Комментарии 26
Думаю не только мне будет интересно посмотреть…
Например у меня Google DNS или PowerDNS, как ваша роль взлетит с ними?
docs.ansible.com/ansible/latest/modules/route53_module.html
Если бы DNS жил в Гугле, то использовалась бы эта штука:
docs.ansible.com/ansible/latest/modules/gcdns_record_module.html
А для PowerDNS есть масса вариантов.
а чем бы тут помог caddy?
из статьи:
А давайте использовать wildcard сертификаты? Давайте! Let’s Encrypt их уже выдаёт. Правда, придётся настроить подтверждение владения доменом через DNS. А DNS у нас живёт в AWS Route53. И придётся разложить реквизиты доступа в AWS по всем серверам.
и
Также появились сервера вообще без HTTP. Скажем, с почтой. Или с базами данных. Или с каким-нибудь LDAP. Или ещё с чем-нибудь странным. Туда также приходилось копировать сертификаты вручную.
caddy точно покрыл бы эти случаи?
P.S. на мой взгляд получение сертификатов LE в веб-сервере — весьма сомнительное решение с точки зрения изящности архитектуры.
P.P.S. странно, что ещё не догадался на веб-сервере держать и зоны dns.
А вы как-нибудь проверяете полученные сертификаты на валидность? Что бы вдруг не распространить пустой файл или просроченный сертификат на серверы?
Когда у себя решали этот же вопрос, накидали отдельный сервис с API поверх certboot
и все складываем в Hashicorp Vault, откуда уже каждая команда забирает сертификат для своих сервисов.
У вас в качестве хранилища что используется?
Vault тоже юзаем. Можно было бы и там хранить.
Добавил в P.S. ссылку на репу с кодом: https://github.com/igmp/lets-use-ssl.
один в один проходили подобную ситуацию на проекте. разве что не было извращений с субдоменами 4 уровня :)
в итоге, было принято решение купить пять wildcard ssl и отказаться от мазохизма с LE, хоть он и приятен админам.
220 баксов в год (цена SSL) - не те деньги, ради которых надо страдать и превозмогать, так как есть куда более интересные извращения :)
Сервера были поделены на 5 серверных групп, каждой назначен свой домен.
Стало проще по части группировки данных в статистике и глядя на субдомен сервера уже сразу можно было сказать что от сервера можно ожидать.
Раз в год получаются новые SSL, размещаются на корневом сервере, далее скрипт, где обычный rsync разносит серты по серверам + релоадит веб-сервера.
Сообственно и все.
Управление SSL-сертификатами: от хаоса на сотнях серверов к централизованному решению