Upgrade to Pro — share decks privately, control downloads, hide ads and more …

社内の全環境をhttpsにした話

Avatar for Morix Morix
October 28, 2017
Technology
0
1.8k

 社内の全環境をhttpsにした話

Created by Shota Omori(@morix1500)
2017-10-28 Rakuten Technology Conference LT

Avatar for Morix

Morix

October 28, 2017
Tweet

More Decks by Morix

See All by Morix
入社後SREチームのミッションや課題の整理をした話
Avatar for Morix morix1500
1
460
[EC2からKubernetes] 楽天ラクマのコンテナ化の歩み
Avatar for Morix morix1500
16
6.3k
AWS EKSでClusterAutoscalerを使うときはNodeGroupの分け方に気をつけろ!
Avatar for Morix morix1500
0
940
FirebaseとNetlifyを使ってサーバーレスでサービスを作った話
Avatar for Morix morix1500
2
2.9k
オーバーロードで学んだチームマネジメント / Team management learned through overlord
Avatar for Morix morix1500
1
2.1k
転職をする前にやっておきたいこと / What you want to do before you change your career
Avatar for Morix morix1500
0
4k
自分を強くするためにやってきたこと
Avatar for Morix morix1500
7
2.6k
個人事業主になりたい!どうやって?調べてみよう!
Avatar for Morix morix1500
1
420
負荷試験入門
Avatar for Morix morix1500
0
1.4k

Other Decks in Technology

See All in Technology
社内外から"使ってもらえる"データ基盤を支えるアーキテクチャの秘訣/登壇資料(飯塚 大地・高橋 一貴)
Avatar for Hacobu hacobu
PRO
0
4.8k
【M3】攻めのセキュリティの実践!プロアクティブなセキュリティ対策の実践事例
Avatar for mizu axelmizu
0
180
Greenは本当にGreenか? - B/GデプロイとAPI自動テストで安心デプロイ
Avatar for Kaz Watanabe kaz29
0
120
[CV勉強会@関東 ICCV2025 読み会] World4Drive: End-to-End Autonomous Driving via Intention-aware Physical Latent World Model (Zheng+, ICCV 2025)
Avatar for abemii_ abemii
0
240
JavaScript パーサーに using 対応をする過程で与えたエコシステムへの影響
Avatar for Yuichiro Yamashita baseballyama
1
120
新しい風。SolidFlutterで実現するシンプルな状態管理
Avatar for ZOZO Developers zozotech
PRO
0
130
メッセージ駆動が可能にする結合の最適化
Avatar for かとじゅん j5ik2o
8
1.1k
LINEスキマニ/LINEバイトにおけるバックエンド開発
Avatar for LINEヤフーTech (LY Corporation Tech) lycorptech_jp
PRO
0
350
Post-AIコーディング時代のエンジニア生存戦略
Avatar for shinoyu shinoyu
0
300
今すぐGoogle Antigravityを触りましょう
Avatar for ryu rfdnxbro
0
100
学術的根拠から読み解くNotebookLMの音声活用法
Avatar for Shu Kobuchi shukob
0
180
マルチドライブアーキテクチャ: 複数の駆動力でプロダクトを前進させる
Avatar for Kenichi SUZUKI knih
0
7.7k

Featured

See All Featured
Documentation Writing (for coders)
Avatar for Carmen Chung carmenintech
76
5.1k
Java REST API Framework Comparison - PWX 2021
Avatar for Matt Raible mraible
34
9k
Embracing the Ebb and Flow
Avatar for Simon Collison colly
88
4.9k
Building Flexible Design Systems
Avatar for Yesenia Perez-Cruz yeseniaperezcruz
329
39k
The Art of Programming - Codeland 2020
Avatar for Erika Heidi erikaheidi
56
14k
The Psychology of Web Performance [Beyond Tellerrand 2023]
Avatar for Tammy Everts tammyeverts
49
3.2k
Faster Mobile Websites
Avatar for Dean Hume deanohume
310
31k
The MySQL Ecosystem @ GitHub 2015
Avatar for Sam Lambert samlambert
251
13k
jQuery: Nuts, Bolts and Bling
Avatar for Doug Neiner dougneiner
65
8k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
Avatar for Rebecca Miller-Webster rmw
35
3.2k
Building a Modern Day 
E-commerce SEO Strategy
Avatar for Aleyda Solis aleyda
45
8.1k
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
Avatar for Sam Stephenson sstephenson
162
15k

Transcript

  1. 社内の全環境をhttpsにした話 2017.10.28 Rakuten Technology Conference @morix1500

  2. じこしょうかい ・大森翔太(@morix1500) ・株式会社モブキャスト ・インフラエンジニア ・技術ブログやってます!  https://blog.haramishio.xyz/

  3. あじぇんだ ・Let's Encryptについて ・社内の全環境をhttpsにしたはなし

  4. みなさん、 https対応してますか?

  5. 高まるhttps対応の波 引用元: https://transparencyreport.google.com/https/overview?hl=ja

  6. httpsじゃないとサービス提供できない時代に ・AppleのATS(App Transport Security)  ⇒ そもそも通信ができなくなる ・Chrome62からhttpページで警告が出るように  ⇒ サイトの信頼性が下がる

  7. でも… ・証明書って金かかるじゃん? ・なんか発行とかだるそう ・うーんどうしよう

  8. None

  9. Let's Encryptとは ・無料で発行できるSSL証明書 ・httpsの普及を目的として作られた ・名だたるスポンサーたち  ⇒ Mozilla/Akamai/Cisco/Chrome etc...

  10. Let's Encryptの特徴 ・無料 ・発行/更新が自動で行える ・証明書の有効期限は3ヶ月

  11. 証明書の発行の仕方(例) # 発行 $ certbot certonly --webroot -w /var/www/html -d

    example.jp # 更新 $ certbot renew

  12. 全開発環境の https対応と運用の 自動化を行った!

  13. 要件 ・開発環境なのでWebサーバーは外部からアクセス不可 ・1プロジェクトにつき20個くらいドメインある ・そのプロジェクトは何個もある ・プロジェクトごとにネットワーク(アカウント)が分かれている

  14. 採用した方法(アーキテクチャ) Jenkins S3 Route53 EC2 1.証明書リクエスト 2.ワンタイムトークン登録 3.ワンタイムトークン確認 4.証明書発行 5.証明書配置

    6.証明書ダウンロード

  15. 実装 ・LEクライアント  lego(https://github.com/xenolf/lego) ・LE認証方式  DNS-01: 対象ドメインのサブドメインに指定の文字列をTXTレコードに登録しそれ で認証を行うこと

  16. LEの制限 ・同一ドメインの証明書発行は1週間に20個まで!  ・下記はすべて同一ドメイン   example.com   sand.example.com   api1.sand.example.com   api2.sand.example.com

  17. サブドメインがたくさんある場合は ・SANs(Subject Alternative Names)を使用する  1つの証明書で複数のドメインが対応できる  example.com.crt   -> example.com   -> sand.example.com

      -> api1.sand.example.com   -> api2.sand.example.com 1つの証明書が いろんなドメインで使 いまわせる!

  18. この仕組みの限界ドメイン数 ・SANsの上限は100ドメインまで ・週に20個まで証明書発行が可能 ・証明書の期限が3ヶ月 ・100 * 20 * 12(week) =

    24,000ドメインまで行ける!

  19. この仕組みのいいところ ・DNS認証なのでサーバーのIP制限を気にしなくていい ・発行と更新が同じ仕組みなので、  クライアントは証明書をダウンロードするだけでいい ・Jenkinsに発行/更新を集約しているので  更新スケジュールをコントロールしやすい

  20. まとめ ・証明書はLet’s Encryptでさくっと作れる ・証明書の発行/更新は自動化できる ・大量のサブドメインがある場合はSANsで対応

  21. ワイルドカード来るってよ

  22. Let’s Start https!!