Tento tutoriál ukazuje instalaci softwaru pro správu certifikátů Lemur na Ubuntu 16.04 LTS. Lemur je open source projekt NetFlix a používá se k generování certifikátů pro zákazníky/klienty. V tomto článku nastavíme virtuální prostředí založené na Pythonu, nainstalujeme požadované balíčky, nakonfigurujeme základní webovou službu a zpřístupníme dashboard správce certifikátů. Předpokládá se, že máte spuštěnou čistou instanci Ubuntu 16.04 LTS, např. v cloudu (jako AWS) nebo v místním virtualizovaném prostředí.
Závislosti
Některé základní předpoklady, které budete potřebovat ke spuštění Lemur:
- Operační systém Linux (v tomto kurzu je použito Ubuntu 16.04 LTS).
- Python 3.5 nebo vyšší.
- PostgreSQL 9.4 nebo vyšší.
- Webový server Nginx.
Instalace závislostí sestavení
Když instalujete Lemur na holý operační systém Ubuntu, budete si muset vzít následující balíčky, aby mohl Lemur správně vytvářet své závislosti:
.. code-block::bash
sudo apt-get update
sudo apt-get install nodejs nodejs-legacy python-pip python-dev python3-dev libpq-dev build-essential libssl-dev libffi-dev libsasl2-dev libldap2-dev nginx git supervisor npm postgresql
Výše uvedený příkaz nainstaluje databázové balíčky nodejs, pip, nginx, git, npm a PostgreSQL.
Poznámka:Instalace uzlu správce balíčků může vytvořit nodejs bin na cestě /usr/bin/nodejs místo /usr/bin/node. Spusťte následující příkaz a vytvořte měkký odkaz na požadované cestě.
sudo ln -s /user/bin/nodejs /usr/bin/node
Nyní nainstalujte virtualenv zabalit pomocí následujícího příkazu.
sudo pip install -U virtualenv
Nastavení prostředí pro sestavení
V této příručce bude Lemur nainstalován v /www adresář, takže musíte nejprve vytvořit tento adresář:
sudo mkdir /www
cd /www
Nyní naklonujte Lemur nejnovější zdroj v právě vytvořeném adresáři a dejte si oprávnění k zápisu (lemur uživatel je vytvořený v tomto kurzu):
sudo useradd lemur
sudo passwd lemur
sudo mkdir /home/lemur
sudo chown lemur:lemur /home/lemur
sudo git klon https://github.com/Netflix/lemur
sudo chown -R lemur lemur/
Vytvořte také virtuální prostředí, aktivujte jej a vstupte do Lemurova adresáře:
su lemur
virtualenv -p python3 lemur
source /www/lemur/bin/activate
cd lemur
Aktivací prostředí se upraví PATH environment variable , takže věci jako pip se nyní standardně instalují do virtualenv.
Instalace Lemur ze zdroje
Po nastavení systému se ujistěte, že jste ve virtualenv pro spuštění příkazu "make release".
which python
A spusťte následující příkaz pro instalaci npm závislosti a také kompilovat statická aktiva.
make release
Vytvoření konfigurace Lemur
Než spustíme Lemur, musíme pro něj vytvořit platný konfigurační soubor. Rozhraní příkazového řádku Lemur obsahuje jednoduchý příkaz, který vás rychle zprovozní. Následující příkaz vytvoří výchozí konfiguraci pod "~/.lemur/lemur.conf.py “ a toto umístění lze určit předáním cesty config_path parametr do create_config příkaz.
lemur create_config
Aktualizovat konfiguraci Lemur
Po vytvoření budete muset konfigurační soubor aktualizovat informacemi o vašem prostředí, jako je například databáze, se kterou chcete hovořit, kde jsou uloženy klíče atd.
vi ~/.lemur/lemur.conf.py
SQLALCHEMY_DATABASE_URI řetězec Postgresql lze rozdělit takto:
"postgresql://userame:[email protected]
Níže uvedený snímek obrazovky ukazuje, že v konfiguračním souboru jsou vyplněny následující požadované proměnné:
LEMUR_SECURITY_TEAM_EMAIL
LEMUR_DEFAULT_COUNTRY
LEMUR_DEFAULT_STATE
LEMUR_DEFAULT_LOCATION
LEMUR_DEFAULT_ORGANIZATION
LEMUR_DEFAULT_ORGANIZATIONAL_UNIT
Nastavení databáze Postgres
Pro výrobu se doporučuje specializovaná databáze. V této příručce budu předpokládat, že postgres byl nainstalován a je na stejném počítači, na kterém je nainstalován Lemur.
Nejprve nastavte heslo pro uživatele postgres. Pro tento návod použijeme lemura jako příklad, ale měli byste použít heslo databáze vygenerované Lemurem:
sudo -u postgres -i
psql
postgres=# CREATE USER lemur WITH PASSWORD 'lemur';
Až budete úspěšní, zadejte CTRL-D pro ukončení prostředí Postgres.
Dále vytvoříme naši novou databázi:
sudo -u postgres createdb lemur
Inicializace správce certifikátů Lemur
Lemur poskytuje užitečný příkaz, který za vás inicializuje vaši databázi. Vytvoří výchozího uživatele (lemur ), který Lemur používá k přidružení certifikátů, které aktuálně nemají vlastníka. Nejčastěji se jedná o případ, kdy Lemur objevil certifikáty ze zdroje třetí strany. Toto je také výchozí uživatel, kterého lze použít ke správě Lemur.
Kromě vytvoření nového uživatele vytvoří Lemur také několik výchozích e-mailových upozornění. Tato oznámení jsou založena na několika možnostech konfigurace, jako je LEMUR_SECURITY_TEAM_EMAIL . V zásadě zaručují, že každý certifikát v rámci Lemur odešle bezpečnostnímu týmu jedno upozornění o vypršení platnosti.
Poznamenejte si použité heslo, protože bude použito při prvním přihlášení do uživatelského rozhraní Lemur.
cd /www/lemur/lemur
lemur init
Následující snímek ukazuje výstup příkazu "lemur init".
Konfigurace webového serveru NGINX pro Lemur
Ve výchozím nastavení běží Lemur na portu 8000. I když toto změníte, za normálních podmínek se nebudete moci svázat s portem 80. Abyste tomu zabránili (a abyste se vyhnuli spuštění Lemuru jako privilegovaného uživatele, což byste neměli ), potřebujeme nastavit jednoduchý webový proxy. Existuje mnoho různých webových serverů, které k tomu můžete použít, my máme rádi a doporučujeme Nginx.
Přidejte následující řádky do konfiguračního souboru "/etc/nginx/sites-available/default ".
."location /api {
proxy_pass http://127.0.0.1:8000;
proxy_next_upstream error timeout invalid_header http_500 http_502 http_503 http_504;
proxy_redirect off;
proxy_buffering off;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
} location / {
root /www/lemur/lemur/static/dist;
include mime.types;
index index.html;
} 
Po provedení těchto změn restartujte službu Nginx a použijte je:
sudo service nginx restart
Spuštění webové služby
Lemur poskytuje vestavěný webový server (poháněný gunicornem a eventletem), který vás rychle dostane ze země. Pro spuštění webového serveru jednoduše použijte "lemur start ".
." 
Můžete se přihlásit pomocí výchozího uživatele vytvořeného během inicializace Lemur nebo jakéhokoli jiného uživatele, kterého jste vytvořili. Nyní byste měli být schopni otestovat webovou službu na adrese http://192.168.10.51:8000/ . (192.168.10.51 je IP adresa stroje Lemur).
Hlavní panel lemura je zobrazen výše. Používá se k vytváření certifikátů pomocí vlastních nebo kořenových certifikačních autorit.
Závěr
V tomto tutoriálu je správce certifikátů Lemur nainstalován na nejnovější verzi Ubuntu LTS. Účelem Lemuru je vytvářet a spravovat certifikáty. Podporuje také různé role uživatelů.