14-16 Mar 2026
Voltar ao Plano

Remover/rotacionar senha do certificado OpenIddict dos Dockerfiles e docker-compose (INFRA-01)

ACT-6.1.1
Varredura ImediataCRITICA — hojeEsforco: MComplexidade: MediaParalelizavel
Por que e urgente

A senha e o pfx OpenIddict estao embutidos nas imagens Docker de producao. O pfx e a chave de assinatura dos tokens JWT — sua posse permite forjar tokens para qualquer usuario

Risco de nao fazer

Comprometimento total da autenticacao — forjamento de tokens para qualquer usuario/admin

Modulos Impactados

aspnet-core/src/cargo_fleet.AuthServer/Dockerfileaspnet-core/etc/docker/docker-compose.ymldocker-compose-ec2-dev.ymldocker-compose-ec2-hom.ymlrun-docker.sh

Passos de Implementacao

  1. 1Gerar novo certificado pfx OpenIddict com nova senha (fora do Dockerfile)
  2. 2Armazenar o pfx como Kubernetes Secret no namespace `cargofleet`
  3. 3Montar o Secret como volume no pod do AuthServer
  4. 4Remover o comando `dotnet dev-certs` do Dockerfile do AuthServer
  5. 5Remover as variaveis de senha do certificado de todos os docker-compose files
  6. 6Fazer redeploy e verificar que o AuthServer inicia corretamente
  7. 7Revogar as imagens Docker antigas no ECR que contem o pfx embutido

Achados Relacionados

INFRA-01
AnteriorACT-5.3.9 Otimizar bundle Angular (budget, CSS, ngsw-config dataGroups)
ProximoRemover ABP License Code dos docker-compose versionados (INFRA-02) ACT-6.1.2