作業概要
Secrets Managerで証明書を注文するときに、発行対象のドメインの所有者であることを検証する必要がある。所有者の検証に使用するDNS サービスとして、今回はCISを利用する
※他に利用できるDNSサービスとしては、CIS/Classic環境DNS/Manual(自前のDNSサーバ等)があるが、ManualのDNSサービスを利用する場合、自動更新は対象外
全体の流れ
ボリュームがあるので、全5回で記事を記載します。
本記事では「2.DNS Providerの設定と自動更新カスタムドメイン証明書(パブリック)の発行」の内容を記載
前回
1.自動証明書管理環境(ACME)のセットアップと認証局の構成
本記事はこちら
2.[DNS Providerの設定と自動更新カスタムドメイン証明書(パブリック)の発行]
次回以降
3.IKSとSecret Managerの連携設定と自動更新の確認
4.IKSからパブリック証明書の参照と自動更新
5.IngressALBから証明書の利用とアプリケーションへのHTTPS動作確認
全体図
IKSでSecret Managerを利用して、IngressALBにPublic証明書を適用し、証明書の自動更新を行う一例
サービス間のアクセス許可設定(SecretManager -> CIS)
はじめに、SecretManagerからCISへのドメイン検証を行うため、アクセス権の追加が必要になるため、その設定を実施する
参考ページ:CISへのサービス・アクセス権限の付与
IAM -> Authorizations -> Createを選択
Sourceの設定
Source account : This account
Service: Secrets Manager
Resource: サービスインスタンスでCISにドメイン検証を許可するSecret Managerインスタンスを指定
Targetの設定
Service: Internet Services
Resources: Secret Managerからのアクセスを許可するCISインスタンスを指定
Roleの設定
Managerを設定し、Authorizeを選択
DNS Providerの設定
参考ページ:UIを使用したDNSプロバイダー構成の追加
Secrets engines -> Public certificates -> DNS Providers -> Addを選択
任意の名前を入力し、Cloud Internet Servicesを選択し、Nextを選択
AuthorizationにてCISインスタンスを選択し、Addを選択
DNS Providersに登録されていることを確認
証明書の発行
Secret Managerのページから、Secrets -> Addを選択
Public certificateを選択し、Nextを選択
任意のNameを記載、リソースグループを指定し、Nextを選択
Secret engineの構成で作成したCertificate authorityを指定し、Key algorithmは環境に応じて選択するさらに、Automatic certificate rotationを選択しておくと自動更新する(他のオプションは任意で設定)
DNS providerは先ほど作成したCISを選択
domainはCISで管理しているドメインを指定し、Nextを選択
問題なければ、証明書が作成される
証明書の詳細画面で、証明書の有効期限と自動更新までの日が確認できる
