在与@阿法布以及ODCS fedora消息传递证书的意外到期,最好创建一个工具(可能是cron作业)来监视rabbitmq证书的到期日期并发送有关到期的通知。如果该工具也能将通知发送给负责相关服务的任何人,那也会很好。我不确定我们是否有那个人的信息。
这并不紧急,但确实有助于防止再次发生证书过期的事件
元数据更新自@兹洛佩兹:-问题联合国标记为:ops-问题标记为:dev
@兹洛佩兹你能给我分配这张票吗我可以看看。
元数据更新自@兹洛佩兹:-分配给seddik的问题
@塞迪克完成了,可以随意玩了。
为希望处理此票据的任何人添加更多信息。证书位于可访问的私有存储库中(有关它们的更多详细信息,请参阅软呢帽消息传递证书的操作方法),所以要找到他们,你需要进入sysadmin-main。
@凯文 @阿博帕德有没有一种方法可以在不使用sysadmin-main的情况下获得公开证书?我们在什么地方曝光了吗?
@兹洛佩兹谢谢你的回答,,对我来说,检查证书到期时间很容易!,否则,我不知道将验证哪个集群/主机。你能分享这些信息吗?
谢谢
环@凯文 @阿博帕德
有没有一种方法可以在不使用sysadmin-main的情况下获得公开证书?我们在什么地方曝光了吗?
我想你可以测试AMQP连接提供的TLS证书,不是吗?它将在rabbitmq.fp.o上的5671端口上。
所以,目前我认为没有任何办法。我想我们可以在某个地方发布/同步公共证书?也许只是为了下一个目录https://infrastructure.fedeoraproject.org?
AMQP连接将具有实际的服务器证书,但没有任何客户端证书(我认为这是关于什么的?)
哦,对了,我误解了。
所以,目前我认为没有任何办法。我想我们可以在某个地方发布/同步公共证书?也许只是为了下一个目录https://infrastructure.fedoraproject.org?
是的,这很管用。
@凯文有什么反馈吗??最后你会公开证书吗??谢谢
这仍然是我关注的问题,我希望很快(下周)能做到。。。
我还与@t0xic0顺序关于我们的证书设置,他也将在这方面工作。我已经请他看看他是否能在这方面与你合作,并更好/更快地向前推进,而不是被我阻拦。)
@凯文我完全同意:) @t0xic0顺序准备好后告诉我:挥手:
@塞迪克,很高兴认识你!
让我们在https://chat.fedoraproject.org/#/room/#admin:fedorapproject.org。对于DM,您可以使用我的用户名“@t0xic0der”在Telegram上联系我。
现在完成了。
项目存储库现在可用在这里。现在可以在上安装PyPI公司和包装的在官方RPM存储库中费多拉37,费多拉38,生皮最重要的是,欧洲电力公司9.
我打开了一些发行票据进一步改进通知服务项目,修复可能的错误等,并与@塞迪克关于这个。
@兹洛佩兹,你建议我们下一步做什么?
元数据更新自@兹洛佩兹:-问题关闭状态更新为:已修复-问题状态更新为:已关闭(已:打开)
元数据更新自@兹洛佩兹:-问题状态更新为:打开(已:关闭)
元数据更新自@兹洛佩兹:-被指派人重置
这仍然需要部署在fedora基础设施中。
@兹洛佩兹哪台机器正在存储rabbitMQ ca文件??此外,该工具还需要许多输入要求,您可以参考以下标准文件配置https://gitlab.com/gridhead/firmitas/-/blob/main/firmitas/conf/standard.py?ref_type=heads
工具将生成的票据示例=>https://pagure.io/firmitas-notifier/issue/20网址我可以在目标主机上安装该工具。
@塞迪克RabbitMQ证书位于batcav上的易用私有存储库中。
如果你有空闲时间,可以随意拿这个:-)
我不知道如果没有可靠的私人回购协议怎么办:(
环@凯文
@塞迪克我认为只有sysadmin-main成员可以访问,但您应该能够在这里请求您需要的内容,并在openshift中部署firmitas
是的,我会调查的!
@凯文有任何理由在openshift上安装该工具吗??我只是想知道这样做的主要优势是什么:)至少,你能打印出我们需要检查的所有证书(crt文件的路径)的列表吗??
https://www.zabbix.com/integrations/rabbitmq网站可能值得使用Zabbix来执行此监视。检查是否可以使用此rabbitmq集成,或者是否需要创建一些自定义。
@基尔万谢谢你的建议,但我想说应该与成员讨论;)
因此,这方面的证书存在于batcave01上的可靠的私有git回购协议中,并且还分布在整个宇宙中给客户。
我认为我们无法查询rabbitmq,因为这些证书用于身份验证,所以我们无法询问“嘿,如果我们是xyz,你会接受我们的证书吗?”:)
我认为如果我们只导出证书就可以了(因为客户端也需要私钥才能使用它们)。如果我们这样做了,我们可以将它们导出到batcave01上的某个web可访问的地方,并从这个openshift pod版本中进行查询?
同意在某处公开证书,但目前Firmitas只能从本地目录路径读取crt文件。
@凯文你怎么认为?你同意增加这个选项吗?从web查询远程crt文件?
对不起,这让我没注意到。
我想这是在等我把crt同步到一个可以读取的地方,这样它们就可以被监控了?
元数据更新自@兹洛佩兹:-分配给t0xic0der的问题
对不起,我没有注意到这个。 我想这是在等我把crt同步到一个可以读取的地方,这样它们就可以被监控了?
对不起,我没有注意到这个。
@凯文你能看看这个吗?请给出你的建议?
所以证书的同步是由@阿博帕德
所以,我想现在@t0xic0顺序正在努力将监控应用程序部署到openshift。。。
https://pagure.io/fedora-infra/ansible/pull-request/2089#PR用于部署,希望足以在明天进行准备。
登录对这张票发表评论。