cfsslとrakeで似たようなCSRをサクッと作る

ずっとSSL証明書面倒くさいなーと思ってたんですよ。まぁ今だと Let' Encrypt とか Heroku もそうだけど無料で自動更新みたいなのはあるにはあるんだけど、伝統的なやつをもうちょっと効率化できないかなとずっと思っていたわけです。1

ありました。

cfsslを知る

cloudflare/cfssl: CFSSL: Cloudflare's PKI and TLS toolkit

本当は openssl + expect ? とか openssl -config <template> ? みたいなことを考えていたんだけど、swiss army knife が見つかっちゃいました。

cfsslの使い方

とっても簡単。

Creating a new CSR &#183; cloudflare/cfssl Wiki

にあるように JSON で

{
  "CN": <CommonName>,
  "key": {
    ...
  },
  "names": [
    {
      "C": "JP",
      ...
    }
  ]
}

のように定義を準備しておいて、

cfssl genkey <json>

てやると

  • パスフレーズなしのprivate key
  • CSR

が JSON で出力されます。

このね、 names に当たる部分て基本的に同じ組織なら同じになっちゃうわけですよ。違うのは CN くらいなわけです。これを openssl で interactive にいくつも作るのは超だるいわけです。これが cfssl ならラクショー、いや、いくつも JSON 作るのもダルいので、そこはあとで工夫します。

cfssljsonでファイルを作る

cfssl の出力はあくまで JSON なんだけど、欲しいのは秘密鍵のファイルと CSR のファイルなわけです。

そこで登場するのは cfssljson です。使い方は上の続きで

cfssl genkey <json> | cfssljson -bare <prefix>

ってやると以下の2つのファイルが生成されます。

  • <prefix>.csr
  • <prefix>-key.pem

そうそう、これが欲しかった。

あとは CSR を出して、戻ってきた cert / intermediate cert と private key をサーバにインストールすればオッケー。

定義をYAMLで書いてrakeで叩く

JSON で定義を書ける、まぁイマドキなわけですが、もっと楽したい。具体的には上の names に当たる部分が共通の SSL 証明書が複数必要、という場合は

YAML で定義を作ってやればアンカーとエイリアスで楽できます

アンカーとエイリアスってのは

Rubyist Magazine - プログラマーのための YAML 入門 (初級編)

こういうやつです。で、例えば Ruby だとこんな感じに

hosts = YAML.load_file(<yaml>)

で定義を取得できるので、この key なんかをもとに

hosts.keys.each {|host|
  desc host
  task host do
    generate_json(host)
    sh "cfssl genkey #{jsonfile} | cfssljson -bare #{prefix(host)}"
  end
}

みたいなことをやってあげると host ごとに private key と csr を作成する rake task がズラッと揃います。(main のレベルで書かない場合は適宜 Rake::DSL を include / extend してください)

こいつをリポジトリに突っ込んであげれば少なくとも CSR 準備作業はきれいに忘れてしまってもオッケーだと思います。

証明書のインストールとかその辺はまた今度

まずはくそ面倒だった openssl + interactive な key / csr 作成とさよならできたのでよしとします。

  1. ACMはメール + Webでacceptの操作が要るので全自動ではないですね 

More

Categories

Tool 日々 Web Biz Net Apple MS ことば News Unix howto Food PHP Movie Edu Community Book Security Text TV Perl Ruby Music Pdoc 生き方 RDoc ViewCVS CVS Rsync Disk Mail FreeBSD Cygwin PDF Photo Zebedee Debian OSX Comic Cron Sysadmin Font Analog iCal Sunbird DNS Linux Wiki Emacs Thunderbird Sitecopy Terminal Drawing tDiary AppleScript Life Money Omni PukiWiki Xen XREA Zsh Screen CASL Firefox Fink zsh haXe Ecmascript PATH_INFO SQLite PEAR Lighttpd FastCGI Subversion au prototype.js jsUnit Apache Trac Template Java Rhino Mochikit Feed Bloglines CSS del.icio.us SBS qwikWeb gettext Ajax JSDoc Rails HTML CHM EPWING NDTP EB IE CLI ck ThinkPad Toy WSH RFC readline rlwrap ImageMagick epeg Frenzy sysprep Ubuntu MeCab DTP ERD DBMS eclipse Eclipse Awk RD Diigo XAMPP RubyGems PHPDoc iCab DOM YAML Camino Geekmonkey w3m Scheme Gauche Lisp JSAN Google VMware DSL SLAX Safari Markdown Textile IRC Jabber Fastladder MacPorts LLSpirit CPAN Mozilla Twitter OpenFL Rswatch ITS NTP GUI Pragger Yapra XML Mobile Git Study JSON VirtualBox Samba Pear Growl Mercurial Rack Capistrano Rake Win RSS Mechanize Sitemaps Android JavaScript Python RTM OOo iPod Yahoo Unicode Github iTunes God SBM friendfeed Friendfeed HokuUn Sinatra TDD Test Project Evernote iPad Geohash Location Map Search Simplenote Image WebKit RSpec Phone CSV WiMAX USB Chrome RubyKaigi RubyKaigi2011 Space CoffeeScript Nokogiri Hpricot Rubygems jQuery Node GTD CI UX Design VCS Kanazawa.rb Kindle Amazon Agile Vagrant Chef Windows Composer Dotenv PaaS Itamae SaaS Docker Swagger Grape WebAPI Microservices OmniAuth HTTP 分析基盤 CDN Terraform IaaS HCL Webpack Vue.js BigQuery Middleman CMS AWS PNG Laravel Selenium OAuth OpenAPI GitHub UML GCP TypeScript SQL Hanami Develop Document Jekyll