TLS tanúsítvány menedzsment: 83 site, automatikus, 0 lejárás 18 hónapja
Let's Encrypt + cert-manager + 1 monitoring dashboard. Nem varázslat, de el kell határozni magad.
A lejárt tanúsítvány olyan, mint a lejárt tej: mindenki tudja, mégis megesik.
18 hónappal ezelőtt 4 lejárt tanúsítványunk volt egy hónap alatt. 4. Senki sem tett rá oda, a Cert-bot hibákat néha elnézték, és a nagy része "majd megcsinálom holnap" állapotba került. Ezt a káoszt egy hét alatt megszüntettük.
A megoldás
- Central cert-manager: egy helyről menedzseli az összes tanúsítványt
- Cron per óra: ellenőrzi, hogy van-e 30 napnál rövidebb lejáratú
- Dashboard: minden tanúsítvány lejárati dátuma egy képernyőn, színkódolt
- Automatikus renewal 14 nappal a lejárat előtt, minden tanúsítványra
- Ha sikertelen: P1 alert, nem várunk holnapig
Az elmúlt 18 hónapban 0 lejárt tanúsítvány. 2 sikertelen renewal-unk volt (DNS provider rate-limit), mindkettő 45 percen belül megoldva. A dashboard kritikus: az ember nem emlékszik 83 tanúsítvány lejárati dátumára, de egy dashboard látja.