Upgrade to Pro — share decks privately, control downloads, hide ads and more …

社内の全環境をhttpsにした話

Avatar for Morix Morix
October 28, 2017
Technology
0
1.8k

 社内の全環境をhttpsにした話

Created by Shota Omori(@morix1500)
2017-10-28 Rakuten Technology Conference LT

Avatar for Morix

Morix

October 28, 2017
Tweet

More Decks by Morix

See All by Morix
入社後SREチームのミッションや課題の整理をした話
Avatar for Morix morix1500
1
370
[EC2からKubernetes] 楽天ラクマのコンテナ化の歩み
Avatar for Morix morix1500
16
6.2k
AWS EKSでClusterAutoscalerを使うときはNodeGroupの分け方に気をつけろ!
Avatar for Morix morix1500
0
860
FirebaseとNetlifyを使ってサーバーレスでサービスを作った話
Avatar for Morix morix1500
2
2.9k
オーバーロードで学んだチームマネジメント / Team management learned through overlord
Avatar for Morix morix1500
1
2.1k
転職をする前にやっておきたいこと / What you want to do before you change your career
Avatar for Morix morix1500
0
3.9k
自分を強くするためにやってきたこと
Avatar for Morix morix1500
7
2.6k
個人事業主になりたい!どうやって?調べてみよう!
Avatar for Morix morix1500
1
420
負荷試験入門
Avatar for Morix morix1500
0
1.3k

Other Decks in Technology

See All in Technology
ユーザー理解の爆速化とPdMの価値
Avatar for KAKEHASHI kakehashi
PRO
1
110
Power Automate のパフォーマンス改善レシピ / Power Automate Performance Improvement Recipes
Avatar for Takashi Shinohara karamem0
0
270
AI人生苦節10年で会得したAIがやること_人間がやること.pdf
Avatar for shibuiwilliam shibuiwilliam
1
210
機械学習を「社会実装」するということ 2025年夏版 / Social Implementation of Machine Learning July 2025 Version
Avatar for Moe Uchiike(内池 もえ) moepy_stats
1
1.4k
ObsidianをLLM時代のナレッジベースに! クリッピング→Markdown→CLI連携の実践
Avatar for Reiki Hattori srvhat09
7
9.7k
With Devin -AIの自律とメンバーの自立
Avatar for こたにん kotanin0
2
770
AIエージェントを支える設計
Avatar for takuya kikuchi tkikuchi1002
11
2.2k
【2025 Japan AWS Jr. Champions Ignition】点から線、線から面へ 〜僕たちが起こすコラボレーション・ムーブメント〜
Avatar for amixedcolor amixedcolor
1
100
M365アカウント侵害時の初動対応
Avatar for LHazy lhazy
7
5.1k
マルチモーダル基盤モデルに基づく動画と音の解析技術
Avatar for LINEヤフーTech (LY Corporation Tech) lycorptech_jp
PRO
2
250
私とAWSとの関わりの歩み~意志あるところに道は開けるかも?~
Avatar for nagisa_53 nagisa53
1
130
「育てる」サーバーレス 〜チーム開発研修で学んだ、小さく始めて大きく拡張するAWS設計〜
Avatar for yut yu_kod
1
170

Featured

See All Featured
Bootstrapping a Software Product
Avatar for Garrett Dimon garrettdimon
PRO
307
110k
Keith and Marios Guide to Fast Websites
Avatar for Keith Pitt keithpitt
411
22k
Dealing with People You Can't Stand - Big Design 2015
Avatar for Cassini Nazir cassininazir
367
26k
Site-Speed That Sticks
Avatar for Harry Roberts csswizardry
10
720
Optimizing for Happiness
Avatar for Tom Preston-Werner mojombo
379
70k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
Avatar for Rebecca Miller-Webster rmw
34
3.1k
The Art of Programming - Codeland 2020
Avatar for Erika Heidi erikaheidi
54
13k
Documentation Writing (for coders)
Avatar for Carmen Chung carmenintech
72
4.9k
The Straight Up "How To Draw Better" Workshop
Avatar for Dennis Kardys denniskardys
235
140k
How to Think Like a Performance Engineer
Avatar for Harry Roberts csswizardry
25
1.8k
Mobile First: as difficult as doing things right
Avatar for Swwweet swwweet
223
9.7k
Building an army of robots
Avatar for Kyle Neath kneath
306
45k

Transcript

  1. 社内の全環境をhttpsにした話 2017.10.28 Rakuten Technology Conference @morix1500

  2. じこしょうかい ・大森翔太(@morix1500) ・株式会社モブキャスト ・インフラエンジニア ・技術ブログやってます!  https://blog.haramishio.xyz/

  3. あじぇんだ ・Let's Encryptについて ・社内の全環境をhttpsにしたはなし

  4. みなさん、 https対応してますか?

  5. 高まるhttps対応の波 引用元: https://transparencyreport.google.com/https/overview?hl=ja

  6. httpsじゃないとサービス提供できない時代に ・AppleのATS(App Transport Security)  ⇒ そもそも通信ができなくなる ・Chrome62からhttpページで警告が出るように  ⇒ サイトの信頼性が下がる

  7. でも… ・証明書って金かかるじゃん? ・なんか発行とかだるそう ・うーんどうしよう

  8. None

  9. Let's Encryptとは ・無料で発行できるSSL証明書 ・httpsの普及を目的として作られた ・名だたるスポンサーたち  ⇒ Mozilla/Akamai/Cisco/Chrome etc...

  10. Let's Encryptの特徴 ・無料 ・発行/更新が自動で行える ・証明書の有効期限は3ヶ月

  11. 証明書の発行の仕方(例) # 発行 $ certbot certonly --webroot -w /var/www/html -d

    example.jp # 更新 $ certbot renew

  12. 全開発環境の https対応と運用の 自動化を行った!

  13. 要件 ・開発環境なのでWebサーバーは外部からアクセス不可 ・1プロジェクトにつき20個くらいドメインある ・そのプロジェクトは何個もある ・プロジェクトごとにネットワーク(アカウント)が分かれている

  14. 採用した方法(アーキテクチャ) Jenkins S3 Route53 EC2 1.証明書リクエスト 2.ワンタイムトークン登録 3.ワンタイムトークン確認 4.証明書発行 5.証明書配置

    6.証明書ダウンロード

  15. 実装 ・LEクライアント  lego(https://github.com/xenolf/lego) ・LE認証方式  DNS-01: 対象ドメインのサブドメインに指定の文字列をTXTレコードに登録しそれ で認証を行うこと

  16. LEの制限 ・同一ドメインの証明書発行は1週間に20個まで!  ・下記はすべて同一ドメイン   example.com   sand.example.com   api1.sand.example.com   api2.sand.example.com

  17. サブドメインがたくさんある場合は ・SANs(Subject Alternative Names)を使用する  1つの証明書で複数のドメインが対応できる  example.com.crt   -> example.com   -> sand.example.com

      -> api1.sand.example.com   -> api2.sand.example.com 1つの証明書が いろんなドメインで使 いまわせる!

  18. この仕組みの限界ドメイン数 ・SANsの上限は100ドメインまで ・週に20個まで証明書発行が可能 ・証明書の期限が3ヶ月 ・100 * 20 * 12(week) =

    24,000ドメインまで行ける!

  19. この仕組みのいいところ ・DNS認証なのでサーバーのIP制限を気にしなくていい ・発行と更新が同じ仕組みなので、  クライアントは証明書をダウンロードするだけでいい ・Jenkinsに発行/更新を集約しているので  更新スケジュールをコントロールしやすい

  20. まとめ ・証明書はLet’s Encryptでさくっと作れる ・証明書の発行/更新は自動化できる ・大量のサブドメインがある場合はSANsで対応

  21. ワイルドカード来るってよ

  22. Let’s Start https!!