Upgrade to Pro — share decks privately, control downloads, hide ads and more …

社内の全環境をhttpsにした話

Avatar for Morix Morix
October 28, 2017
Technology
0
1.9k

 社内の全環境をhttpsにした話

Created by Shota Omori(@morix1500)
2017-10-28 Rakuten Technology Conference LT

Avatar for Morix

Morix

October 28, 2017
Tweet

More Decks by Morix

See All by Morix
入社後SREチームのミッションや課題の整理をした話
Avatar for Morix morix1500
1
540
[EC2からKubernetes] 楽天ラクマのコンテナ化の歩み
Avatar for Morix morix1500
24
8.8k
AWS EKSでClusterAutoscalerを使うときはNodeGroupの分け方に気をつけろ!
Avatar for Morix morix1500
0
1k
FirebaseとNetlifyを使ってサーバーレスでサービスを作った話
Avatar for Morix morix1500
2
3k
オーバーロードで学んだチームマネジメント / Team management learned through overlord
Avatar for Morix morix1500
1
2.2k
転職をする前にやっておきたいこと / What you want to do before you change your career
Avatar for Morix morix1500
0
4k
自分を強くするためにやってきたこと
Avatar for Morix morix1500
7
2.7k
個人事業主になりたい!どうやって?調べてみよう!
Avatar for Morix morix1500
1
440
負荷試験入門
Avatar for Morix morix1500
0
1.6k

Other Decks in Technology

See All in Technology
MIX AUDIO EN BROADCAST
Avatar for Erick Ralph Kionga ralpherick
0
120
「AIエージェントで変わる開発プロセス―レビューボトルネックからの脱却」
Avatar for LINEヤフーTech (LY Corporation Tech) lycorptech_jp
PRO
0
170
DMBOKを使ってレバレジーズのデータマネジメントを評価した
Avatar for Tech Leverages leveragestech
0
450
AWS Systems Managerのハイブリッドアクティベーションを使用したガバメントクラウド環境の統合管理
Avatar for Toru_Kubota toru_kubota
1
180
GitHub Advanced Security × Defender for Cloudで開発とSecOpsのサイロを超える: コードとクラウドをつなぐ、開発プラットフォームのセキュリティ
Avatar for yuriemori yuriemori
1
110
開発チームとQAエンジニアの新しい協業モデル -年末調整開発チームで実践する【QAリード施策】-
Avatar for kaomi kaomi_wombat
0
260
Oracle AI Database@Google Cloud:サービス概要のご紹介
Avatar for oracle4engineer oracle4engineer
PRO
5
1.2k
ThetaOS - A Mythical Machine comes Alive
Avatar for Martijn aslander
0
210
The Rise of Browser Automation: AI-Powered Web Interaction in 2026
Avatar for Marc Thompson marcthompson_seo
0
310
20260326_AIDD事例紹介_ULSC.pdf
Avatar for ファインディ株式会社(イベント資料アップ用) findy_eventslides
0
140
OCI技術資料 : 証明書サービス概要
Avatar for Oracle Cloud Infrastructure ソリューション・エンジニア ocise
1
7.1k
Oracle Cloud Infrastructure(OCI):Onboarding Session(はじめてのOCI/Oracle Supportご利⽤ガイド)
Avatar for oracle4engineer oracle4engineer
PRO
2
17k

Featured

See All Featured
BBQ
Avatar for Matthew Crist matthewcrist
89
10k
Writing Fast Ruby
Avatar for Erik Berlin sferik
630
63k
Practical Orchestrator
Avatar for Shlomi Noach shlominoach
191
11k
Visualization
Avatar for Eitan Lees eitanlees
150
17k
Why Your Marketing Sucks and What You Can Do About It - Sophie Logan
Avatar for Sophie Logan marketingsoph
0
120
Neural Spatial Audio Processing for Sound Field Analysis and Control
Avatar for NII S. Koyama's Lab skoyamalab
0
240
WENDY [Excerpt]
Avatar for Tessa Abrams tessaabrams
9
37k
YesSQL, Process and Tooling at Scale
Avatar for Rocio Delgado rocio
174
15k
<Decoding/> the Language of Devs - We Love SEO 2024
Avatar for Nikki Halliwell nikkihalliwell
1
160
The Pragmatic Product Professional
Avatar for Laura Van Doore lauravandoore
37
7.2k
Scaling GitHub
Avatar for Zach Holman holman
464
140k
SERP Conf. Vienna - Web Accessibility: Optimizing for Inclusivity and SEO
Avatar for Sara Fernández Carmona sarafernandez
1
1.4k

Transcript

  1. 社内の全環境をhttpsにした話 2017.10.28 Rakuten Technology Conference @morix1500

  2. じこしょうかい ・大森翔太(@morix1500) ・株式会社モブキャスト ・インフラエンジニア ・技術ブログやってます!  https://blog.haramishio.xyz/

  3. あじぇんだ ・Let's Encryptについて ・社内の全環境をhttpsにしたはなし

  4. みなさん、 https対応してますか?

  5. 高まるhttps対応の波 引用元: https://transparencyreport.google.com/https/overview?hl=ja

  6. httpsじゃないとサービス提供できない時代に ・AppleのATS(App Transport Security)  ⇒ そもそも通信ができなくなる ・Chrome62からhttpページで警告が出るように  ⇒ サイトの信頼性が下がる

  7. でも… ・証明書って金かかるじゃん? ・なんか発行とかだるそう ・うーんどうしよう

  8. None

  9. Let's Encryptとは ・無料で発行できるSSL証明書 ・httpsの普及を目的として作られた ・名だたるスポンサーたち  ⇒ Mozilla/Akamai/Cisco/Chrome etc...

  10. Let's Encryptの特徴 ・無料 ・発行/更新が自動で行える ・証明書の有効期限は3ヶ月

  11. 証明書の発行の仕方(例) # 発行 $ certbot certonly --webroot -w /var/www/html -d

    example.jp # 更新 $ certbot renew

  12. 全開発環境の https対応と運用の 自動化を行った!

  13. 要件 ・開発環境なのでWebサーバーは外部からアクセス不可 ・1プロジェクトにつき20個くらいドメインある ・そのプロジェクトは何個もある ・プロジェクトごとにネットワーク(アカウント)が分かれている

  14. 採用した方法(アーキテクチャ) Jenkins S3 Route53 EC2 1.証明書リクエスト 2.ワンタイムトークン登録 3.ワンタイムトークン確認 4.証明書発行 5.証明書配置

    6.証明書ダウンロード

  15. 実装 ・LEクライアント  lego(https://github.com/xenolf/lego) ・LE認証方式  DNS-01: 対象ドメインのサブドメインに指定の文字列をTXTレコードに登録しそれ で認証を行うこと

  16. LEの制限 ・同一ドメインの証明書発行は1週間に20個まで!  ・下記はすべて同一ドメイン   example.com   sand.example.com   api1.sand.example.com   api2.sand.example.com

  17. サブドメインがたくさんある場合は ・SANs(Subject Alternative Names)を使用する  1つの証明書で複数のドメインが対応できる  example.com.crt   -> example.com   -> sand.example.com

      -> api1.sand.example.com   -> api2.sand.example.com 1つの証明書が いろんなドメインで使 いまわせる!

  18. この仕組みの限界ドメイン数 ・SANsの上限は100ドメインまで ・週に20個まで証明書発行が可能 ・証明書の期限が3ヶ月 ・100 * 20 * 12(week) =

    24,000ドメインまで行ける!

  19. この仕組みのいいところ ・DNS認証なのでサーバーのIP制限を気にしなくていい ・発行と更新が同じ仕組みなので、  クライアントは証明書をダウンロードするだけでいい ・Jenkinsに発行/更新を集約しているので  更新スケジュールをコントロールしやすい

  20. まとめ ・証明書はLet’s Encryptでさくっと作れる ・証明書の発行/更新は自動化できる ・大量のサブドメインがある場合はSANsで対応

  21. ワイルドカード来るってよ

  22. Let’s Start https!!