RubyでLet's Encryptのスクリプト #Ruby

RubyのACME-CLIENTがあったので、証明書発行をスクリプトで書いてみた。身内向けのメモだったけど一部削って公開でいいや。

といってもこれをなぞっって少し解説と軽い検証を入れただけです。 https://github.com/unixcharles/acme-client

以下、Let's EncryptはLEと呼称します。

環境

さくらのクラウドにDebian8 (kitchen-driver-sakuracloud使用で作成)
- aptでruby入れただけ
WebサーバにNginx
- Nginxのrootは /var/www/html;、ここにHTTPチャレンジ用のファイルを置けば良いのだ。

最後のコード以外はPryで実行してます。

ステップ秘密鍵

今回でてくる秘密鍵は認証とサーバ鍵ペア(正確にはCSR作成用)の2通りがある。まずは認証用。

> require 'openssl'
=> true

> private_key = OpenSSL::PKey::RSA.new(2048)
=> #<OpenSSL::PKey::RSA:0x000000028f5a28>

LE側の管理は鍵単位になるので、一度作ったものを持ちまわるよりは申請ごとに認証鍵を作成し、都度発行で十分そう。

ステップ ACMEのエンドポイント

これはLEをつかうので、LEで。ACMEを話せるCAならなんでも利用は可能だ。

> endpoint = 'https://acme-v01.api.letsencrypt.org/'
=> "https://acme-v01.api.letsencrypt.org/"

ステップ ACMEクライアントの初期化

さっきのprivate_keyでクライアントを作成する。

> require 'acme-client'
=> true

> client = Acme::Client.new(private_key: private_key, endpoint: endpoint)
=> #<Acme::Client:0x00000003a0b538
 @directory_uri=nil,
 @endpoint="https://acme-v01.api.letsencrypt.org/",
 @nonces=[],
 @operation_endpoints={"new-authz"=>"/acme/new-authz", "new-cert"=>"/acme/new-cert", "new-reg"=>"/acme/new-reg", "revoke-cert"=>"/acme/revoke-cert"},
 @private_key=#<OpenSSL::PKey::RSA:0x000000028f5a28>>

operation_endpointsで、できる操作とメソッドがわかるね。

ステップ CAへの公開鍵登録(初回)

CA側に公開鍵が登録されていない場合は、一旦レジストレーションが必要だ。
この時に使用するcontact: が発行される証明書に記載される...と思って後で見たが見当たらない。

> registration = client.register(contact: 'mailto:test@example.com')

=> #<Acme::Resources::Registration:0x00000003aeb1b0
 @client=
  #<Acme::Client:0x00000003a0b538
   @connection=
    #<Faraday::Connection:0x00000003d8ed40

... # 長いのでレスポンスBodyだけ

           method=:post,
           body=
            {"id"=>67672,
             "key"=>
              {"kty"=>"RSA",
               "n"=>
                "nRbHq2AcRPZ(略)",
               "e"=>"AQAB"},
             "contact"=>["mailto:test@example.com"],
             "initialIp"=>"153.120.168.246",
             "createdAt"=>"2015-12-10T05:31:45.639166719Z"},

まあいいか。

ちなみに同じ秘密鍵で再度レジストはできない

client.register(contact: 'mailto:test@example.com').body
Acme::Error::Malformed: Registration key is already in use

client.register(contact: 'mailto:test2@example.com') # アドレス変えても駄目
Acme::Error::Malformed: Registration key is already in use
```

鍵の単位で管理するのね。

ステップ registration オブジェクトをつかって利用条件に同意

登録した鍵に対して、LEでは利用条件に同意することが必要だ。

> ls registration 
Acme::Resources::Registration#methods: agree_terms  contact  get_terms  id  key  next_uri  recover_uri  term_of_service_uri  uri
instance variables: @client  @contact  @id  @key  @next_uri  @recover_uri  @term_of_service_uri  @uri

利用条件を確認しようとおもえば、#get_termsでは生のPDFファイルが来るのでできないこともない。

> registration.get_terms
=> "%PDF-1.3\n%\xC4\xE5\xF2\xE5\xEB\xA7\xF3\xA0\xD0\xC4\xC6\n4 0 obj\n<< /Length 5 0 R /Filter /FlateDecode >>\nstream\nx\x01\xCD\x9D[s\x1C\xB7\x95\xC7\xDF\xE7S\xF4#Y%\x8F\xA7{\xEE\x8F\x8E\xACr)vv\xB5\
x167\xA9\xAD8\x0F\xBA\xD0\xA2b\x9B\x94)\
...


# PDFのURIだけ確認
> registration.term_of_service_uri
=> "https://letsencrypt.org/documents/LE-SA-v1.0.1-July-27-2015.pdf"

同意する

#agree_terms でしれっと利用条件に同意可能。

> registration.agree_terms
=> true

それだけだ。

ステップドメインのチャレンジを申請する

まず一度このクライアントでLE側にドメインを押さえる？ようリクエストする必要がある。

authorization = client.authorize(domain: 'le2.opsrockin.com')

... ## ここもBodyだけ載せておく。

             body=
              {"identifier"=>{"type"=>"dns", "value"=>"le2.opsrockin.com"},
               "status"=>"pending",
               "expires"=>"2015-12-17T06:08:43.266689936Z",
               "challenges"=>
                [{"type"=>"http-01",
                  "status"=>"pending",
                  "uri"=>"https://acme-v01.api.letsencrypt.org/acme/challenge/f_x71jrKndEe_bo7W7yUCp8bXULfwlkDfd7DExxxxx/14795xx",
                  "token"=>"u73GJj-pi9Z_ac_kN6p4_H7vCsGU186CXwNFTxxxxxw"},
                 {"type"=>"tls-sni-01",
                  "status"=>"pending",
                  "uri"=>"https://acme-v01.api.letsencrypt.org/acme/challenge/f_x71jrKndEe_bo7W7yUCp8bXULfwlkDfd7DExxxxx/14795xx",
                  "token"=>"9W00llweMUDvr7nohcy4qVGekAKes85aKL9TCxxxxxo"}],
               "combinations"=>[[0], [1]]},

"status"=>"pending",となった。他所で同時に押えられるかは未確認。

追記: Subject Alternative Nameを使う場合

CSR作成前にauthorizationからchallenge=>validまでをSANに含めるホスト名すべてで回しておこう。

ステップ http01タイプでチャレンジする

#http01でチャレンジ内容を受け取ろう。

> challenge = authorization.http01

> ls challenge
Acme::Resources::Challenges::Base#methods: client  error  status  token  uri  verify_status
Acme::Resources::Challenges::HTTP01#methods: content_type  file_content  filename  request_verification
instance variables: @client  @status  @token  @uri

チャレンジの内訳を確認する。

> challenge.filename
=> ".well-known/acme-challenge/tQZUjb4U-qAMP8K3df1Hlzau3Up_DxxxxxxxxxxxxxxxN2zwPsI"

> challenge.file_content
=> "tQZUjb4U-qAMP8K3df1Hlzau3Up_DeDwvdl2N2zwPsI.4gOs-zxxxxxxxxxxxxxelUCeJ0QfxDLGeMQ"

> challenge.content_type
=> "text/plain"

チャレンジのレスポンスを設置しよう

レスポンスを返すため、ディレクトリを作成してファイルを設置する。

> www_root = '/var/www/html'
=> "/var/www/html"

> FileUtils.mkdir_p( File.join( www_root , File.dirname( challenge.filename ) ) )
=> ["/var/www/html/.well-known/acme-challenge"]

> File.write( File.join( www_root, challenge.filename), challenge.file_content )
=> 87

curlでちょっと確認する。

あ、Content-Type: application/octet-streamだ。
必須なのか実は確認してないけど、nginxのデフォルトを変えてきます。

$ curl -i http://le2.opsrockin.com/.well-known/acme-challenge/GP_AD5A_RR_cSeWLyiDVbgKTwfxxxxxxxxa4
HTTP/1.1 200 OK
Server: nginx/1.6.2
Date: Thu, 10 Dec 2015 06:26:35 GMT
Content-Type: application/octet-stream
Content-Length: 87
Last-Modified: Thu, 10 Dec 2015 06:24:46 GMT
Connection: keep-alive
ETag: "56691aae-57"
Accept-Ranges: bytes

default_typeでいいよね。

nginx.conf:     default_type application/octet-stream;
=> nginx.conf:     default_type text/plain;

はいOK。

$ curl -i http://le2.opsrockin.com/.well-known/acme-challenge/GP_AD5A_RR_cSeWLyiDVbgKTwfmrxxxxxxxxxxzXUua4
HTTP/1.1 200 OK
Server: nginx/1.6.2
Date: Thu, 10 Dec 2015 06:30:35 GMT
Content-Type: text/plain
Content-Length: 87
Last-Modified: Thu, 10 Dec 2015 06:24:46 GMT
Connection: keep-alive
ETag: "56691aae-57"
Accept-Ranges: bytes

チャレンジ対応OKをLEに通知

#request_verificationするだけだ。数秒とかからずにvalidとなる。

> challenge.verify_status
=> "pending"

> challenge.request_verification
=> true

> challenge.verify_status
=> "valid"

ステップ CSRを作成する

CSR作成用の鍵はAcme::Client::CertificateRequestの作成時、ついでに作ってくれる。

csr = Acme::Client::CertificateRequest.new(names: %w[le2.opsrockin.com])
=> #<Acme::CertificateRequest:0x00000003b3c8f8
 @common_name="le2.opsrockin.com",
 @csr=#<OpenSSL::X509::Request:0x00000003b3c588>,
 @digest=#<OpenSSL::Digest::SHA256: e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855>,
 @names=["le2.opsrockin.com"],
 @private_key=#<OpenSSL::PKey::RSA:0x00000003b3c8a8>,
 @subject={"CN"=>"le2.opsrockin.com"}>

追記 Subject Alternative Name時のCSR

このようにCSRを作成しましょう。

csr = Acme::Client::CertificateRequest.new(common_name: @domain, names: all_domains)

ステップ CSRから証明書発行を申請する

これは特に言うこともなく。

> certificate = client.new_certificate(csr) 
=> #<Acme::Certificate:0x00000003cd2690
 @request=
  #<Acme::CertificateRequest:0x00000003b3c8f8
   @common_name="le2.opsrockin.com",
   @csr=#<OpenSSL::X509::Request:0x00000003b3c588>,
   @digest=#<OpenSSL::Digest::SHA256: e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855>,
   @names=["le2.opsrockin.com"],
   @private_key=#<OpenSSL::PKey::RSA:0x00000003b3c8a8>,
   @subject={"CN"=>"le2.opsrockin.com"}>,
 @x509=
  #<OpenSSL::X509::Certificate subject=#<OpenSSL::X509::Name:0x00000003cc7830>, issuer=#<OpenSSL::X509::Name:0x00000003cc77b8>, serial=#<OpenSSL::BN:0x00000003cc7740>, not_before=2015-12-10 05:35:00 UTC, not_after=2016-03-09 05:35:00 UTC>,
 @x509_chain=
  [#<OpenSSL::X509::Certificate subject=#<OpenSSL::X509::Name:0x00000003c6f950>, issuer=#<OpenSSL::X509::Name:0x00000003c6f8d8>, serial=#<OpenSSL::BN:0x00000003c6f860>, not_before=2015-10-19 22:33:36 UTC, not_after=2020-10-19 22:33:36 UTC>]>

ステップ作られた証明書を確認しよう

certificateにもろもろとしまわれる。

> ls certificate 
Acme::Certificate#methods: chain_to_pem  common_name  fullchain_to_pem  request  to_der  to_pem  x509  x509_chain  x509_fullchain
instance variables: @request  @x509  @x509_chain

適当にメソッド。

> certificate.common_name
=> "le2.opsrockin.com"

> puts certificate.fullchain_to_pem
-----BEGIN CERTIFICATE-----
MIIFBjCCA+6gAwIBAgISAc04ag6Lc50CXERQXuZf8oaLMA0GCSqGSIb3DQEBCwUA
MEoxCzAJBgNVBAYTAlVTMRYwFAYDVQQKEw1MZXQncyBFbmNyeXB0MSMwIQYDVQQD

# -- snip

期限もOKだ。

> certificate.x509.not_after
=> 2016-03-09 05:35:00 UTC

ファイルに書き出す

とりあえず手元に確保しておわりと。

File.write("privkey.pem", certificate.request.private_key.to_pem)
File.write("cert.pem", certificate.to_pem)
File.write("chain.pem", certificate.chain_to_pem)
File.write("fullchain.pem", certificate.fullchain_to_pem)

最後に通してやってみよう

ここまでの手順を1つのRubyスクリプトファイルにしたらこのくらいの分量。

le.rb

require 'openssl'

private_key = OpenSSL::PKey::RSA.new(2048)
endpoint = 'https://acme-v01.api.letsencrypt.org/'

require 'acme-client'

client = Acme::Client.new(private_key: private_key, endpoint: endpoint)
registration = client.register(contact: 'mailto:test@example.com')
registration.agree_terms


authorization = client.authorize(domain: 'le2.opsrockin.com')
challenge = authorization.http01

www_root = '/var/www/html'
FileUtils.mkdir_p( File.join( www_root , File.dirname( challenge.filename ) ) )
File.write( File.join( www_root, challenge.filename), challenge.file_content )


challenge.request_verification

until challenge.verify_status == "valid" do
  print "."
  sleep 1
end
puts ""

csr = Acme::Client::CertificateRequest.new(names: %w[le2.opsrockin.com])
## SAN時
# csr = Acme::Client::CertificateRequest.new(common_name: 'le2.opsrockin.com', names: %w[le2.opsrockin.com www.lele2.opsrockin.com mail.le2.opsrockin.com])

certificate = client.new_certificate(csr) 


puts certificate.common_name
puts certificate.x509.not_after


File.write("privkey.pem", certificate.request.private_key.to_pem)
File.write("cert.pem", certificate.to_pem)
File.write("chain.pem", certificate.chain_to_pem)
File.write("fullchain.pem", certificate.fullchain_to_pem)

実行して、問題なし。

$ ruby ./le.rb 
.
le2.opsrockin.com
2016-03-09 05:50:00 UTC

再作成など

これを10連発くらいしたらToo many certificatesで止められた。
同じドメインでの申請に対して、レジストする鍵が毎回違ってもよいことが確認できたのでよしとする。

Error creating new cert :: Too many certificates already issued for: opsrockin.com (Acme::Error)

対象がopsrockin.comとなっていることから、TLD+1階層で制限がかかるのかな。属性型は持ってないので試せないな。

ちなみにIaaSベンダ(例えばAmazonのEC2)で割り当てられるパブリックホスト名は、ドメインごとブラックリストの模様(そりゃそーか)。

TLSにしたぞ。

追記: DNSでチャレンジ

この記事を書いた時には無かった気がする、StagingでDNSチャレンジができるようになっていた。

Stagingのエンドポイントを使うには、こっち。

endpoint = 'https://acme-staging.api.letsencrypt.org'

> ls authorization
Acme::Resources::Authorization#methods: dns01  domain  http01  status
instance variables: @client  @dns01  @domain  @http01  @status

おお。

> challenge = authorization.dns01

> ls challenge
Acme::Resources::Challenges::Base#methods: client  error  status  token  uri  verify_status
Acme::Resources::Challenges::DNS01#methods: record_content  record_name  record_type  request_verification
instance variables: @client  @status  @token  @uri

TXTレコードに設定すべき内容が取得できた。

> challenge.record_name
=> "_acme-challenge"

> challenge.record_content
=> "b882d484905b48bff678b520b9263d9345e7e11e67f67d95d7bbd36e65c3ea43"

レコードを設置したら、あとはHTTPと同様に、#request_verificationしてstatusの更新をまてばよいはず。

追記: Revokeは？

~~いま実装中。~~Revokeには申請時の秘密鍵と、証明書用の秘密鍵の両方が使える。

申請時の秘密鍵を使う場合、クライアントのインスタンスから。

certificate = OpenSSL::X509::Certificate.new File.read('mycert.pem')
@client.revoke_certificate(certificate)

証明書用の秘密鍵の場合、クラスメソッドで。

certificate = OpenSSL::X509::Certificate.new File.read('mycert.pem')
Acme::Client.revoke_certificate(certificate, private_key: private_key, endpoint: endpoint)

RubyでLet's Encryptのスクリプト

環境

ステップ 秘密鍵