翼度科技»论坛 云主机 LINUX 查看内容

通过 saltstack 批量更新 SSL 证书

7

主题

7

帖子

21

积分

新手上路

Rank: 1

积分
21
哈喽大家好,我是咸鱼。
之前写过两篇关于 SSL 过期巡检脚本的文章:
这两篇文章都是讲如何通过脚本去自动检测 SSL 过期时间的,当我们发现某一域名的 SSL 证书过期之后,就要及时更换。
如果这个域名下有很多服务器,我们一台一台手动登录机器然后更新证书的话效率是非常低的,所以我们可以通过一些自动化运维工具去完成这些大量重复的工作。
像 ansible、puppet 这类工具也可以实现同样的效果,但是咸鱼这边主要用的还是 saltstack,所以今天介绍一些如何通过 saltstack 去批量更新 SSL 证书。
关于 saltstck 的介绍:
首先我们在 salt-master 的主目录下创建一个新的目录,用于存放 SSL 证书和脚本,我自己机器上的 master 主目录为 /home/salt/
  1. mkdir -pv /home/salt/ssl_update/ssl
复制代码
然后把 SSL 证书放在 /home/salt/ssl_update/ssl 目录下,如果有多个域名的话需要在下面创建多个对应的目录
  1. [root@localhost]# tree /home/salt/ssl_update/
  2. /home/salt/ssl_update
  3. ├── rollback.sls
  4. ├── update.sls
  5. ├── ssl
  6. │   ├── domain1
  7. │   │   ├── server.key
  8. │   │   └── server.pem
  9. │   ├── domain2
  10. │   │   ├── server.key
  11. │   │   └── server.pem
  12. │   └── domain3
  13.        ├── server.key
  14.        └── server.pem
复制代码
接下来我们开始编写 saltstack 状态脚本:

  • update.sls 负责更新证书
  • rollback.sls  负责回滚证书
因为之前遇到过更新证书之后由于证书链不完整导致证书失效,然后不得不紧急手动还原之前的证书。
所以觉得有必要做一个回滚操作,这样新证书有问题的时候能够及时自动还原。
我们先来看一下负责更新证书的 update.sls,这个脚本分成了三个模块:

  • SSL 证书备份
  • SSL 证书更新
  • Nginx 重启
  1. {% set domain = 'doamin1' %}
  2. {% set ssl_dir = '/usr/local/nginx/ssl' %}
  3. {% set dst_dir = ssl_dir + '/' + domain %}
  4. {% set bak_dir = '/opt/backup/ssl/' + domain %}
  5. backup_ssl:
  6.   cmd.run:
  7.       - name: "year=$(openssl x509 -in {{ dst_dir }}/server.pem -noout -dates|grep Before|awk '{print $4}') && mkdir -p {{ bak_dir }}/${year} && \\cp {{dst_dir}}/* {{ bak_dir }}/${year}"
  8. ssl_update:
  9.   file.recurse:
  10.     - source: salt://ssl_check/ssl/{{domain}}
  11.     - name: {{ dst_dir }}
  12.     - require:
  13.       - cmd: backup_ssl
  14. nginx_reload:
  15.   cmd.run:
  16.     - name: /usr/local/nginx/sbin/nginx -t && /usr/local/nginx/sbin/nginx -s reload
  17.     - require:
  18.       - file: ssl_update
复制代码
首先是变量的定义
  1. {% set domain = 'doamin1' %}
  2. {% set ssl_dir = '/usr/local/nginx/ssl' %}
  3. {% set dst_dir = ssl_dir + '/' + domain %}
  4. {% set bak_dir = '/opt/backup/ssl/' + domain %}
复制代码

  • domain: 设置域名为 'doamin1'。
  • ssl_dir: 设置 SSL 证书存放目录为 '/usr/local/nginx/ssl'。
  • dst_dir: 设置 SSL 证书实际存放路径为 ssl_dir + '/' + domain。
  • bak_dir: 设置备份目录为 '/opt/backup/ssl/' + domain。
然后就是 SSL 证书备份。首先创建名为 backup_ssl 的命令执行模块,通过 cmd.run 执行 shell 命令,这个命令通过 OpenSSL 获取证书的有效期限,然后将证书拷贝到备份目录,以年份为子目录。
  1. backup_ssl:
  2.   cmd.run:
  3.       - name: "year=$(openssl x509 -in {{ dst_dir }}/server.pem -noout -dates|grep Before|awk '{print $4}') && mkdir -p {{ bak_dir }}/${year} && \\cp {{dst_dir}}/* {{ bak_dir }}/${year}"
复制代码
这条命令看着很长,其实可以拆解成
  1. # 获取证书有效期限然后赋值给 year 变量
  2. year=$(openssl x509 -in {{ dst_dir }}/server.pem -noout -dates|grep Before|awk '{print $4}')
  3. # 创建带年份后缀的备份目录
  4. mkdir -p {{ bak_dir }}/${year}
  5. # 把当前的证书备份到备份目录中
  6. cp {{dst_dir}}/* {{ bak_dir }}/${year}
复制代码
接着我们开始更新 SSL 证书。创建名为 ssl_update 的文件递归模块,然后通过 file.recurse 把 salt-master 上的证书复制到指定服务器目录
  1. ssl_update:
  2.   file.recurse:
  3.     - source: salt://ssl_check/ssl/{{domain}}
  4.     - name: {{ dst_dir }}
  5.     - require:
  6.       - cmd: backup_ssl
复制代码
更新完之后我们还要对指定服务器上的 Nginx 服务进行配置检查并重启一下
  1. nginx_reload:
  2.   cmd.run:
  3.     - name: /usr/local/nginx/sbin/nginx -t && /usr/local/nginx/sbin/nginx -s reload
  4.     - require:
  5.       - file: ssl_update
复制代码
然后我们看一下负责回滚证书的 rollback.sls,这个脚本分成了两个个模块:

  • 证书回滚
  • Nginx 重启
  1. {% set domain = 'doamin1' %}
  2. {% set ssl_dir = '/usr/local/nginx/ssl' %}
  3. {% set dst_dir = ssl_dir + '/' + domain %}
  4. {% set bak_dir = '/opt/backup/ssl/' + domain %}{% set year = salt['pillar.get']('year') or salt['cmd.run']('echo $(date +%Y) - 1| bc') %}rollback:
  5.   cmd.run:
  6.     - name: "cp {{ bak_dir }}/$(({{ year }}))/* {{ dst_dir }}"start:  cmd.run:    - name: /usr/local/nginx/sbin/nginx -t && /usr/local/nginx/sbin/nginx -s reload    - require:      - cmd: rollback
复制代码
设置变量 year 的命令有点复杂,我们来看一下
  1. {% set year = salt['pillar.get']('year') or salt['cmd.run']('echo $(date +%Y) - 1| bc') %}
复制代码

  • salt['pillar.get']('year'): 尝试从 Salt Pillar 中获取名为 year 的变量的值。
  • or: 如果前面的操作未成功(即 year 在 Pillar 中不存在),or 后面的表达式将会被执行。
  • salt['cmd.run']('echo $(date +%Y) - 1| bc'): 这部分代码使用 SaltStack 的 cmd.run 模块执行一个 shell 命令,该命令通过 date 命令获取当前年份,然后减去 1 得到前一年的年份。bc 是一个计算器工具,用于执行数学运算。
  • 总结一下:首先从 Salt Pillar 中查找,如果找不到则使用 shell 命令获取前一年的年份,确保在没有 Pillar 配置的情况下也有一个默认的年份
然后就是 SSL 证书回滚。创建名为 rollback 的命令执行模块,通过 cmd.run 执行 shell 命令
该命令通过将指定服务器备份目录中指定年份的证书拷贝到 SSL 证书目录实现回滚。
  1. rollback:
  2.   cmd.run:
  3.     - name: "cp {{ bak_dir }}/$(({{ year }}))/* {{ dst_dir }}"
复制代码
回滚完之后对指定服务器上的 Nginx 服务进行配置检查并重启一下,上面内容有,这里就不再介绍了。

来源:https://www.cnblogs.com/edisonfish/p/18035005
免责声明:由于采集信息均来自互联网,如果侵犯了您的权益,请联系我们【E-Mail:cb@itdo.tech】 我们会及时删除侵权内容,谢谢合作!

举报 回复 使用道具