Fa'asaga i le fa'autometi o fa'asalalauga SSL

Ole tele o taimi e tatau ona tatou galulue ma tusi faamaonia SSL. Sei o tatou manatua le faagasologa o le fatuina ma le faʻapipiʻiina o se tusi faamaonia (i le tulaga lautele mo le tele).

• Su'e se 'au'aunaga (se saite e mafai ona tatou fa'atau ai SSL).
• Fausia CSR.
• Auina atu i lau kamupani.
• Fa'amaonia le pule ole fanua.
• Maua se tusi faamaonia.
• Su'e le tusi faamaonia i le pepa mana'omia (filifiliga). Mo se faʻataʻitaʻiga, mai le pem i le PKCS #12.
• Fa'apipi'i le tusi faamaonia i luga o le upegatafa'ilagi.

E fai si vave, e le lavelave ma malamalama. O lenei filifiliga e fetaui lelei pe afai e sili atu le sefulu galuega faatino. Ae fa'afefea pe a sili atu i latou, ma e le itiiti ifo ma le tolu o latou siosiomaga? Fa'ata'ita'iga masani - fa'atulagaina - gaosiga. I lenei tulaga, e taua le mafaufau e uiga i le otometi lenei faiga. Ou te fautua atu e suʻesuʻe atili i le faʻafitauli ma saili se fofo e faʻaitiitia ai le taimi e faʻaalu i le fausiaina ma le tausia o tusi faamaonia. O le tusiga o le a aofia ai se auʻiliʻiliga o le faʻafitauli ma se taʻiala itiiti i le toe fai.

Se'i ou faia se fa'aagaga muamua: o le fa'apitoa autu a la matou kamupani o le .net, ma, e tusa ai, IIS ma isi oloa fa'atatau i le Windows. O le mea lea, o le ACME client ma gaioiga uma mo ia o le a faʻamatalaina foi mai le manatu o le faʻaaogaina o Windows.

Mo ai e talafeagai lenei mea ma nisi faʻamatalaga muamua

Kamupani K na fai ma sui o le tusitala. URL (mo se faʻataʻitaʻiga): company.tld

O le Poloketi X o se tasi oa tatou galuega faatino, a o ou galue lea na ou oʻo ai i le faaiuga e manaʻomia pea ona tatou agai atu i le maualuga o le taimi e teu ai pe a galulue ma tusi pasi. O lenei poloketi e fa si'osi'omaga: dev, su'ega, fa'atulagaina ma le gaosiga. Dev ma suʻega o loʻo i luga o la matou itu, faʻatulagaina ma gaosiga o loʻo i luga o le itu o tagata o tausia.

O se vaega faʻapitoa o le poloketi o loʻo i ai se numera tele o modules o loʻo avanoa e avea ma subdomains.

O lona uiga, ua tatou maua le ata lenei:

Dev
suʻega
Faatulagaga
faiga

projectX.dev.company.tld
projectX.test.company.tld
staging.projectX.tld
projectX.tld

module1.projectX.dev.company.tld
module1.projectX.test.company.tld
module1.staging.projectX.tld
module1.projectX.tld

module2.projectX.dev.company.tld
module2.projectX.test.company.tld
module2.staging.projectX.tld
module2.projectX.tld

...
...
...
...

moduleN.projectX.dev.company.tld
moduleN.projectX.test.company.tld
moduleN.staging.projectX.tld
moduleN.projectX.tld

Mo le gaosiga, o loʻo faʻaaogaina se pepa faʻatau faʻatau, e leai ni fesili e tulaʻi mai iinei. Ae na'o le vaega muamua o le subdomain e aofia ai. O lea la, afai e iai se tusi faamaonia mo *.projectX.tld, ona aoga lea mo staging.projectX.tld, ae le mo module1.staging.projectX.tld. Ae i se isi itu ou te le manao e faatau se tasi.

Ma o lenei mea e faʻavae i luga o le faʻataʻitaʻiga o le tasi poloketi a le tasi kamupani. Ma, ioe, e sili atu ma le tasi le poloketi.

O mafuaaga masani mo tagata uma e foia ai lenei mataupu e pei o lenei:

• Talu ai nei Google na fa'atūina le fa'aitiitiga o le taimi aupito maualuga o le aoga o tusi faamaonia SSL. Faatasi ai ma taunuuga uma.
• Faʻafaigofie le faʻagasologa o le tuʻuina atu ma le tausia o le SSL mo manaʻoga i totonu o poloketi ma le kamupani atoa.
• Fa'atotonugalemu teuina o fa'amaumauga tusi pasi, lea e foia ai se vaega o le fa'afitauli o le fa'amaoniga o le domain e fa'aaoga ai le DNS ma le fa'afouga otometi mulimuli ane, ma foia ai le mataupu o le fa'atuatuaga o tagata o tausia. Ae, o se CNAME i luga o le 'auʻaunaga a se paaga / kamupani faʻatino e sili atu ona faʻatuatuaina nai lo se isi punaoa.
• Ia, mulimuli ane, i lenei tulaga o le fuaitau "e sili atu nai lo le leai" e fetaui lelei.

Filifilia o se SSL Provider ma Laasaga Sauniuniga

Faatasi ai ma avanoa avanoa mo tusi faamaonia SSL saoloto, cloudflare ma letsencrypt sa iloiloina. O le DNS mo lenei mea (ma isi galuega faatino) o loʻo faʻafeiloaʻi e cloudflare, ae ou te le o se tagata fiafia e faʻaaoga a latou tusi faamaonia. O le mea lea, na filifili ai e faʻaaoga letsencrypt.
Mo le fatuina o se tusi faamaonia SSL wildcard, e manaʻomia ona e faʻamaonia le pule o le domain. O lenei faiga e aofia ai le fatuina o se faʻamaumauga DNS (TXT poʻo le CNAME) ona faʻamaonia lea pe a tuʻuina atu le tusi faamaonia. Linux o loʻo i ai se mea aoga - tusipasi, lea e mafai ai ona e fa'atino fa'a-fa'a-se'i (pe atoa mo nisi o kamupani DNS) lenei faiga. Mo Windows tutusa mai maua ma fa'amaonia Filifiliga a le tagata fa'atau ACME na ou nofoia WinACME.

Ma o le faʻamaumauga mo le domain ua uma ona faia, seʻi o tatou agai i luma i le fatuina o se tusi faamaonia:

Matou te fiafia i le faaiuga mulimuli, o loʻo i ai, o avanoa avanoa mo le faʻamaonia o le pule o le fanua mo le tuʻuina atu o se pepa faʻamaonia:

1. Fausia fa'amaumauga DNS ma le lima (e le'o lagolagoina le fa'afouga otometi)
2. Fausia faʻamaumauga DNS e faʻaaoga ai le acme-dns server (e mafai ona e faitau atili e uiga i iinei.
3. Fausia faʻamaumauga DNS e faʻaaoga ai lau lava tusitusiga (e tutusa ma le cloudflare plugin mo certbot).

I le tepa muamua, o le vaega lona tolu e fetaui lelei, ae faʻapefea pe a le lagolagoina e le DNS provider lenei galuega? Ae matou te manaʻomia se mataupu lautele. Ma o le tulaga lautele o CNAME faamaumauga, talu ai e lagolagoina e tagata uma. O le mea lea, matou te tu i le vaega 2 ma alu e faʻapipiʻi la matou ACME-DNS server.

Fa'atulaga le ACME-DNS server ma le tu'uina atu o tusi pasi

Mo se faʻataʻitaʻiga, na ou fatuina le domain 2nd.pp.ua, ma o le a faʻaaogaina i le lumanaʻi.

Manaoga fa'atulafonoina Mo le 'auʻaunaga e galue saʻo, e manaʻomia le fatuina o faamaumauga NS ma A mo lana vaega. Ma o le taimi muamua le fiafia na ou feagai ai o le cloudflare (a itiiti ifo i le faʻaaogaina fua) e le faʻatagaina oe e fatuina se NS ma A faʻamaumauga mo le talimalo tutusa. E le faapea o se faafitauli lea, ae i le fusi e mafai. Na tali le lagolago e le faatagaina e le latou laulau le faia o lenei mea. Leai se fa'afitauli, se'i o tatou faia ni fa'amaumauga se lua:

acmens.2nd.pp.ua. IN A 35.237.128.147
acme.2nd.pp.ua. IN NS acmens.2nd.pp.ua.

I lenei laasaga, e tatau ona foia e le matou talimalo acmens.2nd.pp.ua.

$ ping acmens.2nd.pp.ua
PING acmens.2nd.pp.ua (35.237.128.147) 56(84) bytes of data

Ae acme.2nd.pp.ua o le a le foia, talu ai o le DNS server o loʻo tautuaina e leʻi taʻavale.

Ua uma ona faia faamaumauga, se'i o tatou agai atu i le setiina ma le fa'alauiloaina o le 'au'aunaga ACME-DNS. O le a ou talimalo i ai i le ubuntu 'au'aunaga i totonu toso koneteina, ae e mafai ona e faʻagaoioia i soo se mea e maua ai le golang. Windows E talafeagai fo'i lenei mea, ae ou te fiafia lava i ai Linux server.

Fausia lisi manaʻomia ma faila:

$ mkdir config
$ mkdir data
$ touch config/config.cfg

Se'i o tatou fa'aoga le vim i lau fa'atonu tusitusiga e sili ona e fiafia iai ma fa'apipi'i le fa'ata'ita'iga ile config.cfg faʻatulagaina.

Mo le faʻatinoga manuia, ua lava le faʻasaʻoina o vaega lautele ma api:

[general]
listen = "0.0.0.0:53"
protocol = "both"
domain = "acme.2nd.pp.ua"
nsname = "acmens.2nd.pp.ua" 
nsadmin = "admin.2nd.pp.ua" 
records = 
    "acme.2nd.pp.ua. A 35.237.128.147",
    "acme.2nd.pp.ua. NS acmens.2nd.pp.ua.",                                                                                                                                                                                                  ]
...
[api]
...
tls = "letsencrypt"
…

E le gata i lea, pe a manaʻomia, o le a matou fatuina se faila faila i le lisi autu o auaunaga:

version: '3.7'
services:
  acmedns:
    image: joohoi/acme-dns:latest
    ports:
      - "443:443"
      - "53:53"
      - "53:53/udp"
      - "80:80"
    volumes:
      - ./config:/etc/acme-dns:ro
      - ./data:/var/lib/acme-dns

Sauni. E mafai ona e tamoe.

$ docker-compose up -d

I lenei laasaga e tatau ona amata ona foia le tagata talimalo acme.2nd.pp.ua, ma o le 404 o loʻo faʻaalia i luga https://acme.2nd.pp.ua

$ ping acme.2nd.pp.ua
PING acme.2nd.pp.ua (35.237.128.147) 56(84) bytes of data.

$ curl https://acme.2nd.pp.ua
404 page not found

Afai e le o aliali mai lea - docker logs -f <container_name> e fesoasoani, o le mea e lelei ai, o ogalaau e fai lava si faigofie.

E mafai ona tatou amata faia le tusi faamaonia. Tatala le powershell e avea ma pule ma taʻavale winacme. Matou te fiafia i faiga palota:

• M: Fausia se tusi faamaonia fou (filifiliga atoatoa)
• 2: Fa'aoga tusilima
• 2: [dns-01] Fausia faʻamaumauga faʻamaonia ma acme-dns (https://github.com/joohoi/acme-dns)
• Pe a fesiligia e uiga i se fesoʻotaʻiga i le ACME-DNS server, faʻapipiʻi le URL o le server na faia (https) i le tali. URL o le acme-dns server: https://acme.2nd.pp.ua

I le amataga, e tuʻuina atu e le kalani se faʻamaumauga e manaʻomia ona faʻaopoopo i le DNS server o loʻo i ai nei (tasi-taimi faiga):

[INFO] Creating new acme-dns registration for domain 1nd.pp.ua

Domain:              1nd.pp.ua
Record:               _acme-challenge.1nd.pp.ua
Type:                   CNAME
Content:              c82a88a5-499f-464f-96e4-be7f606a3b47.acme.2nd.pp.ua.
Note:                   Some DNS control panels add the final dot automatically.
                           Only one is required.

Matou te fatuina faamaumauga talafeagai ma ia mautinoa na faia saʻo:

$ dig CNAME _acme-challenge.1nd.pp.ua +short
c82a88a5-499f-464f-96e4-be7f606a3b47.acme.2nd.pp.ua.

Matou te faʻamaonia ua matou fatuina le ulufale manaʻomia i le winacme, ma faʻaauau le faagasologa o le fatuina o se tusi faamaonia:

Le faʻaogaina o le certbot o se tagata faʻatau o loʻo faʻamatalaina iinei.

O lenei mea e faʻamaeʻa ai le faagasologa o le fatuina o se tusi faamaonia e mafai ona e faʻapipiʻi i luga o le upega tafaʻilagi ma faʻaaogaina. Afai, pe a fatuina se tusi faamaonia, e te faia foi se galuega i le scheduler, ona i ai lea i le lumanaʻi o le a otometi lava le faagasologa o le faafouga o tusi faamaonia.

puna: www.habr.com