Lassen Sie uns über den Einsatz der Lösung gearbeitet Ikoula verschlüsseln in einem bestimmten Kontext für einen unserer Kunden:
Infrastruktur HAProxy in Hochverfügbarkeit, die Zertifikate von einem Zertifikatanbieter (Typ Geotrust, Thawte,...) haben können und Erwerb / Verlängerung SSL wir verschlüsseln.
In wenigen Worten, lassen Sie uns zu verschlüsseln ist eine Lösung, SSL-Zertifikate kostenlos zu bekommen und haben eine Laufzeit von 3 Monaten.
Um ein Zertifikat zu erhalten, ist eine wesentliche Voraussetzung, dass die Domain oder Alias für DNS auf die IP des Computers, der die Anforderung für den Erwerb zeigen.
Bis dahin finden wir eine Menge Tutorials und Skripte in verschiedenen Foren, über die Durchführung von Servern mit HAProxy, Corosync, Herzschrittmacher und verschlüsseln lassen Sie Skripte (jetzt genannt Certbot).
Sehr wichtiger Punkt, arbeiten wir auf eine große Anzahl von Domänen (man spricht von mehreren tausend Domains für einen einzelnen Kunden). Angesichts des erheblichen Umfangs und weniger schwere verwaltungstechnischen Gründen entschieden wir uns für die Schaffung des Typs San-SSL-Zertifikate
Wir haben auch diese Wahl getroffen um nicht blockiert werden wir verschlüsseln ist.
Er muss wissen, dass wir nicht mehr als 500 Datensätze pro IP und 3 Stunden schaffen.
Ein weiterer Punkt ist sehr wichtig, wir kontrollieren nicht die Verwaltung von Domain-Namen.
Eine Domäne kann ablaufen oder neue Bereiche hinzugefügt werden können, ohne dass wir wissen.
Nach Ablauf eine Domain (für SAN-Zertifikate) wenn wir die Skripts verwenden, wie wir es im Internet zu finden, konnte Erneuerung der Zertifikate nicht vorgenommen werden.
Gesehen, dass wir verschlüsseln Tests auf das Vorhandensein einer DNS-Partitur für jede Domäne, wenn eine Domain nicht mehr funktionieren (siehe reagiert auf die gute IP), dann das SAN-Zertifikat kann nicht erneuert werden.
Unter Berücksichtigung all diese Parameter, wir haben das Certbot-Skript angepasst, so dass es berücksichtigt all dies.
Wir treffen uns im Finale mit 3 verschiedenen Skripten:
Schließlich erstellen Sie einfach einen geplanten Task, der einmal im Monat für die Erneuerung von SSL-Zertifikaten ausgeführt wird.
Da wir diese Skripts in einer HAProxy Infrastruktur geschaffen haben, könnten wir sie sehr leicht in unserem Umfeld wiederverwenden Technologien wie Apache oder Nginx ausgeführt.
Unsere Skripte finden Sie in unserem GIT-Repository: https://github.com/ikoula/letsencrypt-cerbot-haproxy-mass-domains.
Infrastruktur HAProxy in Hochverfügbarkeit, die Zertifikate von einem Zertifikatanbieter (Typ Geotrust, Thawte,...) haben können und Erwerb / Verlängerung SSL wir verschlüsseln.
In wenigen Worten, lassen Sie uns zu verschlüsseln ist eine Lösung, SSL-Zertifikate kostenlos zu bekommen und haben eine Laufzeit von 3 Monaten.
Um ein Zertifikat zu erhalten, ist eine wesentliche Voraussetzung, dass die Domain oder Alias für DNS auf die IP des Computers, der die Anforderung für den Erwerb zeigen.
Bis dahin finden wir eine Menge Tutorials und Skripte in verschiedenen Foren, über die Durchführung von Servern mit HAProxy, Corosync, Herzschrittmacher und verschlüsseln lassen Sie Skripte (jetzt genannt Certbot).
Sehr wichtiger Punkt, arbeiten wir auf eine große Anzahl von Domänen (man spricht von mehreren tausend Domains für einen einzelnen Kunden). Angesichts des erheblichen Umfangs und weniger schwere verwaltungstechnischen Gründen entschieden wir uns für die Schaffung des Typs San-SSL-Zertifikate
Wir haben auch diese Wahl getroffen um nicht blockiert werden wir verschlüsseln ist.
Er muss wissen, dass wir nicht mehr als 500 Datensätze pro IP und 3 Stunden schaffen.
Ein weiterer Punkt ist sehr wichtig, wir kontrollieren nicht die Verwaltung von Domain-Namen.
Eine Domäne kann ablaufen oder neue Bereiche hinzugefügt werden können, ohne dass wir wissen.
Nach Ablauf eine Domain (für SAN-Zertifikate) wenn wir die Skripts verwenden, wie wir es im Internet zu finden, konnte Erneuerung der Zertifikate nicht vorgenommen werden.
Gesehen, dass wir verschlüsseln Tests auf das Vorhandensein einer DNS-Partitur für jede Domäne, wenn eine Domain nicht mehr funktionieren (siehe reagiert auf die gute IP), dann das SAN-Zertifikat kann nicht erneuert werden.
Unter Berücksichtigung all diese Parameter, wir haben das Certbot-Skript angepasst, so dass es berücksichtigt all dies.
Wir treffen uns im Finale mit 3 verschiedenen Skripten:
- Lassen Sie uns die Datei mit den X-Bereichen in mehrere kleine Dateien 50 Domains zu segmentieren. Dies ist für einen ganz einfachen Grund, ein SAN-Zertifikat hat maximal 100 Datensätze (Domänen und Alias). Sobald segmentiert, erreichen wir eine Test-Dig für jede Domäne um sicherzustellen, dass alle auf dem IP unserer Infrastruktur zu erfüllen und wir fügen / test den WWW-Alias in diesem Test-Dig. Je nachdem, ob die Domains und Alias auf die IP des unsere Infrastruktur oder nicht reagieren dann bekommen wir 2 verschiedene Dateien. Eine Datei, die alle Bereiche / Alias trifft die gute IP-Adresse und eine zweite Datei mit denen nicht richtig reagiert.
- Sobald wir sicher sind, dass unsere Liste der Bereich gut ist, generieren wir die Konfigurations-Dateien verschlüsseln wir ist. Diese Konfigurationsdateien enthalten Informationen zum Typ: e-Mail-Adresse, die Zustimmung zu den Bedingungen, die Liste der Bereiche, die sie erzeugt, etc.
- Das letzte Skript wird fortgesetzt mit dem Erwerb der Zertifikate basierend auf der Konfiguration Dateien generiert. Diese dasselbe Skript macht ein Backup der Konfigurationen, Validierung der neuen Konfiguration und senden e-Mail-Benachrichtigungen stromaufwärts.
Schließlich erstellen Sie einfach einen geplanten Task, der einmal im Monat für die Erneuerung von SSL-Zertifikaten ausgeführt wird.
Da wir diese Skripts in einer HAProxy Infrastruktur geschaffen haben, könnten wir sie sehr leicht in unserem Umfeld wiederverwenden Technologien wie Apache oder Nginx ausgeführt.
Unsere Skripte finden Sie in unserem GIT-Repository: https://github.com/ikoula/letsencrypt-cerbot-haproxy-mass-domains.
Visitez 
Naxos
Markethings
DataTourisme
Ajouter un commentaire