トップ 最新 追記

2018-01-10 [長年日記]

_ cfsslとrakeで似たようなCSRをサクッと作る

ずっとSSL証明書面倒くさいなーと思ってたんですよ。まぁ今だと Let' Encrypt とか Heroku もそうだけど無料で自動更新みたいなのはあるにはあるんだけど、伝統的なやつをもうちょっと効率化できないかなとずっと思っていたわけです。*1

ありました。

cfsslを知る

cloudflare/cfssl: CFSSL: Cloudflare's PKI and TLS toolkit

本当は openssl + expect ? とか openssl -config <template> ? みたいなことを考えていたんだけど、swiss army knife が見つかっちゃいました。

cfsslの使い方

とっても簡単。

Creating a new CSR &#183; cloudflare/cfssl Wiki

にあるように JSON で

{
  "CN": <CommonName>,
  "key": {
    ...
  },
  "names": [
    {
      "C": "JP",
      ...
    }
  ]
}

のように定義を準備しておいて、

cfssl genkey <json>

てやると

  • パスフレーズなしのprivate key
  • CSR

が JSON で出力されます。

このね、 names に当たる部分て基本的に同じ組織なら同じになっちゃうわけですよ。違うのは CN くらいなわけです。これを openssl で interactive にいくつも作るのは超だるいわけです。これが cfssl ならラクショー、いや、いくつも JSON 作るのもダルいので、そこはあとで工夫します。

cfssljsonでファイルを作る

cfssl の出力はあくまで JSON なんだけど、欲しいのは秘密鍵のファイルと CSR のファイルなわけです。

そこで登場するのは cfssljson です。使い方は上の続きで

cfssl genkey <json> | cfssljson -bare <prefix>

ってやると以下の2つのファイルが生成されます。

  • <prefix>.csr
  • <prefix>-key.pem

そうそう、これが欲しかった。

あとは CSR を出して、戻ってきた cert / intermediate cert と private key をサーバにインストールすればオッケー。

定義をYAMLで書いてrakeで叩く

JSON で定義を書ける、まぁイマドキなわけですが、もっと楽したい。具体的には上の names に当たる部分が共通の SSL 証明書が複数必要、という場合は

YAML で定義を作ってやればアンカーとエイリアスで楽できます

アンカーとエイリアスってのは

Rubyist Magazine - プログラマーのための YAML 入門 (初級編)

こういうやつです。で、例えば Ruby だとこんな感じに

hosts = YAML.load_file(<yaml>)

で定義を取得できるので、この key なんかをもとに

hosts.keys.each {|host|
  desc host
  task host do
    generate_json(host)
    sh "cfssl genkey #{jsonfile} | cfssljson -bare #{prefix(host)}"
  end
}

みたいなことをやってあげると host ごとに private key と csr を作成する rake task がズラッと揃います。(main のレベルで書かない場合は適宜 Rake::DSL を include / extend してください)

こいつをリポジトリに突っ込んであげれば少なくとも CSR 準備作業はきれいに忘れてしまってもオッケーだと思います。

証明書のインストールとかその辺はまた今度

まずはくそ面倒だった openssl + interactive な key / csr 作成とさよならできたのでよしとします。

Tags: Sysadmin

*1 ACMはメール + Webでacceptの操作が要るので全自動ではないですね


2018-01-19 [長年日記]

_ Rails 4.2にWebpacker入れた

まとめ

  • Rails 4.2 で既存の AssetPipeline にまったく手を加えずに Webpacker を導入しました
  • Webpacker は導入から deploy まで簡単でよい
  • Webpacker のサイトの情報だけでなく、Webpack も Yarn も(そこそこ)追っておこう
    • さすがに Node.js と npm もさすがにね

前提知識

  • Webpacker は AssetPipeline とは独立した RailsEngine であり、共存できる
  • Webpacker は Yarn で Webpack を入れるのでそれぞれについてある程度知っている必要あり
    • (使うだけならインストール方法と簡単な使い方の手引きがあればよい)

決めなきゃいけないこと

  • Webpacker で AseetPipeline を置き換えてしまうか否か

決めたこと

  • AssetPipeline は AssetPipeline でそのままにする
  • /app/javascript/ はさすがに狂ってる気がするので /app/webpacker/ に置くことにした

webpack 管理が webpacker 管理の他に生まれるということは基本的に考えていない。

根拠
  • まだ Webpack やモダンJS、モダンCSS に習熟したエンジニアがプロジェクトの中心にいない
  • 既存のコードについて 熟練工がすぐに必要な状況ではない
  • ただし、新規では Vue.js を使ったアプリを追加する予定
    • これを AssetPipeline + CoffeeScript + jQuery で書くかというとそれはイヤだ

感想

個人的にはこれまで Browserify に寄せててどうしても Webpack と仲良くできる気がしてなかったんだけど、そんな自分でも Webpacker の導入は非常にスムーズに進んだ。

特に deploy について何も気にしなくてよかったのは本当に助かった。ビルドシステムを作ることに頭を使うのは全然やりたいことじゃないので。

ただ、やはり事前に少なくとも Node.js と Yarn の知識はあった方がよい。Webpacker のドキュメントでは Node.js 6.0+ / Yarn 0.25+ って書いてあったけど、Webpack はすでに "The current Long Term Support (LTS) release is an ideal starting point." と言っている。Webpacker はあくまで Webpack と Rails が仲良くする手法の一つなので、あくまで本家情報を大事にしよう。

おまけ

rake ( Rails 5.1- ) webpacker:install と rake webpacker:install:xxx は違う。そりゃそうだ。

参考

Webpack 2 との比較
Tags: Webpack Rails