TLSA-Records in Ruby, online
Wie viele andere verwende ich für private Seiten Let’s
Encrypt, um SSL-Zertifikate zu beziehen. Gleichzeitig
publiziere ich im DNS sog. TLSA-Records,
um zusätzlich die Sicherheit zu erhöhen. Wenn jetzt ein automatisches Update der
Zertifikate statt findet, dann ändert sich ja zumindest mal der Record vom Typ
3 1 1
(End Entity, Public Key, SHA-256). Der Eintrag vom Typ 2 1 1
(Trust
Anchor, i.e. CA, Public Key, SHA-256) bliebt wahrscheinlich gleich.
Es bietet sich also an, den Kram selbst zu berechnen. Das folgende Stück Ruby hilft dabei:
|
|
Ich habe das ganze jetzt mal in ein Puppet-Modul gepackt, ein bißchen Logging-Und Konfiguration-Code außenrum geschrieben und schaue jetzt mal, wie das so funktioniert. Falls jemand den Code will, einfach melden.