Geavanceerde zaken

Met kubernetes de EJBCA-container opnieuw maken. Er is geen EJBCA-collection en de playbooks van Keyfactor zijn om EJBCA in te richten in een container en niet om externe CA's te signen. Kubernetes is te uitgebreid en complex hiervoor, dus ik ga Docker Swarm gebruiken. EJBCA instellen kan misschien met de CLI van EJBCA en de command module.

Daarna de vms opnieuw maken. Op host OS kun je aan de hand deze webpagina de vm's opzetten, dit is wat ingewikkelder. Je moet ook checken of selinux goed is ingesteld op de libvirt-map. Dan kun je kubernetes instellen met de kubernetes.core collections, dat is waarschijnlijk ook ingewikkeld.

Op de server en workstation kun je waarschijnlijk met de community.general.ipa* de ipa instellen. Dit kan dan met een integrated DNS (named/bind).

Het idee is het om in deze volgorde te doen en om alles idempotent te automatiseren met ansible:

1. De vms maken. Deze op hetzelfde netwerk als de host. Ook een vm voor EJBCA.
2. De packages installeren en firewall instellen op de vms. Gebruik hiervoor dnf groups.
3. EJBCA instellen, IPA instellen, Taiga, gitlab en docusaurus instellen.
4. EJBCA, FreeIPA, Cockpit, Taiga, Gitlab en andere dashboards achter mijndomein.nl/* of *.mijndomein.nl/ zetten. Dit kan met een proxy zoals in de tutorial van Taiga.
5. Met Let's Encrypt of EJBCA TLS server en client certificates alles achter vertrouwde TLS zetten.
6. Wazuh, SAST, DAST en SCA instellen.
7. Autoupdates instellen, automatisch ansible draaien instellen, verdere automatisering instellen.
8. Docusaurus of een andere documentatie online zetten.
9. Erachter komen hoe certificaten voor applicaties werken. SoftHSM voor i.i.g. de root CA instellen.
10. Mail server: Postfix SMTP opzetten en Dovecot IMAP/POP3 opzetten. Zijn volgens mij twee verschillende systemen, dus waarschijnlijk moet ik 1 van de twee kiezen.