Ceļā uz SSL izdošanas automatizāciju

Diezgan bieži nākas strādāt ar SSL sertifikātiem. Atcerēsimies sertifikāta izveides un instalēšanas procesu (vispārējā gadījumā lielākajai daļai).

• Atrodiet pakalpojumu sniedzēju (vietni, kur mēs varam iegādāties SSL).
• Izveidojiet KSA.
• Nosūtiet to savam pakalpojumu sniedzējam.
• Apstipriniet domēna īpašumtiesības.
• Iegūstiet sertifikātu.
• Konvertējiet sertifikātu vajadzīgajā formā (pēc izvēles). Piemēram, no pem uz PKCS #12.
• Instalējiet sertifikātu tīmekļa serverī.

Salīdzinoši ātri, nesarežģīti un saprotami. Šī opcija ir diezgan piemērota, ja mums ir ne vairāk kā desmit projekti. Ko darīt, ja to ir vairāk un tiem ir vismaz trīs vides? Klasiskā izstrāde - iestudējums - producēšana. Šajā gadījumā ir vērts padomāt par šī procesa automatizāciju. Piedāvāju nedaudz iedziļināties problēmā un rast risinājumu, kas vēl vairāk samazinātu laiku, kas tiek patērēts sertifikātu izveidei un uzturēšanai. Rakstā būs problēmas analīze un neliels ceļvedis atkārtošanai.

Ļaujiet man veikt rezervāciju iepriekš: mūsu uzņēmuma galvenā specializācija ir .net un attiecīgi IIS un citi ar Windows saistīti produkti. Tāpēc ACME klients un visas ar to veiktās darbības tiks aprakstītas arī no Windows lietošanas viedokļa.

Kam tas ir aktuāli un daži sākotnējie dati

Uzņēmums K, ko pārstāv autors. URL (piemēram): company.tld

Projekts X ir viens no mūsu projektiem, pie kura strādājot nonācu pie secinājuma, ka, strādājot ar sertifikātiem, tomēr jāvirzās uz maksimālo laika ietaupījumu. Šim projektam ir četras vides: izstrāde, testēšana, iestudēšana un ražošana. Izstrādātājs un testēšana ir mūsu pusē, iestudēšana un ražošana ir klienta pusē.

Īpaša projekta iezīme ir tā, ka tajā ir liels skaits moduļu, kas ir pieejami kā apakšdomēni.

Tas ir, mums ir šāds attēls:

dev
Pārbaude
Inscenējums
ražošana

projectX.dev.company.tld
projectX.test.company.tld
staging.projectX.tld
projectX.tld

module1.projectX.dev.company.tld
module1.projectX.test.company.tld
module1.staging.projectX.tld
modulis1.projectX.tld

module2.projectX.dev.company.tld
module2.projectX.test.company.tld
module2.staging.projectX.tld
modulis2.projectX.tld

...
...
...
...

moduleN.projectX.dev.company.tld
moduleN.projectX.test.company.tld
moduleN.staging.projectX.tld
moduleN.projectX.tld

Ražošanai tiek izmantots iegādāts aizstājējzīmes sertifikāts, šeit nerodas jautājumi. Bet tas attiecas tikai uz apakšdomēna pirmo līmeni. Attiecīgi, ja ir sertifikāts *.projectX.tld, tad tas darbosies staging.projectX.tld, bet ne module1.staging.projectX.tld. Bet kaut kā negribas pirkt atsevišķu.

Un tas ir balstīts tikai uz viena uzņēmuma viena projekta piemēru. Un, protams, ir vairāk nekā viens projekts.

Bieži sastopamie iemesli, kāpēc ikvienam jārisina šī problēma, izskatās šādi:

• Nesen Google ierosināja samazināt SSL sertifikātu maksimālo derīguma termiņu. Ar visām no tā izrietošajām sekām.
• Veicināt SSL izdošanas un uzturēšanas procesu projektu un visa uzņēmuma iekšējām vajadzībām.
• Centralizēta sertifikātu ierakstu glabāšana, kas daļēji atrisina domēna verifikācijas, izmantojot DNS un sekojošo automātisko atjaunošanu, problēmu, kā arī atrisina klientu uzticības jautājumu. Tomēr CNAME partnera/izpildītāja uzņēmuma serverī ir uzticamāks nekā trešās puses resursā.
• Visbeidzot, šajā gadījumā lieliski iederas frāze “labāk ir nekā nav”.

SSL nodrošinātāja izvēle un sagatavošanas darbības

Starp pieejamajām bezmaksas SSL sertifikātu opcijām tika apsvērti cloudflare un letsencrypt. Šī (un dažu citu projektu) DNS mitina cloudflare, taču es neesmu viņu sertifikātu izmantošanas cienītājs. Tāpēc tika nolemts izmantot letsencrypt.
Lai izveidotu aizstājējzīmes SSL sertifikātu, jums jāapstiprina domēna īpašumtiesības. Šī procedūra ietver DNS ieraksta (TXT vai CNAME) izveidi un pēc tam tā pārbaudi, izsniedzot sertifikātu. Linux ir utilīta - certbot, kas ļauj daļēji (vai dažiem DNS nodrošinātājiem pilnībā) automatizēt šo procesu. Operētājsistēmai Windows no atrasts un pārbaudīts ACME klienta iespējas Es apmetos WinACME.

Un domēna ieraksts ir izveidots, pāriesim pie sertifikāta izveides:

Mūs interesē pēdējais secinājums, proti, pieejamās iespējas domēna īpašumtiesību apstiprināšanai aizstājējzīmju sertifikāta izsniegšanai:

1. Izveidojiet DNS ierakstus manuāli (automātiskā atjaunināšana netiek atbalstīta)
2. DNS ierakstu izveide, izmantojot acme-dns serveri (varat lasīt vairāk par šeit.
3. DNS ierakstu izveide, izmantojot savu skriptu (līdzīgi kā certbot spraudnim cloudflare).

No pirmā acu uzmetiena trešais punkts ir diezgan piemērots, bet ko darīt, ja DNS nodrošinātājs neatbalsta šo funkcionalitāti? Bet mums ir vajadzīgs vispārīgs gadījums. Un vispārējais gadījums ir CNAME ieraksti, jo visi tos atbalsta. Tāpēc mēs apstājamies 2. punktā un ejam, lai konfigurētu mūsu ACME-DNS serveri.

ACME-DNS servera un sertifikātu izsniegšanas procesa iestatīšana

Piemēram, es izveidoju domēnu 2nd.pp.ua un izmantošu to turpmāk.

Obligāta prasība Lai serveris darbotos pareizi, tā domēnam ir jāizveido NS un A ieraksti. Un pirmais nepatīkamais moments, ar ko saskāros, ir tas, ka cloudflare (vismaz brīvās lietošanas režīmā) neļauj vienlaicīgi izveidot NS un A ierakstu vienam un tam pašam saimniekdatoram. Nav tā, ka tā ir problēma, bet kopā tā ir iespējama. Atbalsts atbildēja, ka viņu panelis neļauj to darīt. Nav problēmu, izveidosim divus ierakstus:

acmens.2nd.pp.ua. IN A 35.237.128.147
acme.2nd.pp.ua. IN NS acmens.2nd.pp.ua.

Šajā posmā mūsu saimniekam vajadzētu atrisināt acmens.2nd.pp.ua.

$ ping acmens.2nd.pp.ua
PING acmens.2nd.pp.ua (35.237.128.147) 56(84) bytes of data

Bet acme.2nd.pp.ua tas neatrisināsies, jo DNS serveris, kas to apkalpo, vēl nedarbojas.

Ieraksti ir izveidoti, mēs turpinām ACME-DNS servera iestatīšanu un palaišanu. Tas dzīvos manā ubuntu serverī dokers konteineru, taču varat to palaist jebkur, kur ir pieejams golangs. Windows arī ir diezgan piemērots, bet es joprojām dodu priekšroku Linux serverim.

Izveidojiet nepieciešamos direktorijus un failus:

$ mkdir config
$ mkdir data
$ touch config/config.cfg

Izmantosim vim ar jūsu iecienītāko teksta redaktoru un ielīmēsim paraugu failā config.cfg konfigurācija.

Veiksmīgai darbībai pietiek ar vispārīgo un api sadaļu labošanu:

[general]
listen = "0.0.0.0:53"
protocol = "both"
domain = "acme.2nd.pp.ua"
nsname = "acmens.2nd.pp.ua" 
nsadmin = "admin.2nd.pp.ua" 
records = 
    "acme.2nd.pp.ua. A 35.237.128.147",
    "acme.2nd.pp.ua. NS acmens.2nd.pp.ua.",                                                                                                                                                                                                  ]
...
[api]
...
tls = "letsencrypt"
…

Turklāt, ja vēlaties, galvenajā pakalpojumu direktorijā izveidosim docker-compose failu:

version: '3.7'
services:
  acmedns:
    image: joohoi/acme-dns:latest
    ports:
      - "443:443"
      - "53:53"
      - "53:53/udp"
      - "80:80"
    volumes:
      - ./config:/etc/acme-dns:ro
      - ./data:/var/lib/acme-dns

Gatavs. Jūs varat to palaist.

$ docker-compose up -d

Šajā posmā saimniekam jāsāk atrisināt acme.2nd.pp.ua, un parādās 404 https://acme.2nd.pp.ua

$ ping acme.2nd.pp.ua
PING acme.2nd.pp.ua (35.237.128.147) 56(84) bytes of data.

$ curl https://acme.2nd.pp.ua
404 page not found

Ja tas neparādās - docker logs -f <container_name> lai palīdzētu, par laimi, žurnāli ir diezgan salasāmi.

Mēs varam sākt veidot sertifikātu. Atveriet Powershell kā administratoru un palaidiet winacme. Mūs interesē vēlēšanas:

• M: izveidot jaunu sertifikātu (pilnas opcijas)
• 2: manuāla ievade
• 2: [dns-01] Izveidojiet verifikācijas ierakstus ar acme-dns (https://github.com/joohoi/acme-dns)
• Kad jautā par saiti uz ACME-DNS serveri, atbildē ievadiet izveidotā servera URL (https). acme-dns servera URL: https://acme.2nd.pp.ua

Atvērumā klients izdod ierakstu, kas jāpievieno esošajam DNS serverim (vienreizēja procedūra):

[INFO] Creating new acme-dns registration for domain 1nd.pp.ua

Domain:              1nd.pp.ua
Record:               _acme-challenge.1nd.pp.ua
Type:                   CNAME
Content:              c82a88a5-499f-464f-96e4-be7f606a3b47.acme.2nd.pp.ua.
Note:                   Some DNS control panels add the final dot automatically.
                           Only one is required.

Mēs izveidojam nepieciešamo ierakstu un pārliecināmies, ka tas ir izveidots pareizi:

$ dig CNAME _acme-challenge.1nd.pp.ua +short
c82a88a5-499f-464f-96e4-be7f606a3b47.acme.2nd.pp.ua.

Mēs apstiprinām, ka esam izveidojuši nepieciešamo ierakstu winacme, un turpinām sertifikāta izveides procesu:

Ir aprakstīts, kā izmantot certbot kā klientu šeit.

Tas pabeidz sertifikāta izveides procesu; varat to instalēt tīmekļa serverī un izmantot. Ja, veidojot sertifikātu, plānotājā izveido arī uzdevumu, tad turpmāk sertifikāta atjaunošanas process notiks automātiski.

Avots: www.habr.com