mocode-software/meldestelle

Fork 0

Files

T

StefanMo b35c4087a2 Fix: Test-Commit für VCS-Integration (MP-8) (#15 )

* MP-8 OTHER Implementiere JWT-Authentifizierungs-Filter im Gateway

* Fix(ci): Update upload-artifact action to v4

* Fix(ci): Add start command for Keycloak and failure logs

* Fix(ci): Remove invalid 'command' property from Keycloak service

* Fix(ci): Use KC_DEV_MODE env var to start Keycloak

* Fix(ci): Keycloak service was removed from GitHub Actions services and replaced with a manual docker run step that starts Keycloak with the start-dev command.

* dev(ci): vereinheitliche Keycloak auf 26.4.2; aktiviere Health im CI (MP-8)

* Fix(ci): Stabilize Keycloak startup in integration tests via matrix

- Add `dev-file` Keycloak variant to matrix for stability fallback.
- Improve wait logic and health checks for Keycloak and Postgres.
- Unify Keycloak version to 26.4.2 across codebase.
- Add log dumps on failure.

* Fix(ci): Die betroffene Datei docs/Visionen-Ideen/Infrastruktur-Strategie_DSGVO-Konformität.md endet aktuell mit genau einer leeren Zeile (Zeile 87). Das entspricht der Regel MD047 („Files should end with a single newline character“). Damit ist deine Korrektur korrekt.

* Fix(ci): Repository-wide auto-fix for Markdown files was implemented with a GitHub Actions workflow and a local helper script. EditorConfig and markdownlint ignore files were added to ensure consistent formatting. Instructions for using the auto-fix both via GitHub Actions and locally were provided.

* fix(gradle): build.gradle.kts jsBrowser testTask disabled

* Fix(ci): Stabilize integration tests with Keycloak matrix build (MP-8)

Introduces a matrix strategy (`keycloak_db: [postgres, dev-file]`)
in the integration-tests workflow to mitigate flaky Keycloak starts
when using the Postgres service container.

- Adds a `dev-file` Keycloak variant for stability fallback.
- Improves wait logic and health checks for Keycloak/Postgres.
- Unifies Keycloak version to 26.4.2 across codebase (Dockerfile, Compose,
ADR, README, tests).
- Adds log dumps on failure in CI.
- Ensures `KC_HEALTH_ENABLED=true` is set.
- Updates related documentation (README, Schlachtplan).
- Includes broader Docker SSoT cleanup (versions.toml as source,
script updates, env file cleanup, validator hardening).

This resolves recurring CI failures related to Keycloak startup and
ensures required checks for PRs (#15) are reliable, while also
improving overall Docker build consistency.

* feat(docs, ci): Implement YouTrack SSoT strategy with Dokka sync (MP-8)

- Add Dokka multi-module Gradle configuration and KDoc style guide.
- Add GitHub Actions workflow (docs-kdoc-sync.yml) and Python script
(youtrack-sync-kb.py) to sync Dokka GFM output to YouTrack KB.
- Extend front-matter schema (bc, doc_type) and update relevant pages/stubs.
- Adapt CI scripts (validate-frontmatter, check-docs-drift, ci-docs link ignore).
- Update README.md to reference YouTrack KB.

* feat(docs, ci): Implement YouTrack SSoT strategy with Dokka sync (MP-8)

* Fix(ci): Replace OpenAPI validator with Spectral

Replaces the deprecated 'char0n/swagger-editor-validate' action,
which failed due to sandbox issues in GitHub Actions, with the
modern '@stoplight/spectral-cli'.

This ensures robust OpenAPI specification validation without
requiring a headless browser environment. The 'generate-api-docs'
job now depends on the successful completion of the Spectral validation.

Part of resolving CI failures for PR #15 (MP-8).

* Fix(ci): Specify spectral:oas ruleset for OpenAPI validation (MP-8)

* Fix(ci): Remove explicit ruleset argument for Spectral validation (MP-8)

* Fix(ci): Added a .spectral.yaml file to fix Spectral linting errors. Corrected markdown lint issues in two documentation files. Updated README.md with a new guidelines section to fix link validation errors.

* Fix(ci): Markdownlint errors were fixed by adding required blank lines. The Guidelines Validation error was resolved by updating the README.md link. The API Documentation Generator workflow was stabilized by updating paths, tasks, and validation steps.

* Fix(ci): Alle vier fehlerhaften GitHub-Action-Prüfungen wurden behoben. Fehler in der OpenAPI-Spezifikation, Probleme mit der Markdown-Linting-Analyse und Validierungsfehler bei Querverweisen wurden korrigiert. Die README.md enthält nun alle erforderlichen Links zu den Richtlinien.

* Fix(ci): Markdown linting errors in docs/api/README.md were fixed by specifying languages in fenced code blocks. OpenAPI specification errors in documentation.yaml were resolved by correcting example property types to strings. Cross-reference validation errors in README.md were fixed by adding the missing link to project-standards/coding-standards.md.

* Fix(ci): Duplicate heading errors in docs/api/members-api.md were fixed. Cross-reference validation errors for docker-architecture.md were resolved. All originally reported issues passed validation successfully.

* Fix(ci): The markdown heading levels in docs/api/members-api.md were corrected from h5 to h4 to fix linting errors. The missing cross-reference link from technology-guides/docker/docker-development.md to docker-overview.md was added. These fixes resolved the original validation and linting errors causing the process to fail.

* Fix(ci): Duplicate heading warnings in docs/api/members-api.md were resolved. Cross-reference validation for docker-development.md to docker-architecture.md was fixed. A new unrelated warning about docker-production.md was identified but not addressed.

* refactor(ci,docs): Simplify CI pipeline and migrate docs to YouTrack SSoT

BREAKING CHANGE: Documentation structure radically simplified

- Consolidate 9 GitHub Actions workflows into 1 main pipeline (ci-main.yml)
- Remove redundant workflows: ci-docs, markdownlint-autofix, guidelines-validation, api-docs
- Delete documentation migrated to YouTrack: api/, BCs/, Visionen-Ideen/, reference/, now/, overview/
- Keep only ADRs, C4 diagrams, and essential dev guides in repo
- Update README.md with YouTrack KB links
- Create new docs/README.md as documentation gateway
- Relax markdown-lint config for pragmatic developer experience

Kept workflows:
- ssot-guard.yml (Docker SSoT validation)
- docs-kdoc-sync.yml (KDoc → YouTrack sync)
- integration-tests.yml (Integration tests)
- deploy-proxmox.yml (Deployment)
- youtrack-sync.yml (YouTrack integration)

Related: MP-DOCS-001

* refactor(ci,docs): Simplify CI pipeline and migrate docs to YouTrack SSoT

BREAKING CHANGE: Documentation structure radically simplified

Related: MP-DOCS-001

* refactor(ci,docs): README.md und einige andere Dokumentationen überarbeitet.
ports-and-urls.md hinzugefügt.
Related: MP-DOCS-001

* refactor(ci,docs): Die Markdownlint-Fehler in README.md und docs/README.md wurden behoben, indem die Überschriftenebenen angepasst, überflüssige Satzzeichen am Ende entfernt und die notwendigen Leerzeilen um Überschriften, Listen, Tabellen und Codeblöcke eingefügt wurden. Das problematische Leerzeichen am Ende in docs/README.md wurde ebenfalls entfernt. Die Dateien entsprechen nun den vorgegebenen Markdownlint-Regeln und sollten die CI-Validierung bestehen.
Related: MP-DOCS-001

* refactor(ci,docs): Docker guideline cross-references were fixed and normalized to lowercase labels. Validation scripts confirmed zero cross-reference warnings and consistent metadata. Documentation was updated with a changelog and enhanced README navigation.
Related: MP-DOCS-001

* refactor(ci,docs): Dead links in docs/architecture/adr were fixed by updating URLs to stable sources and adding an ignore pattern for a placeholder link. Specific ADR files had their broken links replaced with valid ones. The markdown-link-check GitHub Action is expected to pass with zero dead links now.
Related: MP-DOCS-001

* refactor(ci,docs): Links in ADR checked
Related: MP-DOCS-001

* refactor(ci,docs): Markdown Regeln ausgebessert
Related: MP-DOCS-001

* Chore: Rerun CI checks with updated branch protection rules

2025-11-07 12:26:33 +01:00

7.7 KiB

Raw Blame History

SSL/TLS Zertifikat-Setup für die Produktionsumgebung

Dieses Verzeichnis enthält SSL/TLS-Zertifikate und Schlüssel zur Absicherung der Meldestelle-Anwendung in der Produktionsumgebung.

Verzeichnisstruktur

config/ssl/
├── postgres/          # PostgreSQL SSL-Zertifikate
├── redis/             # Redis TLS-Zertifikate
├── keycloak/          # Keycloak HTTPS-Zertifikate
├── prometheus/        # Prometheus HTTPS-Zertifikate
├── grafana/           # Grafana HTTPS-Zertifikate
├── nginx/             # Nginx SSL-Zertifikate
└── README.md          # Diese Datei

Zertifikat-Anforderungen

1. PostgreSQL SSL-Zertifikate

Platzieren Sie die folgenden Dateien in config/ssl/postgres/:

server.crt - Server-Zertifikat
server.key - Privater Server-Schlüssel
ca.crt - Certificate Authority-Zertifikat

2. Redis TLS-Zertifikate

Platzieren Sie die folgenden Dateien in config/ssl/redis/:

redis.crt - Redis Server-Zertifikat
redis.key - Privater Redis Server-Schlüssel
ca.crt - Certificate Authority-Zertifikat
redis.dh - Diffie-Hellman Parameter

3. Keycloak HTTPS-Zertifikate

Platzieren Sie die folgenden Dateien in config/ssl/keycloak/:

server.crt.pem - Server-Zertifikat im PEM-Format
server.key.pem - Privater Server-Schlüssel im PEM-Format

4. Prometheus HTTPS-Zertifikate

Platzieren Sie die folgenden Dateien in config/ssl/prometheus/:

prometheus.crt - Prometheus Server-Zertifikat
prometheus.key - Privater Prometheus Server-Schlüssel
web.yml - Prometheus Web-Konfigurationsdatei

5. Grafana HTTPS-Zertifikate

Platzieren Sie die folgenden Dateien in config/ssl/grafana/:

server.crt - Grafana Server-Zertifikat
server.key - Privater Grafana Server-Schlüssel

6. Nginx SSL-Zertifikate

Platzieren Sie die folgenden Dateien in config/ssl/nginx/:

server.crt - Haupt-SSL-Zertifikat
server.key - Privater Haupt-SSL-Schlüssel
dhparam.pem - Diffie-Hellman Parameter

Generierung selbstsignierter Zertifikate (Entwicklung/Test)

⚠️ Warnung: Verwenden Sie selbstsignierte Zertifikate nur für Entwicklung und Tests. Nutzen Sie ordnungsgemäß von einer CA signierte Zertifikate in der Produktion.

CA-Zertifikat generieren

# CA privaten Schlüssel erstellen
openssl genrsa -out ca.key 4096

# CA-Zertifikat erstellen
openssl req -new -x509 -days 365 -key ca.key -out ca.crt \
  -subj "/C=AT/ST=Vienna/L=Vienna/O=Meldestelle/OU=IT/CN=Meldestelle-CA"

Server-Zertifikate generieren

# Für jeden Service privaten Schlüssel und Certificate Signing Request generieren
openssl genrsa -out server.key 2048
openssl req -new -key server.key -out server.csr \
  -subj "/C=AT/ST=Vienna/L=Vienna/O=Meldestelle/OU=IT/CN=ihre-domain.com"

# Zertifikat mit CA signieren
openssl x509 -req -days 365 -in server.csr -CA ca.crt -CAkey ca.key \
  -CAcreateserial -out server.crt

# Aufräumen
rm server.csr

Diffie-Hellman Parameter generieren

openssl dhparam -out dhparam.pem 2048

Produktions-Zertifikat Setup

Option 1: Let's Encrypt (Empfohlen)

Verwenden Sie Certbot, um kostenlose SSL-Zertifikate zu erhalten:

# Certbot installieren
sudo apt-get install certbot

# Zertifikate erhalten
sudo certbot certonly --standalone -d ihre-domain.com -d www.ihre-domain.com

# Zertifikate in entsprechende Verzeichnisse kopieren
sudo cp /etc/letsencrypt/live/ihre-domain.com/fullchain.pem config/ssl/nginx/server.crt
sudo cp /etc/letsencrypt/live/ihre-domain.com/privkey.pem config/ssl/nginx/server.key

Option 2: Kommerzielle CA

Certificate Signing Requests (CSRs) generieren
CSRs an Ihre Certificate Authority übermitteln
Signierte Zertifikate herunterladen
Zertifikate in entsprechende Verzeichnisse platzieren

Option 3: Interne CA

Bei Verwendung einer internen Certificate Authority:

CSRs für jeden Service generieren
Zertifikate mit Ihrer internen CA signieren
CA-Zertifikat an alle Clients verteilen

Dateiberechtigungen

Stellen Sie ordnungsgemäße Dateiberechtigungen für die Sicherheit sicher:

# Restriktive Berechtigungen für private Schlüssel setzen
chmod 600 config/ssl/*/server.key
chmod 600 config/ssl/*/redis.key
chmod 600 config/ssl/*/prometheus.key

# Lesbare Berechtigungen für Zertifikate setzen
chmod 644 config/ssl/*/server.crt
chmod 644 config/ssl/*/ca.crt

# Verzeichnisberechtigungen setzen
chmod 755 config/ssl/*/

Docker Volume Mounts

Die Zertifikate werden als schreibgeschützte Volumes in die Docker-Container eingebunden:

volumes:
  - ./config/ssl/nginx:/etc/ssl/nginx:ro
  - ./config/ssl/keycloak:/opt/keycloak/conf:ro
  # ... weitere Mounts

Zertifikat-Erneuerung

Automatisierte Erneuerung (Let's Encrypt)

Richten Sie einen Cron-Job für automatische Erneuerung ein:

# Zu Crontab hinzufügen
0 12 * * * /usr/bin/certbot renew --quiet --post-hook "docker-compose -f docker-compose.prod.yml restart nginx"

Manuelle Erneuerung

Neue Zertifikate generieren
Alte Zertifikate in SSL-Verzeichnissen ersetzen

Betroffene Services neu starten:

docker-compose -f docker-compose.prod.yml restart nginx keycloak grafana prometheus

Sicherheits-Best-Practices

Starke Verschlüsselung verwenden: Mindestens 2048-Bit RSA-Schlüssel oder 256-Bit ECDSA-Schlüssel verwenden
Regelmäßige Rotation: Zertifikate regelmäßig rotieren (jährlich oder halbjährlich)
Sichere Speicherung: Private Schlüssel sicher speichern und Zugriff beschränken
Ablauf überwachen: Überwachung für Zertifikat-Ablauf einrichten
HSTS verwenden: HTTP Strict Transport Security aktivieren
Perfect Forward Secrecy: ECDHE-Cipher-Suites verwenden
Certificate Transparency: CT-Logs auf unbefugte Zertifikate überwachen

Fehlerbehebung

Häufige Probleme

Berechtigung verweigert

# Dateiberechtigungen korrigieren
sudo chown -R $USER:$USER config/ssl/
chmod -R 755 config/ssl/
chmod 600 config/ssl/*/server.key

Zertifikat-Verifizierung fehlgeschlagen

# Zertifikat verifizieren
openssl x509 -in config/ssl/nginx/server.crt -text -noout

# Zertifikatskette prüfen
openssl verify -CAfile config/ssl/nginx/ca.crt config/ssl/nginx/server.crt

TLS-Handshake-Fehler
- Gültigkeitsdaten des Zertifikats prüfen
- Verifizieren, dass Zertifikat zum Hostnamen passt
- Ordnungsgemäße Cipher-Suite-Konfiguration sicherstellen

SSL-Konfiguration testen

# SSL-Zertifikat testen
openssl s_client -connect ihre-domain.com:443 -servername ihre-domain.com

# Mit spezifischem Protokoll testen
openssl s_client -connect ihre-domain.com:443 -tls1_2

# Zertifikat-Ablauf prüfen
openssl x509 -in config/ssl/nginx/server.crt -noout -dates

# Zertifikat-Details anzeigen
openssl x509 -in config/ssl/nginx/server.crt -text -noout

Monitoring und Wartung

Zertifikat-Überwachung

Implementieren Sie Überwachung für:

Zertifikat-Ablaufdaten
Zertifikat-Gültigkeit
SSL/TLS-Handshake-Erfolg
Cipher-Suite-Verwendung

Wartungsaufgaben

Regelmäßige Überprüfung der Zertifikat-Gültigkeit
Aktualisierung der Cipher-Suites
Überwachung der Sicherheitsupdates
Backup der Zertifikate und privaten Schlüssel

Weitere Ressourcen

Letzte Aktualisierung: 25. Juli 2025

Für weitere Informationen zur Produktionsumgebung siehe README-PRODUCTION.md.

7.7 KiB Raw Blame History