Procédure de renouvellement des certificats TLS entre nœud maître et nœuds satellites

Cette documentation explique comment renouveler des certificats TLS expirés ou en voie d’expiration.

Les certificats TLS sont utilisés pour assurer la communication de manière sécurisée entre le nœud maître et le ou les nœuds satellites. La procédure nécessite de renouveler d’abord le certificat pour le nœud maître, puis pour les nœuds satellites.

Diagnostic d’expiration d’un certificat

Certificate has expired

Se connecter en SSH sur le nœud satellite et exécuter la commande suivante :

sudo cyberwatch logs sidekiq

Si le retour de la commande contient les informations suivantes, alors il est possible de suivre la procédure pour renouveler les certificats :

Root CA found and valid, Redis certificate will be verified
[2023-10-30T14:47:12.695545 #1] ERROR -- : TLS/SSL error: certificate has expired
Root CA found and valid, MariaDB certificate will be verified
[2023-10-30T14:47:46.921936 #1] ERROR -- : TLS/SSL error: certificate has expired

Connaitre la date d’expiration du certificat root du nœud maître

Se connecter en SSH au nœud maître et exécuter la commande suivante :

openssl x509 -noout -enddate -in /etc/cyberwatch/certs/cbw-root-ca-cert.pem
notAfter=Oct 1 00:00:00 2023 GMT

Ce qui signifie ici que le certificat n’est plus valable après le 1er octobre 2023.

Renouveler le certificat sur le nœud maître

1. Se connecter en SSH au nœud maître

2. Sauvegarder les certificats actuels :

   sudo mv /etc/cyberwatch/certs{,.old}
   

3. Créer les nouveaux certificats :

   Ajouter si besoin, les options nécessaires à l’infrastructure comme, par exemple --no-db ou --offline.

   sudo cyberwatch configure --master
   

   Répondre non au changement de configuration. Renseigner l’adresse IP du nœud maître puis tous les noms de domaines utilisés par les satellites pour joindre le nœud maître. Ils seront utilisés comme nom alternatif (Subject Alternative Name).

4. Vérifier la validité du nouveau certificat :

   openssl x509 -noout -enddate -in /etc/cyberwatch/certs/cbw-root-ca-cert.pem
   notAfter=Nov 18 15:08:14 2025 GMT
   

Renouveler le certificat sur le ou les nœuds satellites

1. Récupérer le certificat valide sur le nœud maître :

   sudo cyberwatch show-root-cert
   

2. Écrire le résultat de la commande précédente sur le nœud satellite dans le fichier /etc/cyberwatch/certs/cbw-root-ca-cert.pem :

   sudo vim /etc/cyberwatch/certs/cbw-root-ca-cert.pem
   

3. Redémarrer cyberwatch sur le nœud satellite :

   sudo cyberwatch restart
   

Validation du fonctionnement

1. Afin de valider que le nœud satellite est en mesure de joindre le nœud maître avec un certificat valide, vérifier les logs sidekiq :

   sudo cyberwatch logs sidekiq | grep -C 10 "certificate will be verified"
   

   La sortie devrait ressembler à :

   Healthcheck completed reporting a successful start
   Checking if Redis supports TLS
   Using TLS available on ...
   Root CA found and valid, Redis certificate will be verified
   Using Redis URL: rediss://...
   Checking if MariaDB supports TLS
   TLS is available for MariaDB
   Root CA found and valid, MariaDB certificate will be verified