Changes

Andrés · fe350608
--- a/Plan-de-migración-del-LDAP-(OpenLDAP-PWM).md
+++ b/Plan-de-migración-del-LDAP-(OpenLDAP-PWM).md
@@ -119,6 +119,8 @@ git push origin --force --all

 * Luego se actualiza la configuración del servicio para que apunte a `ldap.interior.edu.uy`.

+* Podemos detener servicios (`apache2`, `tomcat`) en `chalchal` para reiniciarlos en etapas posteriores de la migración.
+
 #### Llaves Opendkim

 La configuración de llaves dkim es necesaria para que los mails se envién firmados desde el servidor. Estas llaves han sido generadas para instancias previas de `chalchal` y se encuentran publicadas en la zona `interior.edu.uy`, por lo que las tenemos respaldas. Al recrear `chalchal` se volvieron a regenerar. A continuación procederemos a restaurarlas desde nuestros respaldos.
@@ -211,6 +213,7 @@ Estos serán los pasos que daremos al migrar el PWM.
      service apache2 reload
      ```

+* Verificar que los servicios (`apache2`, `tomcat`) de `chalchal` estén encendidos.

 #### Modificaciones en DNS y certificados

@@ -222,12 +225,20 @@ Estos serán los pasos que daremos al migrar el PWM.
   *  Se modifcan los alias `identidad`, `www.identidad`

 * Generación de nuevos certificados TLS (ver [esto](https://git.interior.edu.uy/adminsys/config/-/wikis/Migraci%C3%B3n-del-Owncloud-9.1-de-nube.interior.edu.uy-a-un-NextCloud-16#generaci%C3%B3n-de-nuevos-certificados)):
+   * Para actualizar certificados debemos detener el servicio apache2. Por lo tanto, esto debe hacerse en un momento en que no exista ningún usuario conectado. Este momento puede determinarse a partir de los logs, de forma similar a como se explicó en la sección anterior **Varela en Modo mantenimiento**
+   * Cuando no existan usuario conectados detenemos servicios:

-```
-certbot certonly --standalone --agree-tos --email adminsys@cci.edu.uy --expand -d chalchal.interior.edu.uy,login.interior.edu.uy,identidad.interior.edu.uy, www.identidad.interior.edu.uy, identidad.interior.udelar.edu.uy, www.identidad.interior.udelar.edu.uy
-service apache2 restart
-service tomcat restart
-```
+      ```   
+      service apache2 stop
+      ```
+
+   * Actualizamos certificados y volvemos a levantar servicios:
+
+      ```
+      certbot certonly --standalone --agree-tos --email adminsys@cci.edu.uy --expand -d chalchal.interior.edu.uy,login.interior.edu.uy,identidad.interior.edu.uy,www.identidad.interior.edu.uy,identidad.interior.udelar.edu.uy,www.identidad.interior.udelar.edu.uy
+      service apache2 restart
+      service tomcat restart
+      ```

 #### Operaciones sobre el LDAP

@@ -244,6 +255,25 @@ service tomcat restart
  * En la conifugración de Certbot activamos los dominios `identidad.interior.edu.uy, www.identidad.interior.edu.uy, identidad.interior.udelar.edu.uy, www.identidad.interior.udelar.edu.uy`.
  * Indicamos en las variables de PWM que se está conectando al LDAP de producción: `ldap.interior.edu.uy`.

-* Al día siguiente detenemos el servicio Tomcat en `varela`, Apache seguirá encendido. `Varela` no se apaga esta vez, recién se detendrá una vez migrada la agenda telefónica hacia otro contenedor de la nueva plataforma.
+* Ajustes en el servidor `varela`:
+  * El mismo día detenemos el servicio Tomcat en `varela`, Apache seguirá encendido. `varela` no se apaga esta vez, recién se detendrá una vez migrada la agenda telefónica hacia otro contenedor de la nueva plataforma.
+  * En `varela` además tenemos quitar de la configuración de dominios certbot a `identidad.interior.edu.uy` pues ya fue migrado:
+    * Primero que nada editamos la config de certbot del dominio `telefonos.interior.edu.uy` (/etc/letsencrypt/renewal/telefonos.interior.edu.uy.conf) para agregar las pre y post hooks que no estaban presentase.
+    * Luego quitamos el dominio identidad.interior.edu.uy: `certbot delete --cert-name identidad.interior.edu.uy`
+
+    * Extendemos el certificado de `telefonos.interior.edu.uy` para incluir también a `varela.interior.edu.uy`:
+
+      ```
+      certbot certonly --standalone --agree-tos --email adminsys@cci.edu.uy --expand -d telefonos.interior.edu.uy,varela.interior.edu.uy
+      ```
+
+    * Desactivamos virtualhosts y reiniciamos apache2 y el servicio de la agenda (nodevoip):
+
+      ```
+      a2dissite identidad.interior.edu.uy-revpxy-ssl.conf
+      a2dissite identidad.interior.edu.uy-revpxy-ssl.conf 
+      sevice apache restart
+      service nodevoip restart
+      ```

 * Por último, cerrar la [merge request 12](https://git.interior.edu.uy/adminsys/config/merge_requests/12) del proyecto Config.