開発部たなべです。
Let's Encrypt (以下LE)が今年の1月についにDNSベースのドメイン認可をプロダクション環境で有効にしました。
Turned on support for the ACME DNS challenge in production today. Enjoy!
— Let's Encrypt (@letsencrypt) 2016, 1月 20
これにより、証明書発行が完全自動化できるのを記念(?)して先月の社内勉強会で少し話しました。つまりは昨年のアドベントカレンダーの続きです。 スライドでも触れましたが、勉強会の当日(1/22)にAWSからACMが発表されるというちょっとしたハプニングがありました。
AAA Updates
AAAとは私が開発しているACMEプロトコルのクライアント実装です。Goで実装しています。
主な特徴はAWS内で完結させていることです。つまり、
- すべてのコードはLambda Functionとして実行
- すべてのデータはサーバサイド暗号化を適用したS3へ保存
することでステートレスでサーバレスを実現しています。アドベントカレンダー以後のアップデートとしては、
証明書自動更新に対応しました。
Goで実装したcliアプリをLambda向けにzipし、CloudWatch Eventsを使い、証明書の自動更新処理を行ないます。 Go製のcliをNodeでラップし、Lambda Functionとするのが私の中で王道になりつつあります。OS Xで開発・実行できるうえに、一瞬でLinux向けにビルドできるのでまさにLambda Functionにぴったりです。 早くLambdaのGo対応きてほしいですね。
We want to hear from you - what language do you think AWS Lambda should support next #Golang or #Ruby?
— Amazon Web Services (@awscloud) 2015, 10月 29Slackインテグレーションに対応しました。
ドメインの認可と証明書の発行がSlackからできます。こちらはAPI Gateway経由でLambda Functionを実行しているだけなので、他とのインテグレーションも難しくないと思います。
ドメイン認可プロセスのDNSチャレンジに対応しました。
こちらが目玉機能です。Route53環境があれば対象のサーバなしで証明書が発行できます。
今後はApexを利用してLambda Functionを管理できるようにする予定です(ただし、Apex自体ではCloudWatch Eventsには対応せず、Terraformに任せる予定のようです)
Let's EncryptとAmazon Certificate Manager (ACM)
スライドの最後でも触れましたが、改めてLEとACMについて触れます。
ACMはまだ出たばかりでus-eastのみです。現時点ではLEのほうが使い勝手がよさそうです。 リージョンの問題がなくなった場合、ELB連携は魅力的です。AWS内で完結できるのはとてもありがたいです。 また、ACMはワイルドカード証明書にも対応しているので一枚あれば事足りるのも魅力的です。
ACMEプロトコル側でもワイルドカードサポートの議論が始まっています。
一方で、ACMの証明書発行プロセスではメールでドメインを認可する必要があり、ここが自動化の障害となっています。 でも、証明書の期限は13ヶ月と長いのが幸い、というところでしょうか。
今後ACMEプロトコルの利用が進み、いい感じになったところでACMがACMEプロトコルに対応してくれればすべて丸く収まる…というのが私の妄想です。
ではまた!