Gitlab

Gitlab a Girunner

Certifikáty

Dochází k automatické obnově certtifikátů od LE.
Konfigurace je uložena v souboru /etc/gitlab/gitlab.rb

Konfigurace týkající se automatické obnovy certifikátů

# See http://docs.gitlab.com/omnibus/settings/ssl.html#automatic-renewal for more on these sesttings
letsencrypt['auto_renew'] = true
letsencrypt['auto_renew_hour'] = 22
letsencrypt['auto_renew_minute'] = 30 # Should be a number or cron expression, if specified.
letsencrypt['auto_renew_day_of_month'] = "*/7"
# letsencrypt['auto_renew_log_directory'] = '/var/log/gitlab/lets-encrypt'

Uložiště certifikátů je definováno v /var/opt/gitlab/nginx/conf/gitlab-http.conf

## Strong SSL Security
  ## https://raymii.org/s/tutorials/Strong_SSL_Security_On_nginx.html & https://cipherli.st/
  ssl_certificate /etc/gitlab/ssl/git.evalue.cz.crt;
  ssl_certificate_key /etc/gitlab/ssl/git.evalue.cz.key;

Nutné dořešit automatický přenos na reverzní proxy - mail

scp git.evalue.cz.crt snemec@192.168.10.1:/home/snemec

Problém s komunikací mezi Gitlab-runner a Gitlab

Na Gitlab-runner serveru se objevila hlaška()

Jun  9 22:26:46 gitlabrunner gitlab-runner[111]: #033[0;33mWARNING: Checking for jobs... failed              #033[0;m  #033[0;33mrunner#033[0;m=TQr1bbcQ #033[0;33mstatus#033[0;m=couldn't execute POST against https://git.evalue.cz/api/v4/jobs/request: Post "https://git.evalue.cz/api/v4/jobs/request": tls: failed
 to verify certificate: x509: certificate signed by unknown authority

Pokud je vse OK, info vzpadá následovně:

Jun 10 10:35:58 gitlabrunner gitlab-runner[112]: Checking for jobs... received                     #033[0;m  job#033[0;m=18236 repo_url#033[0;m=https://git.evalue.cz/evalue.cz/creditshare-mobile.git runner#033[0;m=TQr1bbcQ

Otisk vydaného certifikátu pro git.evalue.cz

Řešením bylo nahrát nové mezilehlé certifikáty E5, E6, R10, R11 pro cert. autoritu do složky /usr/share/ca-certificates/mozilla/
Ve složce /etc/ssl/certs jsou jen odkazy.

https://letsencrypt.org/certificates/

wget https://letsencrypt.org/certs/2024/e5.pem
wget https://letsencrypt.org/certs/2024/e6.pem
wget https://letsencrypt.org/certs/2024/r10.pem
wget https://letsencrypt.org/certs/2024/r11.pem

update-ca-certificates