Invoering en het gebruik van certificaten laten we coderen studie

Ikoula gewerkt aan het gebruik van de oplossing laten we coderen in een specifieke context voor een van onze klanten:
Infrastructuur HAProxy in hoge beschikbaarheid die wellicht certificaten van een certificaatprovider (type Geotrust, Thawte,...) en overname / vernieuwing SSL laten we het coderen.

In een paar woorden, laten we coderen is een oplossing om SSL-certificaten kostenloos en hebben een geldigheidsduur van 3 maanden.
Het verkrijgen van een certificaat, is een essentiële voorwaarde dat het domein of de alias om DNS op het IP van de machine die het verzoek indient voor overname punt.

lets_encrypt

Tot dan kunnen we een heleboel tutorials en scripts in de verschillende fora, over de uitvoering van servers met HAProxy Corosync, Pacemaker en laten we coderen scripts (nu genoemd Certbot) vinden.

Zeer belangrijk punt, we werken op een hoog volume van domeinen (men spreekt van duizenden domeinen voor één klant). Gezien de aanzienlijke omvang en minder zware beheer redenen, hebben we gekozen voor de oprichting van type San SSL certificaten
We hebben ook deze keuze om niet worden geblokkeerd door is laten we coderen.
Hij moet weten dat we meer dan 500 records per IP en per 3 uur geen maken.

Een ander punt is erg belangrijk, wij hebben geen controle over het beheer van domeinnamen.
Dat een domein verlopen kan of nieuwe gebieden kunnen worden toegevoegd zonder dat wij weten.
Wanneer een domein is verlopen (voor SAN certificaten), als we de scripts gebruiken als we op internet vinden kunnen, kunnen verlengingen van certificaten niet worden gedaan.
Gezien dat laten we coderen tests voor de aanwezigheid van een DNS-score voor elk domein, als een domein niet langer (Zie reageert niet op de goede IP), werken dan de SAN-certificaat kan niet worden vernieuwd.

Rekening houdend met al deze parameters, hebben we aangepast het certbot script zodat het rekening houdt met dit alles.

We ontmoeten in de finale met 3 verschillende scripts:

  • Laten we het segment van het bestand met de X-gebieden in verschillende kleine bestanden van 50 domeinen. Dit is een zeer eenvoudige reden, een SAN-certificaat heeft een maximum van 100 records (domeinen en alias). Zodra gesegmenteerd, zullen wij het graven van een test voor elk domein om te verifiëren dat alle op het IP van onze infrastructuur ontmoeten en wij toevoegen / test de alias WWW in deze test graven. Afhankelijk van of de domeinen en de alias goed op het IP van onze infrastructuur of niet reageren, zullen dan we 2 verschillende bestanden. Een bestand met alle gebieden / alias voldoet aan de goede IP en een tweede bestand met die niet correct reageert.
  • Zodra we ervan overtuigd zijn dat onze lijst van veld goed is, we zullen genereren de is laten we configuratie-bestanden coderen. Deze configuratiebestanden bevatten informatie over het type: e-mailadres, de aanvaarding van de voorwaarden, de lijst van de gebieden die het genereert, etc.
  • Het laatste script zal doorgaan met het verwerven van certificaten op basis van de configuraties bestanden gegenereerd. Deze hetzelfde script maakt een back-up van configuraties, validatie van de nieuwe configuratie en verzenden e-mailmeldingen stroomopwaarts.


Ten slotte, gewoon een geplande taak maken die eenmaal per maand, voor het vernieuwen van certificaten SSL uitgevoerd.

Aangezien we deze scripts in een HAProxy-infrastructuur hebt gemaakt, kunnen we hergebruiken heel gemakkelijk in onze omgeving, uitgevoerd op technologieën zoals Apache en Nginx.

Onze scripts vindt u in onze GIT repository: https://github.com/ikoula/letsencrypt-cerbot-haproxy-mass-domains.


Reactie toevoegen

Plain text

  • Geen HTML toegestaan.
  • E-mail- en internetadressen worden automatisch aanklikbaar.
  • Regels en alinea's worden automatisch gesplitst.
Image CAPTCHA
Voer de tekens in die op de afbeelding in.