Edited at

usacloudとlego(Let's encrypt)でウェブアクセラレータの証明書更新を自動化


Usacloudでウェブアクセラレータがサポートされたよ

さくらのクラウド CLI Usacloudのv0.9からウェブアクセラレータの操作がサポートされるようになりました。

今回はこの機能を利用してLet's encryptで証明書を更新&ウェブアクセラレータに登録した証明書の更新を自動化してみます。


前提条件

今回、Let's encryptでの証明書の更新はDNSを用いる方法(DNS-01)を利用します。

もしHTTPを利用する場合は以下の記事が参考になると思います。

参考: さくらのクラウド ウェブアクセラレータでLet's Encryptを使う

DNSサーバはさくらのクラウドDNSを利用します。

(他のDNSサーバを利用する場合は適宜読み替えてください)


準備

自動化のために以下のプロダクトを利用します。



  • usacloud : さくらのクラウド CLI


  • lego : go言語製のLet's encryptクライアント

Usacloudについては以下のドキュメントなどを参考にインストール&APIキーの設定を行ってください。

Usacloud 導入ガイド

**>>> 2018/10/18 更新

さくらのクラウド対応が含まれる lego v1.1.0がリリースされました。

https://github.com/xenolf/lego/releases/tag/v1.1.0

legoはこちらからv1.1.0の実行ファイルをダウンロードしてご利用ください。

legoについては現在lego本体にさくらのクラウドDNS対応をPR投げてます。

(この辺の詳細はこちらの記事に書きました)

今回はさくらのクラウド対応用にforkしたバージョンを利用します。

以下からlegoのバイナリをダウンロードしておいてください。

lego:さくらのクラウド対応バージョン

**<<< 2018/10/18 追記


証明書更新の自動化までの手順


  1. さくらのクラウドDNSにゾーン登録

  2. legoで証明書発行

  3. コントロールパネルから初回の証明書登録

  4. lego+usacloudで証明書の更新自動化

順番に説明します。


1. さくらのクラウドDNSにゾーン登録

Let's encryptでDNS-01認証を行うためにさくらのクラウドDNSを利用します。

まださくらのクラウドDNSにゾーン登録していない場合は以下のコマンドで登録できます。

(example.comの部分を適宜置き換えてください)

usacloud dns create --name example.com

ゾーン登録後はレジストラのネームサーバの設定が必要です。

以下のコマンドでDNSサーバの情報を確認できますので、ネームサーバの設定を行っておいてください。

$ usacloud dns ls #以下の"NameServers"にDNSサーバの情報が表示される

+--------------+--------------+-------------------------------------------------+
| ID | Name | NameServers |
+--------------+--------------+-------------------------------------------------+
| 123456789012 | example.com | ns1.gslb4.sakura.ne.jp / ns2.gslb4.sakura.ne.jp |
+--------------+--------------+-------------------------------------------------+


2. legoで証明書発行

続いてlegoを利用して証明書の発行を行います。

以下のコマンドでLet's encryptでDNS-01認証を用いて証明書発行が行われます。

DOMAIN="www.example.com"       # ドメイン名

EMAIL="example@example.com" # メールアドレス
CERTS_PATH="/home/ubuntu/lego" # legoのデータ(証明書や秘密鍵)格納先

# さくらのクラウドAPIキーを環境変数に設定しておく
export SAKURACLOUD_ACCESS_TOKEN=<your-token>
export SAKURACLOUD_ACCESS_TOKEN_SECRET=<your-secret>

# legoで証明書発行
lego --email="${EMAIL}" --domains="${DOMAIN}" --dns="sakuracloud" --path ${CERTS_PATH} run

発行に成功すると${CERTS_PATH}/certificatesディレクトリ内に証明書や秘密鍵が作成されています。


3. コントロールパネルから初回の証明書登録

次に、発行した証明書をウェブアクセラレータに登録します。

初回の証明書登録は現在API経由では行えませんのでコントロールパネルから設定しておきます。

以下のドキュメントを参考に設定してください。

【ウェブアクセラレータ】独自ドメインSSLの利用


4. lego+usacloudで証明書の更新自動化

続いて証明書更新処理を自動化します。

以下のスクリプトでlegoで証明書更新し、更新が成功したらusacloudでウェブアクセラレータの証明書更新処理を行います。

#!/bin/bash

DOMAIN="www.example.com" # ドメイン名
EMAIL="example@example.com" # メールアドレス
CERTS_PATH="/home/ubuntu/lego" # legoのデータ(証明書や秘密鍵)格納先
SITE_NAME="www.example.com" # ウェブアクセラレータに登録したサイト名

# さくらのクラウドAPIキーを環境変数に設定しておく
export SAKURACLOUD_ACCESS_TOKEN=<your-token>
export SAKURACLOUD_ACCESS_TOKEN_SECRET=<your-secret>

# legoで証明書更新
lego --email="${EMAIL}" --domains="${DOMAIN}" --dns="sakuracloud" --path ${CERTS_PATH} renew

# usacloudでウェブアクセラレータの証明書更新
usacloud web-accel cert-update -y --cert ${CERTS_PATH}/certificates/${DOMAIN}.crt --key ${CERTS_PATH}/certificates/${DOMAIN}.key ${SITE_NAME}

後はこのスクリプトをcronなどで定期的に実行するようにすれば良いでしょう。


おまけ: 証明書の有効期限監視

さくらのクラウドではシンプル監視というサービスで証明書の有効期限の監視が可能です。

更新処理が失敗していた場合に備えて設定しておくことをお勧めします。

Usacloudの場合は以下のコマンドでシンプル監視の設定が行えます。

usacloud simple-monitor create --protocol ssl-certificate --target www.example.com --remaining-days 30

--remaining-daysパラメータで証明書の有効残日数を指定できます(この値を下回ると通知される)。

デフォルトではさくらのクラウドのアカウントに紐づいたメールアドレス宛に通知されますが、設定を変更すればSlackにも通知可能ですのでお好きな方をご利用ください。

以上です。Enjoy!!