drin.