Якщо ви в GitLab використовуєте інтеграцію з AWS через OIDC, то у вас сьогодні зламався деплой. Як фіксити.

💡 Усі статті, обговорення, новини про DevOps — в одному місці. Приєднуйтесь до DevOps спільноти!

Якщо у вас сьогодні у GitLab pipelines зʼявилася ця помилка:

An error occurred (InvalidIdentityToken) when calling the AssumeRoleWithWebIdentity operation: OpenIDConnect provider's HTTPS certificate doesn't match configured thumbprint

То вам треба додати новий thumbprint проміжного сертифіката GitLab OIDC:

195d7783eedf6e3d44ab2ad630ac4d2e031624ac
Старий також не видаляйте, бо він ще продовжить використовуватися із-за кешей деякий час.

В AWS Console:

Проблема буде повторюватися регулярно, якщо GitLab якось не домовиться з AWS щодо whitelist.

Що відбулося

Відбувся перевипуск https сертифікатів у GitLab для OIDC (OpenID Connect) для авторизації GitLab pipelines на AWS. Через те, що у CloudFlare майже заекспайрився (до 31 грудня) проміжний сертифікат, а GitLab використовує сертифікати підписані CloudFlare.

Щоб пофіксити деплой — треба додати новий thumbprint сертифіката OIDC провайдера на Amazon AWS.

Пов’язані issue на гітлабі:

gitlab.com/...​rg/gitlab/-/issues/392713

gitlab.com/...​ues/17073#note_1694072181

👍ПодобаєтьсяСподобалось7
До обраногоВ обраному1
LinkedIn
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter

Of course they changed them again...
gitlab.com/...​ues/17073#note_1694393615

This works right now...

fb07e4e621fa075c961b661ae299ade7681df5d5

Command to get current one :)

echo quit | openssl s_client -connect gitlab.com:443 2>/dev/null | openssl x509 -noout -fingerprint | cut -d= -f2 | sed -e s/://g | tr '[:upper:]' '[:lower:]'

Безжальне сесуріті крокує планетою.

Підписатись на коментарі