如何在容器集群环境中使用Let's Encrypt HTTPS证书

本文涉及的产品
容器镜像服务 ACR,镜像仓库100个 不限时长
简介: 本文介绍了Let's Encrypt单域名和通配型HTTPS证书的申请与更新,以及如何在容器集群环境中自动化地实现证书更新

背景

Let's Encrypt是由互联网安全研究小组(ISRG)在2015年推出一个HTTPS证书的免费解决方案,旨在提供一个免费开放的CA。配合电子前哨基金会(EFF)提供的自动化脚本certbot,只需一条命令就能够申请/更新HTTPS证书。

Let's Encrypt签发的证书有效期三个月,需要频繁地更新。虽然certbot提供了一键更新证书的功能,但其工作方式决定了它很难应用在容器集群中。

  1. HTTP验证方式在更新证书时会在本地生成一个验证文件,Let's Encrypt服务器通过HTTP路径访问该验证文件。容器集群中服务都是多点部署,而certbot只能在其中一个节点运行,无法保证验证请求总是被导入certbot运行的节点
  2. 使用DNS验证没有上述问题,其缺点在于难以自动化,在更新过程中需要人为创建对应的DNS记录

以下是我们针对这两点问题探索的一些解决方案。

单域名证书

certbot支持HTTP和DNS两种方式来验证域名所有者。

  • HTTP

Let's Encrypt服务端以HTTP方式访问域名下指定的验证文件

  • DNS

Let's Encrypt服务端查看域名下是否有创建指定的TXT记录

certbot对HTTP验证的支持度更好,几乎是开箱机用。但使用HTTP就会遇到上面提到的问题1,如何将流量导入我们指定的节点呢? 我们最终使用SLB的转发策略加虚拟服务器组来解决这个问题。

第一步,在SLB的80端口监听中,添加一条特殊的转发策略,匹配该规则的URL转发至一个特殊的虚拟服务器组,这个组只有一个节点,指向运行certbot的容器。

forward_rule

  • 假设域名为abc.example.com
  • URL设置为/.well-known/acme-challenge/,Let's Encrypt的验证请求总是以这个地址开头
  • 虚拟服务器组cert-refresh-group指向节点ecs-refresh的30080端口

第二步,在ecs-refresh运行容器:

  docker run -it --rm -p 30080:80 -v ~/letsencrypt:/etc/letsencrypt certbot-image bash -c "\
         service nginx start && \
         sleep 30 && \
         source /root/certbot/venv/bin/activate && \
         certbot renew -a webroot --webroot-path=/var/www/html -d abc.example.com"
  • ~/letsencrypt是节点上存放证书的目录
  • imagecertbot-image是一个安装了certbot和nginx的docker image,Dockerfile如下:
  From ubuntu:16.04
  ## install certbot
  RUN apt-get install -y git && \
      cd /root && \
      git clone https://github.com/certbot/certbot.git && \
      cd /root/certbot && \
      ./certbot-auto --os-packages-only --non-interactive && \
      ./tools/venv.sh

  ## install nginx
  RUN apt-get update && \
      add-apt-repository -y ppa:nginx/stable && \
      apt-get update && \
      apt-get install -y nginx && \
      chown -R www-data:www-data /var/lib/nginx && \
      mkdir -p /var/www/html
  ADD nginx.conf /etc/nginx/nginx.conf
  • nginx需要监听80端口,并且设置root为/var/www/html。nginx.conf如下:
    server {
        listen 80;
        root /var/www/html;
        location ~ /.well-known/acme-challenge {
            allow all;
        }
    }
  • 启动nginx后等待30秒是为了等待SLB的健康检查生效,从而能够导入流量
  • 由于Dockerfile中使用virtualenv安装certbot,所以运行certbot前需要先设初始化环境:source /root/certbot/venv/bin/activate

这条命令开始更新证书:

  certbot renew -a webroot --webroot-path=/var/www/html -d abc.example.com
  1. certbot将验证文件<authorization_file>放入目录/var/www/html
  2. Let's Encrypt访问http://abc.example.com/.well-known/acme-challenge/<authorization_file>
  3. 如果<authorization_file>内容通过验证,则签发新的证书

第三步,删除第一步配置的转发策略和虚拟服务器组

我们将这三步动作集成起来,放到chronos中每月运行一次。certbot会判断证书的到期时间,如果当证书有效期小于30天时才会执行更新操作。

通配型域名证书

Let's Encrypt对通配型的支持已于半月前(2018年3月13日)上线,申请通配型证书有以下几点需要注意:

  1. 由于通配型证书刚上线不久,certbot的stable版本还不支持,需要安装0.22或以上版本的certbot
  2. 默认情况下,certbot会请求Let's Encrypt的ACME v1接口,而v1接口不支持通配证书,需要使用参数--server https://acme-v02.api.letsencrypt.org/directory指定使用v2接口
  3. 申请通配型证书只能使用DNS验证方式,之前基于HTTP的验证方案不再有效
  certbot certonly --manual -d '*.example.com' --server https://acme-v02.api.letsencrypt.org/directory

运行这条命令即可申请通配证书,中途会提示添加DNS TXT记录,添加之后回车继续。

  Please deploy a DNS TXT record under the name
  _acme-challenge.example.com with the following value:

  v3YCTNw96mfgqMuQA80-McBf1MLvg3G4vXUDnLmlbz

  Before continuing, verify the record is deployed.

整个流程还是非常简单的,相比HTTP验证方式不用配置SLB来转发验证请求,其缺点在于不容易自动化。certbot中虽然集成了一些DNS验证的插件,但只支持国外几个DNS服务商:

  • certbot-dns-cloudflare
  • certbot-dns-cloudxns
  • certbot-dns-digitalocean
  • certbot-dns-dnsimple
  • certbot-dns-dnsmadeeasy
  • certbot-dns-google
  • certbot-dns-luadns
  • certbot-dns-nsone
  • certbot-dns-rfc2136
  • certbot-dns-route53

如果使用的DNS服务商恰好名列其中,那就省事不少,也算是开箱即用。小博无线使用DNSPod管理DNS,要将这套流程自动化起来还需要额外的工作。我们参照已有的插件,写了一个DNSPod的验证插件certbot-dns-dnspod

    class Authenticator(dns_common.DNSAuthenticator):
        def __init__(self, *args, **kwargs):
            super(Authenticator, self).__init__(*args, **kwargs)
            self.credentials = None

        def _perform(self, domain, validation_name, validation):
            self._get_dnspod_client().add_txt_record(domain, validation_name, validation, self.ttl)

        def _cleanup(self, domain, validation_name, validation):
            self._get_dnspod_client().del_txt_record(domain, validation_name, validation, self.ttl)

        def _get_dnspod_client(self):
            return _DnspodClient(self.conf('credentials'))

插件开发不算麻烦,只需要实现对应的_perform()_cleanup()方法。只是目前certbot对DNS插件的引用都是hard code在代码中,需要修改certbot的代码才能使新插件正常工作。有四个文件包含了对插件的引用代码:

  • certbot/cli.py
  • certbot/constants.py
  • certbot/plugins/disco.py
  • certbot/plugins/selection.py

安装插件

certbot目前的stable版本还不支持通配证书,所以我们使用v0.22.0分支安装certbot,插件certbot-dns-dnspod也在virtualenv环境中安装。

  ## install certbot
  RUN apt-get install -y git && \
      cd /root && \
      git clone https://github.com/certbot/certbot.git && \
      cd /root/certbot && \
      git checkout v0.22.0
  ADD modified_code/certbot/cli.py certbot/cli.py
  ADD modified_code/certbot/constants.py certbot/constants.py
  ADD modified_code/certbot/plugins/disco.py certbot/plugins/disco.py
  ADD modified_code/certbot/plugins/selection.py certbot/plugins/selection.py
  RUN ./certbot-auto --os-packages-only --non-interactive && \
      ./tools/venv.sh

  ## install certbot-dns-dnspod
  RUN bash -c 'source /root/certbot/venv/bin/activate && \
      cd /root/certbot-dns-dnspod && \
      python setup.py install'

申请证书

在申请证书时,我们将域名指定为*.example.com,证书支持所有子域名,但不包含根域名(example.com)。如果希望也支持根域名,将根域名也一同放入参数-d

  docker run -it --rm -v ~/letsencrypt:/etc/letsencrypt certbot-image bash -c "\
      certbot certonly \
              --dns-dnspod \
              --dns-dnspod-credentials ~/access_token.json \
              --dns-dnspod-propagation-seconds 30 \
              -d 'example.com,*.example.com'"

更新证书

  docker run -it --rm -v ~/letsencrypt:/etc/letsencrypt certbot-image bash -c "\
      certbot renew \
              --dns-dnspod \
              --dns-dnspod-credentials ~/access_token.json \
              --dns-dnspod-propagation-seconds 30 \
              -d 'example.com,*.example.com'"

Rate Limits

Let's Encrypt严格限制了签发证书的次数,一个注册域名(*.example.com)每周最多签发20个证书,一个子域名(abc.example.com)每周最多签发5个证书。

我们实践发现,即使是验证错误也会计算一次。所以在正式运行以前,一定加上--staging参数使用Let's Encrypt的测试接口。测试接口只用于测试证书的签发流程,其签发的证书为无效证书。

如果是申请通配证书,使用了--server参数,便不能再使用--staging参数,将--server地址指定为https://acme-staging-v02.api.letsencrypt.org/directory即可。

目录
相关文章
|
6天前
|
网络安全
https的证书错误,错误码-1012问题及解决方案
https的证书错误,错误码-1012问题及解决方案
15 0
|
12天前
|
运维 安全 Linux
深入理解Docker自定义网络:构建高效的容器网络环境
深入理解Docker自定义网络:构建高效的容器网络环境
|
12天前
|
算法 计算机视觉 Docker
Docker容器中的OpenCV:轻松构建可移植的计算机视觉环境
Docker容器中的OpenCV:轻松构建可移植的计算机视觉环境
Docker容器中的OpenCV:轻松构建可移植的计算机视觉环境
|
12天前
|
Kubernetes 应用服务中间件 nginx
Kubernetes v1.12/v1.13 二进制部署集群(HTTPS+RBAC)
Kubernetes v1.12/v1.13 二进制部署集群(HTTPS+RBAC)
|
12天前
|
存储 运维 Kubernetes
构建高效稳定的容器化运维环境:Docker与Kubernetes的协同
【4月更文挑战第14天】 在当今快速发展的云计算时代,容器技术以其轻量级、快速部署和易于管理的优势,成为现代应用交付的标准。本文将深入探讨如何通过Docker和Kubernetes的整合使用来构建一个高效且稳定的容器化运维环境。我们将分析Docker容器的基本概念,探索Kubernetes在容器编排方面的强大能力,以及两者结合所带来的益处。文章还将讨论在实际部署中可能遇到的挑战,并提出相应的解决方案。
|
12天前
|
域名解析 网络协议 应用服务中间件
阿里云SSL证书配置(HTTPS证书配置)
该内容是一个关于如何在阿里云上准备和购买SSL证书,以及如何为网站启用HTTPS的步骤指南。首先,需要注册并实名认证阿里云账号,然后在SSL证书控制台选择证书类型、品牌和时长进行购买。申请证书时填写域名信息,并进行DNS验证,这包括在阿里云域名管理板块添加解析记录。完成验证后提交审核,等待证书审核通过并下载Nginx格式的证书文件。最后,将证书配置到网站服务器以启用HTTPS。整个过程涉及账户注册、实名认证、证书购买、DNS设置和证书下载及安装。
207 0
|
12天前
|
网络安全 数据安全/隐私保护 Docker
免费的HTTPS证书
免费的HTTPS证书
110 1
|
12天前
|
运维 Kubernetes 监控
构建高效稳定的容器化运维环境
在现代IT基础设施中,容器技术以其轻量级、快速部署和易于管理的特性成为企业数字化转型的重要支撑。本文将深入探讨如何构建一个高效且稳定的容器化运维环境,涵盖从容器选择、集群管理到持续集成与持续部署(CI/CD)的最佳实践。文章旨在为运维工程师提供一套系统的解决方案,以应对日益复杂的业务需求和技术挑战。
|
12天前
|
安全 搜索推荐 网络安全
【HTTPS】https证书详细解释
文章简单的讲解了一下https是什么,以及是干什么用的
153 0
【HTTPS】https证书详细解释