Saltstack 自动批量更新 SSL 证书，你学会了吗？

如果这个域名下有很多服务器，自证书我们一台一台手动登录机器然后更新证书的动批话效率是非常低的
，所以我们可以通过一些自动化运维工具去完成这些大量重复的量更工作 。

像 ansible、新S学puppet 这类工具也可以实现同样的自证书效果，但是动批咸鱼这边主要用的还是 saltstack，所以今天介绍一些如何通过 saltstack 去批量更新 SSL 证书。高防服务器量更

首先我们在 salt-master 的新S学主目录下创建一个新的目录 ，用于存放 SSL 证书和脚本，自证书我自己机器上的动批 master 主目录为 /home/salt/

复制mkdir -pv /home/salt/ssl_update/ssl1.

然后把 SSL 证书放在 /home/salt/ssl_update/ssl 目录下，如果有多个域名的量更话需要在下面创建多个对应的目录

复制[root@localhost]# tree /home/salt/ssl_update/ /home/salt/ssl_update ├── rollback.sls ├── update.sls ├── ssl │ ├── domain1 │ │ ├── server.key │ │ └── server.pem │ ├── domain2 │ │ ├── server.key │ │ └── server.pem │ └── domain3 ├── server.key └── server.pem1.2.3.4.5.6.7.8.9.10.11.12.13.14.

接下来我们开始编写 saltstack 状态脚本 ：

update.sls 负责更新证书rollback.sls 负责回滚证书

因为之前遇到过更新证书之后由于证书链不完整导致证书失效 ，然后不得不紧急手动还原之前的新S学证书
。

所以觉得有必要做一个回滚操作，自证书这样新证书有问题的动批时候能够及时自动还原。亿华云

我们先来看一下负责更新证书的量更 update.sls，这个脚本分成了三个模块 ：

SSL 证书备份SSL 证书更新Nginx 重启 复制{ % set domain = doamin1 %} { % set ssl_dir = /usr/local/nginx/ssl %} { % set dst_dir = ssl_dir + / + domain %} { % set bak_dir = /opt/backup/ssl/ + domain %} backup_ssl: cmd.run: - name: "year=$(openssl x509 -in { { dst_dir }}/server.pem -noout -dates|grep Before|awk { print $4}) && mkdir -p { { bak_dir }}/${ year} && \\cp { { dst_dir}}/* { { bak_dir }}/${ year}" ssl_update: file.recurse: - source: salt://ssl_check/ssl/{ { domain}} - name: { { dst_dir }} - require: - cmd: backup_ssl nginx_reload: cmd.run: - name: /usr/local/nginx/sbin/nginx -t && /usr/local/nginx/sbin/nginx -s reload - require: - file: ssl_update1.2.3.4.5.6.7.8.9.10.11.12.13.14.15.16.17.18.19.20.21.22.

首先是变量的定义

复制{ % set domain = doamin1 %} { % set ssl_dir = /usr/local/nginx/ssl %} { % set dst_dir = ssl_dir + / + domain %} { % set bak_dir = /opt/backup/ssl/ + domain %}1.2.3.4. domain: 设置域名为 doamin1 。ssl_dir: 设置 SSL 证书存放目录为 /usr/local/nginx/ssl
。dst_dir: 设置 SSL 证书实际存放路径为 ssl_dir + / + domain。bak_dir: 设置备份目录为 /opt/backup/ssl/ + domain。

然后就是 SSL 证书备份。首先创建名为 backup_ssl 的命令执行模块 ，通过 cmd.run 执行 shell 命令 ，这个命令通过 OpenSSL 获取证书的云计算有效期限 ，然后将证书拷贝到备份目录，以年份为子目录。

复制backup_ssl: cmd.run: - name: "year=$(openssl x509 -in { { dst_dir }}/server.pem -noout -dates|grep Before|awk { print $4}) && mkdir -p { { bak_dir }}/${ year} && \\cp { { dst_dir}}/* { { bak_dir }}/${ year}"1.2.3.

这条命令看着很长，其实可以拆解成

复制# 获取证书有效期限然后赋值给 year 变量 year=$(openssl x509 -in { { dst_dir }}/server.pem -noout -dates|grep Before|awk { print $4}) # 创建带年份后缀的备份目录 mkdir -p { { bak_dir }}/${ year} # 把当前的证书备份到备份目录中 cp { { dst_dir}}/* { { bak_dir }}/${ year}1.2.3.4.5.6.7.8.

接着我们开始更新 SSL 证书。创建名为 ssl_update 的文件递归模块，然后通过 file.recurse 把 salt-master 上的证书复制到指定服务器目录

复制ssl_update: file.recurse: - source: salt://ssl_check/ssl/{ { domain}} - name: { { dst_dir }} - require: - cmd: backup_ssl1.2.3.4.5.6.

更新完之后我们还要对指定服务器上的 Nginx 服务进行配置检查并重启一下

复制nginx_reload: cmd.run: - name: /usr/local/nginx/sbin/nginx -t && /usr/local/nginx/sbin/nginx -s reload - require: - file: ssl_update1.2.3.4.5.

然后我们看一下负责回滚证书的 rollback.sls，这个脚本分成了两个个模块：

证书回滚Nginx 重启 复制{ % set domain = doamin1 %} { % set ssl_dir = /usr/local/nginx/ssl %} { % set dst_dir = ssl_dir + / + domain %} { % set bak_dir = /opt/backup/ssl/ + domain %} { % set year = salt[pillar.get](year) or salt[cmd.run](echo $(date +%Y) - 1| bc) %} rollback: cmd.run: - name: "cp { { bak_dir }}/$(({ { year }}))/* { { dst_dir }}" start: cmd.run: - name: /usr/local/nginx/sbin/nginx -t && /usr/local/nginx/sbin/nginx -s reload - require: - cmd: rollback1.2.3.4.5.6.7.8.9.10.11.12.13.14.15.16.

设置变量 year 的服务器租用命令有点复杂 ，我们来看一下

复制{ % set year = salt[pillar.get](year) or salt[cmd.run](echo $(date +%Y) - 1| bc) %}1. salt[pillar.get](year): 尝试从 Salt Pillar 中获取名为 year 的变量的值
。or: 如果前面的操作未成功（即 year 在 Pillar 中不存在） ，or 后面的表达式将会被执行
。salt[cmd.run](echo $(date +%Y) - 1| bc): 这部分代码使用 SaltStack 的 cmd.run 模块执行一个 shell 命令，该命令通过 date 命令获取当前年份，然后减去 1 得到前一年的年份。bc 是源码下载一个计算器工具
，用于执行数学运算。总结一下：首先从 Salt Pillar 中查找，如果找不到则使用 shell 命令获取前一年的年份 ，确保在没有 Pillar 配置的情况下也有一个默认的年份

然后就是 SSL 证书回滚。创建名为 rollback 的命令执行模块，通过 cmd.run 执行 shell 命令

该命令通过将指定服务器备份目录中指定年份的证书拷贝到 SSL 证书目录实现回滚 。

复制rollback: cmd.run: - name: "cp { { bak_dir }}/$(({ { year }}))/* { { dst_dir }}"1.2.3.

回滚完之后对指定服务器上的模板下载 Nginx 服务进行配置检查并重启一下，上面内容有，这里就不再介绍了 。