SSL 証明書管理
KE 2.0 システムでは HTTPS 接続および AMQPS 接続を行なうために、SSL 証明書が必要になります。 ke2-docker パッケージのデプロイ手順では、自己署名 SSL 証明書を作成しています。
SSL 証明書ファイルの作成
ke2-docker パッケージに付属の create-cert.sh スクリプトを実行すると、ssl ディレクトリに以下のファイルが生成されます。
- local-ca.crt: 作成する SSL 証明書に署名する CA 証明書
- local-ca.key: local-ca.crt の秘密鍵ファイル
- local-ca.srl: local-ca.crt で発行済みシリアル番号を保存するファイル
- server.crt: nginx/rabbitmq コンテナが利用するサーバ SSL 証明書(local-ca.crt によって署名されています)
- server.csr: server.crt を生成する時の CSR ファイル
- server.ext: server.crt に設定する拡張情報ファイル
- server.key: server.crt の秘密鍵ファイル
サーバ証明書 server.crt には create-cert.sh スクリプトを実行したホストのホスト名を元にサブジェクトが設定されます。
各コンテナでの SSL 証明書の適用
ke2-docker でデプロイした各コンテナでは、作成した SSL 証明書を適用するための設定を行なっています。
nginx コンテナ
nginx コンテナでは、SSL 証明書を利用した HTTPS 接続ができるように、以下のような設定を行なっています。
- SSL証明書ファイル一式を nginx コンテナの
/etc/nginx/sslディレクトリにバインドするようにしています。 /etc/nginx/sslに配置された SSL 証明書を利用するように、ke2-docker 付属の nginx.conf で設定しています。
rabbitmq コンテナ
rabbitmq コンテナでは、SSL 証明書を利用した AMQPS 接続ができるように、以下のような設定を行なっています。
- SSL証明書ファイル一式を rabbitmq コンテナの
/etc/rabbitmq/sslディレクトリにコピーするようにしています。 /etc/rabbitmq/sslに配置された SSL 証明書を利用するように、ke2-docker 付属の rabbitmq-ssl.conf で設定しています。- rabbitmq-server で SSL 証明書による認証ができるように rabbitmq_auth_mechanism_ssl プラグインを有効化しています。
正式な SSL 証明書の適用方法
(WIP)