Distribuzione e l'utilizzo di certificati crittografare Let's Studio

Ikoula ha lavorato sull'uso della soluzione Let's crittografare in un contesto specifico per uno dei nostri clienti:
HAProxy infrastruttura in alta disponibilità che possono avere i certificati da un provider di certificati (tipo Geotrust, Thawte,...) e l'acquisizione / Encrypt di rinnovo SSL Let's.

In poche parole, Let's crittografare è una soluzione per ottenere i certificati SSL gratuitamente e hanno un periodo di validità di 3 mesi.
Al fine di ottenere un certificato, un prerequisito essenziale è che il dominio o l'alias DNS sul IP della macchina che effettua la richiesta per acquisizione punto.

lets_encrypt

Fino ad allora, possiamo trovare un sacco di tutorial e script in diverse sedi, sull'attuazione dei server con HAProxy, Corosync, Pacemaker e di Let's crittografare (ora chiamato Certbot).

Punto molto importante, stiamo lavorando su un volume elevato di domini (si parla di diverse migliaia di domini per un singolo cliente). In considerazione del volume significativo e meno motivi di gestione pesanti, abbiamo optato per la creazione di tipo i certificati SSL di San
Abbiamo anche fatto questa scelta in modo da non essere bloccato da Let's è Encrypt.
Egli deve sapere che non possiamo creare più di 500 record per IP e per 3 ore.

Un altro punto è molto importante, noi non controlliamo la gestione dei nomi di dominio.
Che un dominio può scadere o nuove aree possono essere aggiunti senza di noi sapere.
Quando un dominio scade (per certificati SAN), se usiamo gli script come possiamo trovarla su internet, non si potevano fare rinnovi dei certificati.
Visto che diciamo crittografare i test per la presenza di una ventina di DNS per ogni dominio, se un dominio non funziona più (Vedi non risponde sul buon IP), quindi non può essere rinnovato il certificato di SAN.

Tenendo conto di tutti questi parametri, abbiamo adattato lo script di certbot modo che prende in considerazione tutto questo.

Ci incontriamo in finale con 3 diversi script:

  • Let's segmentare il file contenente le aree di X in diversi file di piccole dimensioni di 50 domini. Questo è per una ragione molto semplice, un certificato SAN ha un massimo di 100 record (domini e alias). Una volta segmentato, otterremo una vangata di prova per ogni dominio verificare che tutti si incontrano sul IP della nostra infrastruttura e ci Aggiungi / testare l'alias WWW in questo scavo di prova. A seconda se i domini e alias di rispondere bene sull'IP della nostra infrastruttura o no, quindi avremo 2 file diversi. Un file contenente tutte le aree / alias incontra il buon IP e un secondo file con quelli non risponde correttamente.
  • Una volta che siamo sicuri che la nostra lista di campo è buono, si genererà il Let's è crittografa i file di configurazione. Questi file di configurazione contengono informazioni tipo: indirizzo e-mail, l'accettazione dei termini, l'elenco delle zone genererà, ecc
  • L'ultimo script procederà con l'acquisizione di certificati sulla base delle configurazioni file generati. Questo stesso script fa un backup delle configurazioni, convalida della nuova configurazione e invia notifiche di posta elettronica a Monte.


Infine, semplicemente creare un'operazione pianificata che viene eseguito una volta al mese, per il rinnovo dei certificati SSL.

Poiché abbiamo creato questi script in un'infrastruttura di HAProxy, abbiamo potuto riutilizzarli molto facilmente nei nostri ambienti, che eseguono le tecnologie come Apache e Nginx.

È possibile trovare il nostro script nel nostro repository GIT: https://github.com/ikoula/letsencrypt-cerbot-haproxy-mass-domains.


Aggiungi un commento