証明書更新自動化の準備しよ

Transcript

1. 証明書更新自動化の準備しよ 株式会社現場サポート 新山大介

2. プロフィール ► 新山 大介（38） ► 株式会社現場サポート 技術統括室 SRE ► 普段はインフラ系業務などを担当しています

   ► 良く触るのはAWS ► まだかけだし ► 趣味はラップ ► 4/27に新作CD出した！10曲￥1,500 ► 持ってきてまーす！！！買ってね！ ► 7/26に東京でライブします！ ► 配信チケットもありますので全員買って帰ってください ► 旧作CD欲しい人はご連絡ください定期(￥500- or NYP)

3. 会社紹介～株式会社現場サポート～ ► 建設業向けのサービスやソフトウェアを提供するIT企業 ► 今年で創業20周年 ► 本社は武、他に中央駅、瀬々串、福岡にオフィス有 ► 中央駅オフィス「+Monso」はイベントスペースとしても活用中 ►

   リモート、フレックスの体制が整っていて働きやすい（所感） ► 自由な会社です！

4. 主な自社プロダクト ► 受発注者間情報共有システム「One」 ► 書類の決裁、ファイルの共有、コミュニケーションなど ► コミュニケーションツール「Conne」 ► ゲスト機能付きのグループウェア ►

   重機管理システム「Arune」 ► 重機センサーと連動して重機の所在・稼働状況を管理

5. We Are Hiringのはず ► 採用活動はいつでもやってるよ（詳しくはお尋ねください） ► https://recruit.genbasupport.com/

6. 皆さん！ SSL使ってますか！

7. 証明書購入してるあなたへ 念のために

8. SSL（TLS）証明書の有効期限が47日に ► 引用：Digicert（https://www.digicert.com/jp/blog/tls-certificate-lifetimes-will-officially-reduce-to-47-days）

9. SSL（TLS）証明書の有効期限が47日に ► 引用：Cybertrust（https://www.cybertrust.co.jp/blog/ssl/validity-period-shortening.html）

10. 経緯 ► 元々証明書の有効期限は5年くらいあった ► でも秘密鍵の漏洩や技術の発達で破られるリスクがある ► 証明書の更新頻度が高ければ上記リスクに対応しやすい ＝有効期限は短いほうがセキュリティが高い（大前提） ► 過去何度も短縮が行われてきた

    ► 無制限→5年→3年→2年→1年 ► 今回2029年に向けて段階的に有効期限を削減する方向に ► 2026年3月に200日→2027年3月に100日→2029年3月に47日

11. 主な影響 ► 証明書を最大1.5カ月で更新する必要あり ► サーバー運用の規模によるが、複数台ある場合手動運用は困難に ► ちなみにDCVの再利用期間（再審査の猶予）も短縮 ► 2029年には10日になり、申請ミスの対応や再発行もシビアに

12. 対応が必要な物・不要な物 ► 【要対応】主にVPSサーバー・EC2インスタンスなど ► サーバー内部の証明書は自動更新されない ► 【対応不要】サービス側で証明書を運用している場合 ► AWSではELB、CloudFront、Cognitoなど ►

    ※ACM（AWS Certificate Manager）でAmazon発行の証明書を利用 している場合 ► GCPやAzureでも同様 ► 各サービスの説明を参照 ► 共有サーバーなどで運営がLet’s Encryptなどを利用している場合 ► さくらの共有サーバーなどは運営が証明書を更新してくれる ► サーバー側で気をもむ必要はない

13. どうしたらいいか ► 順当にいけば自動化必須 ► ACMEクライアントの導入 ► ACME (Automated Certificate Management

    Environment、アクミー) とは、Webサーバーと認証局間のやり取りを自動化するためのプロ トコル ► Let’s EncryptではCertBotの導入を推奨 ► コマンドで簡単に証明書が更新できる ► Kubernetesでもcert-managerなども ► ACMなどが利用できる構成に切り替える ► AWSなら上段にELBを挟んで、https通信はELBで受けてしまう ► 各社自動更新のソリューション・エージェントの案内が予想される ► LEが嫌ならアンテナを立てておきましょ

14. 実装例（という程でもないけど……） ► 自社EC2インスタンスの例 ► CertBotでRoute53のDNS認証で自動更新 ► Certbotが更新できるようにEC2にロールとポリシーを付与 ► https://certbot-dns-route53.readthedocs.io/en/stable/ ►

    snapを入れてcertbotを入れる ► https://certbot.eff.org/instructions?ws=nginx&os=snap ► Route53を利用したDNS認証が出来るように追加でインストール ► sudo snap install certbot-dns-route53 ► 後はコマンド一発で証明書が更新 ► sudo certbot --debug certonly --email ‘[email protected]' --agree-tos --dns-route53 –d huga.example.com ► 勝手にroute53でtxtレコードを書き換えて認証してくれる ► 現状そのまま証明書を利用していないのでここまで ► 更新後の処理も指示できるので、適用後自動でnginxをリロードするな ども可能

15. メモ：有償SSL対応の例 ► Digicert ► CertCentralでACME対応が可能 ► ACME用のURLを発行して自動更新が可能、とか ► 既存のACMEクライアントで実行可能らしい ►

    現状では未使用なので動作確認が必要かも ► RapidSSLはACME非対応の方針 ► Digicertの証明書使えとのこと ► 今後対応の可能性もあるが、非対応のままならブランド畳みそう？

16. ※追記：ACMで発行する証明書 ► ACMはエクスポートできないからEC2内では利用できない…… ► はずが！ ► 6/17にエクスポートできる証明書を発行できるように！！ ► https://aws.amazon.com/jp/blogs/news/aws-certificate-manager-introduces- exportable-public-ssl-tls-certificates-to-use-anywhere/

    ► https://dev.classmethod.jp/articles/amazon-certificate-manager-export-certificate-file/ ► 良さそうポイント ► 安いのでは？ ► 1ドメイン15$、ワイルドカード149$ ► eventbridgeで更新可能 ► aws-cliでエクスポートが可能 ► 自動化に期待。運用と相談しながら利用したい

17. 感想 ❖ 証明書に限らず運用の自動化は避けられない ➢ 毎月対応が必要などはナンセンスの極 ➢ 自動化、効率化し、情報をキャッチアップすることが必要 ➢ SREやプラットフォームエンジニアリング的な部分が大事なのでは？ ➢

    SREとかインフラ管理者もっと増えて ❖ 情報拾えてないとヤバい ➢ 知らずに2029年迎えてしまったら終わり ➢ 情報収集していこう！

18. 最後にいっぱい宣伝 ► エンジニア立ち飲み屋 もんそ ► 次回も参加してね！！！ ► もんそは隔月開催、次回は9月 ► 勉強系企画も検討中！

    ► CDも買ってね！！！！ ► 新作は好きな内容で好きにラップするオタク感満載作 ► 過去作もそれぞれ良さがあるのでぜひ サブスク開始！

19. ありがとうございました m(_ _)m