From 46436060206e3e5e66ce69d5cbe755ac784b1343 Mon Sep 17 00:00:00 2001
From: Rene Mewissen <rene@tantooine.myfirewall.org>
Date: Tue, 21 Oct 2025 15:47:07 +0200
Subject: [PATCH] apt-key is deprecated

---
 roles/omada-controller/tasks/main.yml | 22 ++++++++++++++++------
 1 file changed, 16 insertions(+), 6 deletions(-)

diff --git a/roles/omada-controller/tasks/main.yml b/roles/omada-controller/tasks/main.yml
index b8b39c4..20ea9fa 100644
--- a/roles/omada-controller/tasks/main.yml
+++ b/roles/omada-controller/tasks/main.yml
@@ -19,6 +19,7 @@
         name:
           - "{{ omada_controller_java_package }}"
           - jsvc
+          - gnupg # Benötigt für gpg --dearmor
           - curl
         state: present
         update_cache: yes
@@ -31,19 +32,28 @@
         name: apt-transport-https
         state: present
 
-    - name: Add MongoDB GPG key
-      ansible.builtin.apt_key:
+    - name: Download MongoDB GPG key
+      ansible.builtin.get_url:
         url: https://www.mongodb.org/static/pgp/server-6.0.asc
-        state: present
-        # Der Schlüssel für MongoDB 6.0 ist 68818C72E52529D4.
-        # Kann mit 'apt-key adv --keyserver hkp://keyserver.ubuntu.com:80 --recv 68818C72E52529D4' verifiziert werden.
+        dest: /tmp/mongodb-server-6.0.asc
+        mode: '0644'
+
+    - name: Dearmor MongoDB GPG key and place in /usr/share/keyrings
+      ansible.builtin.command:
+        cmd: "gpg --dearmor -o /usr/share/keyrings/mongodb-archive-keyring.gpg /tmp/mongodb-server-6.0.asc"
+        creates: /usr/share/keyrings/mongodb-archive-keyring.gpg
+      args:
+        warn: false # Unterdrückt Warnungen, die gpg ausgeben könnte
+      # Hinweis: Der Pfad /usr/share/keyrings/ ist der empfohlene Ort für Schlüssel, die mit 'signed-by' verwendet werden.
 
     - name: Add MongoDB repository
       ansible.builtin.apt_repository:
-        repo: "deb [ arch=amd64,arm64 ] https://repo.mongodb.org/apt/ubuntu {{ omada_controller_mongodb_repo_release }}/mongodb-org/6.0 multiverse"
+        repo: "deb [ arch=amd64,arm64 signed-by=/usr/share/keyrings/mongodb-archive-keyring.gpg ] https://repo.mongodb.org/apt/ubuntu {{ omada_controller_mongodb_repo_release }}/mongodb-org/6.0 multiverse"
         state: present
         filename: mongodb-org-6.0
         update_cache: yes
+      # Der 'signed-by'-Parameter verweist auf den zuvor dearmored Schlüssel.
+      # Dies ist die moderne und sichere Methode, GPG-Schlüssel für APT-Repositories zu handhaben.
 
     - name: Install MongoDB server
       # Der Omada Controller benötigt MongoDB >= 3.0.0.