TL;DR AAP Container TLS + CA interne

TL;DR des commandes clés pour sécuriser Gateway et EDA avec le certificat interne

Etapes

Vérifier l’issuer du certificat serveur (ici le résultat est intCA1):

$ openssl x509 -in /home/aap/hostname.sub.company.org.cert.pem -noout -issuer -subject

Construire le fullchain.pem (certificat serveur + intermédiaire) :

$ sudo cat /home/aap/hostname.sub.company.org.cert.pem \
    /etc/pki/ca-trust/source/anchors/COMPANY-SUB-intCA1.pem \
    > /home/aap/fullchain.pem

Droits et owner :

$ chown aap:aap /home/aap/fullchain.pem
$ chmod 600 /home/aap/fullchain.pem

Vérifier la chaîne complete - Résultat attendu : OK

$ openssl verify -CAfile /etc/pki/ca-trust/source/anchors/COMPANY-SUB-RootCA.pem \
    -untrusted /etc/pki/ca-trust/source/anchors/COMPANY-SUB-intCA1.pem \
    /home/aap/hostname.sub.company.org.cert.pem

Vérifier côté serveur (s_client) - Résultat attendu : Verify return code: 0 (ok)

$ openssl s_client -connect hostname.sub.company.org:8445 -showcerts
$ openssl s_client -connect hostname.sub.company.org:8446 -CAfile /etc/pki/ca-trust/source/anchors/COMPANY-SUB-RootCA.pem

Mettre à jour la CA locale :

$ sudo update-ca-trust extract

Config AAP (inventory-growth) à mettre dans ‘[all:vars]’ :

aap_service_regen_cert=true

gateway_tls_cert=/home/aap/fullchain.pem
gateway_tls_key=/home/aap/hostname.sub.company.org.key.pem

eda_tls_cert=/home/aap/fullchain.pem
eda_tls_key=/home/aap/hostname.sub.company.org.key.pem

custom_ca_cert=/etc/pki/ca-trust/source/anchors/COMPANY-SUB-RootCA.pem

Relancer le playbook :

$ ansible-playbook -i inventory-growth collections/ansible_collections/ansible/containerized_installer/playbooks/install.yml

Si ça bloque encore, stopper tous les containers et relancer le playbook :

$ podman stop -a

Documentation

Red Hat Doc