読者です 読者をやめる 読者になる 読者になる

GeekFactory

int128.hatenablog.com

acmesmithでSSL証明書を管理する

docker let's encrypt

開発環境などのテンポラリな環境でSSL証明書を利用したい場合はLet's Encryptが便利です。Let's Encryptの証明書を管理するツールにはcertbotlegoなどがありますが、それらは鍵や証明書をローカルディスクに格納するため、他のサーバで証明書を利用したい場合に鍵や証明書を安全に配布する仕組みが必要になります。また、発行済みの証明書が複数のサーバに分散してしまうと、有効期限やSAN(Subject Alternative Name)の更新に多大な手間がかかります。

そこで、acmesmithというツールを利用すると、S3などのストレージで鍵や証明書を一元管理できます。これにより、複数のサーバで証明書を利用する場合の運用がとても楽になります。

github.com

本稿では、acmesmithを利用して証明書を運用する方法を説明します。ここでは、Route53でドメインを管理しており、S3が利用できる前提とします。

準備

以下のIAMロールを持つIAMユーザを作成します。YOUR_BUCKETはS3のバケット名、YOUR_HOSTED_ZONEはRoute53のゾーンIDに置き換えてください。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": ["s3:GetObject", "s3:PutObject", "s3:ListBucket"],
      "Resource": ["arn:aws:s3:::YOUR_BUCKET", "arn:aws:s3:::YOUR_BUCKET/cert"]
    },
    {
      "Effect": "Allow",
      "Action": ["route53:ListHostedZones", "route53:GetChange"],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": "route53:ChangeResourceRecordSets",
      "Resource": ["arn:aws:route53:::hostedzone/YOUR_HOSTED_ZONE"]
    }
  ]
}

IAMキーを取得したら、以下の内容でacmesmith.ymlを作成します。YOUR_PASSPHRASEは鍵のパスフレーズなので適当なものに置き換えてください。

endpoint: https://acme-v01.api.letsencrypt.org/

storage:
  type: s3
  region: ap-northeast-1
  bucket: YOUR_BUCKET
  prefix: cert
  aws_access_key:
    access_key_id: IAM_KEY
    secret_access_key: IAM_SECRET

challenge_responders:
  - route53:
      aws_access_key:
        access_key_id: IAM_KEY
        secret_access_key: IAM_SECRET

account_key_passphrase: YOUR_PASSPHRASE1
certificate_key_passphrase: YOUR_PASSPHRASE2

acmesmithはRubyGemsで提供されています。

gem install acmesmith

初期登録と更新

まずは、Let's Encryptのアカウント登録と証明書発行を行います。ドメインの所有者であることの確認(ACME Challenge)はRoute53で行われます。

acmesmith register mailto:example@gmail.com
acmesmith authorize example.com
acmesmith request example.com
acmesmith list

証明書のリストが表示されれば成功です。S3にはLet's Encryptのアカウント鍵、SSL証明書とその秘密鍵が格納されます。

期限切れが近い証明書を更新するには以下を実行します。デフォルトでは期限切れ7日前を過ぎたら更新されます。そうでない場合は何もしないので、何回実行しても大丈夫です。

acmesmith autorenew

鍵や証明書はS3にあるので、IAMキーさえ設定すれば他のサーバでも証明書を取得できます。これもACMEサーバには問い合わせないので、何回実行しても大丈夫です。

acmesmith show-certificate example.com
acmesmith show-private-key example.com

Dockerで実行する

すでにWebサーバをDockerで運用している場合、acmesmithもDockerで実行するとよいでしょう。ここではRubyのイメージにacmesmithとacmesmith.ymlを追加します。

# acmesmith/Dockerfile
FROM ruby:2
RUN gem install acmesmith
ADD acmesmith.yml /
ENTRYPOINT ["acmesmith"]
# /docker-compose.yml
version: "2"
services:
  acmesmith:
    build: acmesmith

以下のコマンド群で証明書を生成できます。

docker-compose build acmesmith
docker-compose run --rm acmesmith autorenew
docker-compose run --rm acmesmith show-certificate example.com > cert.pem
docker-compose run --rm acmesmith show-private-key example.com > key.pem

生成された証明書をWebサーバに追加するとHTTPSが利用できるようになります。

証明書を更新する際にはイメージのリビルドとコンテナの再起動が必要になるため、およそ90日ごとに数秒のダウンタイムが発生します*1

最後に、acmesmithで生成した証明書をnginxで利用する例を公開します。

github.com

*1:Let's Encryptの用途を考えると、数秒のダウンタイムを許容できないケースは少ないかと思います。ダウンタイムを許容できない場合はボリューム経由で証明書を渡してシグナルを投げるといった工夫が必要です。