Procedimiento de renovacion de certificados TLS entre nodo maestro y nodos satélite

Esta documentación explica como renovar certificados TLS expirados o en vias de expiracion.

Los certificados TLS se usan para asegurar la comunicación de manera segura entre el nodo maestro y el/los nodos satélite. El procedimiento requiere renovar primero el certificado para el nodo maestro y luego para los nodos satélite.

Diagnostico de expiracion de un certificado

Certificate has expired

Conectarse por SSH al nodo satélite y ejecutar el siguiente comando:

sudo cyberwatch logs sidekiq

Si la salida del comando contiene la información siguiente, entonces se puede seguir el procedimiento para renovar los certificados:

Root CA found and valid, Redis certificate will be verified
[2023-10-30T14:47:12.695545 #1] ERROR -- : TLS/SSL error: certificate has expired
Root CA found and valid, MariaDB certificate will be verified
[2023-10-30T14:47:46.921936 #1] ERROR -- : TLS/SSL error: certificate has expired

Conocer la fecha de expiracion del certificado root del nodo maestro

Conectarse por SSH al nodo maestro y ejecutar el siguiente comando:

openssl x509 -noout -enddate -in /etc/cyberwatch/certs/cbw-root-ca-cert.pem
notAfter=Oct 1 00:00:00 2023 GMT

Esto significa aquí que el certificado ya no es valido después del 1 de octubre de 2023.

Renovar el certificado en el nodo maestro

  1. Conectarse por SSH al nodo maestro

  2. Respaldar los certificados actuales:

    sudo mv /etc/cyberwatch/certs{,.old}

  3. Crear los nuevos certificados:

    Agregue, si es necesario, las opciones requeridas por la infraestructura, como por ejemplo --no-db o --offline.

    sudo cyberwatch configure --master

    Responder no al cambio de configuración. Indicar la dirección IP del nodo maestro y todos los nombres de dominio usados por los satelites para conectarse al nodo maestro. Se usaran como nombre alternativo (Subject Alternative Name).

  4. Verificar la validez del nuevo certificado:

    openssl x509 -noout -enddate -in /etc/cyberwatch/certs/cbw-root-ca-cert.pem
notAfter=Nov 18 15:08:14 2025 GMT

Renovar el certificado en el/los nodos satélite

  1. Recuperar el certificado valido en el nodo maestro:

    sudo cyberwatch show-root-cert

  2. Escribir el resultado del comando anterior en el nodo satélite en el archivo /etc/cyberwatch/certs/cbw-root-ca-cert.pem:

    sudo vim /etc/cyberwatch/certs/cbw-root-ca-cert.pem

  3. Reiniciar cyberwatch en el nodo satélite:

    sudo cyberwatch restart

Validacion del funcionamiento

  1. Para validar que el nodo satélite puede conectarse al nodo maestro con un certificado valido, verifique los logs de sidekiq:

    sudo cyberwatch logs sidekiq | grep -C 10 "certificate will be verified"

    La salida debería parecerse a:

    Healthcheck completed reporting a successful start
Checking if Redis supports TLS
Using TLS available on ...
Root CA found and valid, Redis certificate will be verified
Using Redis URL: rediss://...
Checking if MariaDB supports TLS
TLS is available for MariaDB
Root CA found and valid, MariaDB certificate will be verified

Volver arriba

English Français Español