$30 off During Our Annual Pro Sale. View Details »

社内の全環境をhttpsにした話

Avatar for Morix Morix
October 28, 2017
Technology
0
1.8k

 社内の全環境をhttpsにした話

Created by Shota Omori(@morix1500)
2017-10-28 Rakuten Technology Conference LT

Avatar for Morix

Morix

October 28, 2017
Tweet

More Decks by Morix

See All by Morix
入社後SREチームのミッションや課題の整理をした話
Avatar for Morix morix1500
1
470
[EC2からKubernetes] 楽天ラクマのコンテナ化の歩み
Avatar for Morix morix1500
16
6.4k
AWS EKSでClusterAutoscalerを使うときはNodeGroupの分け方に気をつけろ!
Avatar for Morix morix1500
0
940
FirebaseとNetlifyを使ってサーバーレスでサービスを作った話
Avatar for Morix morix1500
2
2.9k
オーバーロードで学んだチームマネジメント / Team management learned through overlord
Avatar for Morix morix1500
1
2.1k
転職をする前にやっておきたいこと / What you want to do before you change your career
Avatar for Morix morix1500
0
4k
自分を強くするためにやってきたこと
Avatar for Morix morix1500
7
2.6k
個人事業主になりたい!どうやって?調べてみよう!
Avatar for Morix morix1500
1
420
負荷試験入門
Avatar for Morix morix1500
0
1.5k

Other Decks in Technology

See All in Technology
AI活用によるPRレビュー改善の歩み ― 社内全体に広がる学びと実践
Avatar for LINEヤフーTech (LY Corporation Tech) lycorptech_jp
PRO
1
200
re:Invent 2025 ふりかえり 生成AI版
Avatar for TakaakiKakei takaakikakei
1
190
MapKitとオープンデータで実現する地図情報の拡張と可視化
Avatar for ZOZO Developers zozotech
PRO
1
130
30分であなたをOmniのファンにしてみせます~分析画面のクリック操作をそのままコード化できるAI-ReadyなBIツール~
Avatar for Sagara sagara
0
120
エンジニアリングをやめたくないので問い続ける
Avatar for estie | エスティ estie
2
1.1k
日本Rubyの会の構造と実行とあと何か / hokurikurk01
Avatar for Masayoshi Takahashi takahashim
4
1k
OCI Oracle Database Services新機能アップデート(2025/09-2025/11)
Avatar for oracle4engineer oracle4engineer
PRO
1
110
学習データって増やせばいいんですか?
Avatar for fumihiko takahashi ftakahashi
2
300
Lambdaの常識はどう変わる?!re:Invent 2025 before after
Avatar for TomoyaIwata iwatatomoya
1
450
WordPress は終わったのか ~今のWordPress の制作手法ってなにがあんねん?~ / Is WordPress Over? How We Build with WordPress Today
Avatar for tbshiki tbshiki
1
670
多様なデジタルアイデンティティを攻撃からどうやって守るのか / 20251212
Avatar for Ayokura ayokura
0
420
打 造 A I 驅 動 的 G i t H u b ⾃ 動 化 ⼯ 作 流 程
Avatar for Bo-Yi Wu appleboy
0
280

Featured

See All Featured
Learning to Love Humans: Emotional Interface Design
Avatar for Aarron Walter aarron
274
41k
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
Avatar for Eileen M. Uchitelle eileencodes
37
2.6k
Fashionably flexible responsive web design (full day workshop)
Avatar for Andy Clarke malarkey
407
66k
How Fast Is Fast Enough? [PerfNow 2025]
Avatar for Tammy Everts tammyeverts
3
390
Helping Users Find Their Own Way: Creating Modern Search Experiences
Avatar for Dan Newman danielanewman
31
3k
Java REST API Framework Comparison - PWX 2021
Avatar for Matt Raible mraible
34
9k
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
Avatar for mongodb mongodb
48
9.8k
Performance Is Good for Brains [We Love Speed 2024]
Avatar for Tammy Everts tammyeverts
12
1.3k
The Invisible Side of Design
Avatar for Vitaly Friedman smashingmag
302
51k
Docker and Python
Avatar for Tania Allard trallard
47
3.7k
How to train your dragon (web standard)
Avatar for Monica Dinculescu notwaldorf
97
6.4k
Imperfection Machines: The Place of Print at Facebook
Avatar for Scott Boms scottboms
269
13k

Transcript

  1. 社内の全環境をhttpsにした話 2017.10.28 Rakuten Technology Conference @morix1500

  2. じこしょうかい ・大森翔太(@morix1500) ・株式会社モブキャスト ・インフラエンジニア ・技術ブログやってます!  https://blog.haramishio.xyz/

  3. あじぇんだ ・Let's Encryptについて ・社内の全環境をhttpsにしたはなし

  4. みなさん、 https対応してますか?

  5. 高まるhttps対応の波 引用元: https://transparencyreport.google.com/https/overview?hl=ja

  6. httpsじゃないとサービス提供できない時代に ・AppleのATS(App Transport Security)  ⇒ そもそも通信ができなくなる ・Chrome62からhttpページで警告が出るように  ⇒ サイトの信頼性が下がる

  7. でも… ・証明書って金かかるじゃん? ・なんか発行とかだるそう ・うーんどうしよう

  8. None

  9. Let's Encryptとは ・無料で発行できるSSL証明書 ・httpsの普及を目的として作られた ・名だたるスポンサーたち  ⇒ Mozilla/Akamai/Cisco/Chrome etc...

  10. Let's Encryptの特徴 ・無料 ・発行/更新が自動で行える ・証明書の有効期限は3ヶ月

  11. 証明書の発行の仕方(例) # 発行 $ certbot certonly --webroot -w /var/www/html -d

    example.jp # 更新 $ certbot renew

  12. 全開発環境の https対応と運用の 自動化を行った!

  13. 要件 ・開発環境なのでWebサーバーは外部からアクセス不可 ・1プロジェクトにつき20個くらいドメインある ・そのプロジェクトは何個もある ・プロジェクトごとにネットワーク(アカウント)が分かれている

  14. 採用した方法(アーキテクチャ) Jenkins S3 Route53 EC2 1.証明書リクエスト 2.ワンタイムトークン登録 3.ワンタイムトークン確認 4.証明書発行 5.証明書配置

    6.証明書ダウンロード

  15. 実装 ・LEクライアント  lego(https://github.com/xenolf/lego) ・LE認証方式  DNS-01: 対象ドメインのサブドメインに指定の文字列をTXTレコードに登録しそれ で認証を行うこと

  16. LEの制限 ・同一ドメインの証明書発行は1週間に20個まで!  ・下記はすべて同一ドメイン   example.com   sand.example.com   api1.sand.example.com   api2.sand.example.com

  17. サブドメインがたくさんある場合は ・SANs(Subject Alternative Names)を使用する  1つの証明書で複数のドメインが対応できる  example.com.crt   -> example.com   -> sand.example.com

      -> api1.sand.example.com   -> api2.sand.example.com 1つの証明書が いろんなドメインで使 いまわせる!

  18. この仕組みの限界ドメイン数 ・SANsの上限は100ドメインまで ・週に20個まで証明書発行が可能 ・証明書の期限が3ヶ月 ・100 * 20 * 12(week) =

    24,000ドメインまで行ける!

  19. この仕組みのいいところ ・DNS認証なのでサーバーのIP制限を気にしなくていい ・発行と更新が同じ仕組みなので、  クライアントは証明書をダウンロードするだけでいい ・Jenkinsに発行/更新を集約しているので  更新スケジュールをコントロールしやすい

  20. まとめ ・証明書はLet’s Encryptでさくっと作れる ・証明書の発行/更新は自動化できる ・大量のサブドメインがある場合はSANsで対応

  21. ワイルドカード来るってよ

  22. Let’s Start https!!