igmp Apr 16 2020 at 12:17

Управление SSL-сертификатами: от хаоса на сотнях серверов к централизованному решению

5 min

13K

Skyeng corporate blogDomain names administrating*System administration*IT Infrastructure*DevOps*

+19

Comments 26

ZloyKishechnik Apr 16 2020 at 13:37

Это всё классно и прикольно, но почему бы не выложить вашу роль/плейбук и показать не части кода, а полноценный и то, как это работает?
Думаю не только мне будет интересно посмотреть…

igmp Apr 17 2020 at 14:57

Да, будет время — выложу куда-нибудь.

fishhead Apr 22 2020 at 12:51

Предположу, потому что это решение привязано к их DNS провайдеру.

igmp Apr 22 2020 at 12:53

Мы юзаем AWS Route53. Подойдёт любой провайдер с API.

fishhead Apr 22 2020 at 17:41

Уточните пожалуйста, как?
Например у меня Google DNS или PowerDNS, как ваша роль взлетит с ними?

igmp Apr 22 2020 at 18:08

В нашем случае DNS живёт в Route53, и для управления им используется эта штука:
docs.ansible.com/ansible/latest/modules/route53_module.html

Если бы DNS жил в Гугле, то использовалась бы эта штука:
docs.ansible.com/ansible/latest/modules/gcdns_record_module.html

А для PowerDNS есть масса вариантов.

fishhead Apr 23 2020 at 11:20

Где дока живет я знаю :) Но я сказал, что ваше решение привязано к вашему провайдеру. Ссылки выше означают, что ваше решение нужно переписывать. Имено переписывать, т.к. у меня есть решение для нескольких облаков,(AWS,GCP,Aliyun) которое родилось из чужой роли для Route53. Взять что-то готовое и просто указать другого провайдера — не получится.

UnnamedUA Apr 16 2020 at 13:46

Что только не придумаешь лишь бы не поднять Caddy

igordoge Apr 16 2020 at 14:05

И traefik вместе с ним.

UnnamedUA Apr 16 2020 at 14:11

Это самом собой)

Sannis Apr 16 2020 at 14:38

Что люди только не делают чтобы не использовать Nginx/HAproxy.

edo1h Apr 16 2020 at 16:24

а чем бы тут помог caddy?

UnnamedUA Apr 16 2020 at 16:31

Генерацией сертификатов без костылей?

edo1h Apr 16 2020 at 16:50

из статьи:

А давайте использовать wildcard сертификаты? Давайте! Let’s Encrypt их уже выдаёт. Правда, придётся настроить подтверждение владения доменом через DNS. А DNS у нас живёт в AWS Route53. И придётся разложить реквизиты доступа в AWS по всем серверам.

Также появились сервера вообще без HTTP. Скажем, с почтой. Или с базами данных. Или с каким-нибудь LDAP. Или ещё с чем-нибудь странным. Туда также приходилось копировать сертификаты вручную.

caddy точно покрыл бы эти случаи?

P.S. на мой взгляд получение сертификатов LE в веб-сервере — весьма сомнительное решение с точки зрения изящности архитектуры.
P.P.S. странно, что ещё не догадался на веб-сервере держать и зоны dns.

igmp Apr 17 2020 at 15:01

edo1h точно отметил. У нас сертификаты используются в разных местах. В том числе таких, где нет никакого HTTP.

Revertis Apr 16 2020 at 16:42

А почему когда вам не понравился api.service.skyeng.ru, вы решили сразу переносить всё в папки, а не добавили тире? Например вот так: service-api.skyeng.ru? Красиво и поменять быстро.

igmp Apr 17 2020 at 15:02

Да, для новых сервисов так и делаем. А старые остались с именами разных уровней.

itdog Apr 16 2020 at 18:26

А вы как-нибудь проверяете полученные сертификаты на валидность? Что бы вдруг не распространить пустой файл или просроченный сертификат на серверы?

igmp Apr 17 2020 at 15:11

Интересная идея, не думал об этом.

С одной стороны, это просто сделать. С другой стороны, за год эксплуатации у нас не было ничего подобного. Тогда зачем исправлять проблему, которая никогда не возникнет?

-1

bborysenko Apr 22 2020 at 18:08

Когда у себя решали этот же вопрос, накидали отдельный сервис с API поверх certboot и все складываем в Hashicorp Vault, откуда уже каждая команда забирает сертификат для своих сервисов.

У вас в качестве хранилища что используется?

igmp Apr 22 2020 at 18:20

У нас всё просто на файловой системе. Так же, как делает certbot.

Vault тоже юзаем. Можно было бы и там хранить.

ZloyKishechnik Apr 28 2020 at 10:32

Опенсурсное? Расшарите решение?

igmp Apr 28 2020 at 10:51

Там ничего секретного нет. Будет время — выложу куда-нибудь.

igmp May 4 2020 at 19:12

Добавил в P.S. ссылку на репу с кодом: https://github.com/igmp/lets-use-ssl.

Number7 Aug 28 2021 at 07:32

один в один проходили подобную ситуацию на проекте. разве что не было извращений с субдоменами 4 уровня :)
в итоге, было принято решение купить пять wildcard ssl и отказаться от мазохизма с LE, хоть он и приятен админам.
220 баксов в год (цена SSL) - не те деньги, ради которых надо страдать и превозмогать, так как есть куда более интересные извращения :)

Сервера были поделены на 5 серверных групп, каждой назначен свой домен.
Стало проще по части группировки данных в статистике и глядя на субдомен сервера уже сразу можно было сказать что от сервера можно ожидать.

Раз в год получаются новые SSL, размещаются на корневом сервере, далее скрипт, где обычный rsync разносит серты по серверам + релоадит веб-сервера.

Сообственно и все.

-1

edo1h Aug 28 2021 at 20:15

220 баксов в год (цена SSL) — не те деньги, ради которых надо страдать и превозмогать, так как есть куда более интересные извращения :)

а превозмогание чего именно вы исключили?