Saltstack 自動批量更新 SSL 證書,你學會了嗎?
如果這個域名下有很多服務器,我們一臺一臺手動登錄機器然后更新證書的話效率是非常低的,所以我們可以通過一些自動化運維工具去完成這些大量重復的工作。
像 ansible、puppet 這類工具也可以實現同樣的效果,但是咸魚這邊主要用的還是 saltstack,所以今天介紹一些如何通過 saltstack 去批量更新 SSL 證書。
首先我們在 salt-master 的主目錄下創建一個新的目錄,用于存放 SSL 證書和腳本,我自己機器上的 master 主目錄為 /home/salt/
mkdir -pv /home/salt/ssl_update/ssl然后把 SSL 證書放在 /home/salt/ssl_update/ssl 目錄下,如果有多個域名的話需要在下面創建多個對應的目錄
[root@localhost]# tree /home/salt/ssl_update/
/home/salt/ssl_update
├── rollback.sls
├── update.sls
├── ssl
│ ├── domain1
│ │ ├── server.key
│ │ └── server.pem
│ ├── domain2
│ │ ├── server.key
│ │ └── server.pem
│ └── domain3
├── server.key
└── server.pem接下來我們開始編寫 saltstack 狀態腳本:
- update.sls 負責更新證書
- rollback.sls 負責回滾證書
因為之前遇到過更新證書之后由于證書鏈不完整導致證書失效,然后不得不緊急手動還原之前的證書。
所以覺得有必要做一個回滾操作,這樣新證書有問題的時候能夠及時自動還原。
我們先來看一下負責更新證書的 update.sls,這個腳本分成了三個模塊:
- SSL 證書備份
- SSL 證書更新
- Nginx 重啟
{% set domain = 'doamin1' %}
{% set ssl_dir = '/usr/local/nginx/ssl' %}
{% set dst_dir = ssl_dir + '/' + domain %}
{% set bak_dir = '/opt/backup/ssl/' + domain %}
backup_ssl:
cmd.run:
- name: "year=$(openssl x509 -in {{ dst_dir }}/server.pem -noout -dates|grep Before|awk '{print $4}') && mkdir -p {{ bak_dir }}/${year} && \\cp {{dst_dir}}/* {{ bak_dir }}/${year}"
ssl_update:
file.recurse:
- source: salt://ssl_check/ssl/{{domain}}
- name: {{ dst_dir }}
- require:
- cmd: backup_ssl
nginx_reload:
cmd.run:
- name: /usr/local/nginx/sbin/nginx -t && /usr/local/nginx/sbin/nginx -s reload
- require:
- file: ssl_update首先是變量的定義
{% set domain = 'doamin1' %}
{% set ssl_dir = '/usr/local/nginx/ssl' %}
{% set dst_dir = ssl_dir + '/' + domain %}
{% set bak_dir = '/opt/backup/ssl/' + domain %}- domain: 設置域名為 'doamin1'。
- ssl_dir: 設置 SSL 證書存放目錄為 '/usr/local/nginx/ssl'。
- dst_dir: 設置 SSL 證書實際存放路徑為 ssl_dir + '/' + domain。
- bak_dir: 設置備份目錄為 '/opt/backup/ssl/' + domain。
然后就是 SSL 證書備份。首先創建名為 backup_ssl 的命令執行模塊,通過 cmd.run 執行 shell 命令,這個命令通過 OpenSSL 獲取證書的有效期限,然后將證書拷貝到備份目錄,以年份為子目錄。
backup_ssl:
cmd.run:
- name: "year=$(openssl x509 -in {{ dst_dir }}/server.pem -noout -dates|grep Before|awk '{print $4}') && mkdir -p {{ bak_dir }}/${year} && \\cp {{dst_dir}}/* {{ bak_dir }}/${year}"這條命令看著很長,其實可以拆解成
# 獲取證書有效期限然后賦值給 year 變量
year=$(openssl x509 -in {{ dst_dir }}/server.pem -noout -dates|grep Before|awk '{print $4}')
# 創建帶年份后綴的備份目錄
mkdir -p {{ bak_dir }}/${year}
# 把當前的證書備份到備份目錄中
cp {{dst_dir}}/* {{ bak_dir }}/${year}接著我們開始更新 SSL 證書。創建名為 ssl_update 的文件遞歸模塊,然后通過 file.recurse 把 salt-master 上的證書復制到指定服務器目錄
ssl_update:
file.recurse:
- source: salt://ssl_check/ssl/{{domain}}
- name: {{ dst_dir }}
- require:
- cmd: backup_ssl更新完之后我們還要對指定服務器上的 Nginx 服務進行配置檢查并重啟一下
nginx_reload:
cmd.run:
- name: /usr/local/nginx/sbin/nginx -t && /usr/local/nginx/sbin/nginx -s reload
- require:
- file: ssl_update然后我們看一下負責回滾證書的 rollback.sls,這個腳本分成了兩個個模塊:
- 證書回滾
- Nginx 重啟
{% set domain = 'doamin1' %}
{% set ssl_dir = '/usr/local/nginx/ssl' %}
{% set dst_dir = ssl_dir + '/' + domain %}
{% set bak_dir = '/opt/backup/ssl/' + domain %}
{% set year = salt['pillar.get']('year') or salt['cmd.run']('echo $(date +%Y) - 1| bc') %}
rollback:
cmd.run:
- name: "cp {{ bak_dir }}/$(({{ year }}))/* {{ dst_dir }}"
start:
cmd.run:
- name: /usr/local/nginx/sbin/nginx -t && /usr/local/nginx/sbin/nginx -s reload
- require:
- cmd: rollback設置變量 year 的命令有點復雜,我們來看一下
{% set year = salt['pillar.get']('year') or salt['cmd.run']('echo $(date +%Y) - 1| bc') %}- salt['pillar.get']('year'): 嘗試從 Salt Pillar 中獲取名為 year 的變量的值。
- or: 如果前面的操作未成功(即 year 在 Pillar 中不存在),or 后面的表達式將會被執行。
- salt['cmd.run']('echo $(date +%Y) - 1| bc'): 這部分代碼使用 SaltStack 的 cmd.run 模塊執行一個 shell 命令,該命令通過 date 命令獲取當前年份,然后減去 1 得到前一年的年份。bc 是一個計算器工具,用于執行數學運算。
- 總結一下:首先從 Salt Pillar 中查找,如果找不到則使用 shell 命令獲取前一年的年份,確保在沒有 Pillar 配置的情況下也有一個默認的年份
然后就是 SSL 證書回滾。創建名為 rollback 的命令執行模塊,通過 cmd.run 執行 shell 命令
該命令通過將指定服務器備份目錄中指定年份的證書拷貝到 SSL 證書目錄實現回滾。
rollback:
cmd.run:
- name: "cp {{ bak_dir }}/$(({{ year }}))/* {{ dst_dir }}"回滾完之后對指定服務器上的 Nginx 服務進行配置檢查并重啟一下,上面內容有,這里就不再介紹了。
