tools/salt-install/config_examples/single_host/single_hostname/states/snakeoil_certs.sls

   1 # Copyright (C) The Arvados Authors. All rights reserved.
   2 #
   3 # SPDX-License-Identifier: Apache-2.0
   4
   5 # WARNING: This file is only used for testing purposes, and should not be used
   6 # in a production environment
   7
   8 {%- set curr_tpldir = tpldir %}
   9 {%- set tpldir = 'arvados' %}
  10 {%- from "arvados/map.jinja" import arvados with context %}
  11 {%- set tpldir = curr_tpldir %}
  12
  13 {%- set orig_cert_dir = salt['pillar.get']('extra_custom_certs_dir', '/srv/salt/certs')  %}
  14
  15 include:
  16   - nginx.passenger
  17   - nginx.config
  18   - nginx.service
  19
  20 # Debian uses different dirs for certs and keys, but being a Snake Oil example,
  21 # we'll keep it simple here.
  22 {%- set arvados_ca_cert_file = '/etc/ssl/private/arvados-snakeoil-ca.pem' %}
  23 {%- set arvados_ca_key_file = '/etc/ssl/private/arvados-snakeoil-ca.key' %}
  24
  25 {%- if grains.get('os_family') == 'Debian' %}
  26   {%- set arvados_ca_cert_dest = '/usr/local/share/ca-certificates/arvados-snakeoil-ca.crt' %}
  27   {%- set update_ca_cert = '/usr/sbin/update-ca-certificates' %}
  28   {%- set openssl_conf = '/etc/ssl/openssl.cnf' %}
  29
  30 extra_snakeoil_certs_ssl_cert_pkg_installed:
  31   pkg.installed:
  32     - name: ssl-cert
  33     - require_in:
  34       - sls: postgres
  35
  36 {%- else %}
  37   {%- set arvados_ca_cert_dest = '/etc/pki/ca-trust/source/anchors/arvados-snakeoil-ca.pem' %}
  38   {%- set update_ca_cert = '/usr/bin/update-ca-trust' %}
  39   {%- set openssl_conf = '/etc/pki/tls/openssl.cnf' %}
  40
  41 {%- endif %}
  42
  43 extra_snakeoil_certs_dependencies_pkg_installed:
  44   pkg.installed:
  45     - pkgs:
  46       - openssl
  47       - ca-certificates
  48
  49 # Remove the RANDFILE parameter in openssl.cnf as it makes openssl fail in Ubuntu 18.04
  50 # Saving and restoring the rng state is not necessary anymore in the openssl 1.1.1
  51 # random generator, cf
  52 #   https://github.com/openssl/openssl/issues/7754
  53 #
  54 extra_snakeoil_certs_file_comment_etc_openssl_conf:
  55   file.comment:
  56     - name: /etc/ssl/openssl.cnf
  57     - regex: ^RANDFILE.*
  58     - onlyif: grep -q ^RANDFILE /etc/ssl/openssl.cnf
  59     - require_in:
  60       - cmd: extra_snakeoil_certs_arvados_snakeoil_ca_cmd_run
  61
  62 extra_snakeoil_certs_arvados_snakeoil_ca_cmd_run:
  63   # Taken from https://github.com/arvados/arvados/blob/master/tools/arvbox/lib/arvbox/docker/service/certificate/run
  64   cmd.run:
  65     - name: |
  66         # These dirs are not too CentOS-ish, but this is a helper script
  67         # and they should be enough
  68         mkdir -p /etc/ssl/certs/ /etc/ssl/private/ && \
  69         openssl req \
  70           -new \
  71           -nodes \
  72           -sha256 \
  73           -x509 \
  74           -subj "/C=CC/ST=Some State/O=Arvados Formula/OU=arvados-formula/CN=snakeoil-ca-{{ arvados.cluster.name }}.{{ arvados.cluster.domain }}" \
  75           -extensions x509_ext \
  76           -config <(cat {{ openssl_conf }} \
  77                   <(printf "\n[x509_ext]\nbasicConstraints=critical,CA:true,pathlen:0\nkeyUsage=critical,keyCertSign,cRLSign")) \
  78           -out {{ arvados_ca_cert_file }} \
  79           -keyout {{ arvados_ca_key_file }} \
  80           -days 365 && \
  81         cp {{ arvados_ca_cert_file }} {{ arvados_ca_cert_dest }} && \
  82         {{ update_ca_cert }}
  83     - unless:
  84       - test -f {{ arvados_ca_cert_file }}
  85       - openssl verify -CAfile {{ arvados_ca_cert_file }} {{ arvados_ca_cert_file }}
  86     - require:
  87       - pkg: extra_snakeoil_certs_dependencies_pkg_installed
  88
  89 {%- set arvados_cert_file = orig_cert_dir ~ '/arvados-__HOSTNAME_EXT__.pem' %}
  90 {%- set arvados_csr_file = orig_cert_dir ~ '/arvadoos-__HOSTNAME_EXT__.csr' %}
  91 {%- set arvados_key_file = orig_cert_dir ~ '/arvados-__HOSTNAME_EXT__.key' %}
  92
  93 extra_snakeoil_certs_arvados_snakeoil_cert___HOSTNAME_EXT___cmd_run:
  94   cmd.run:
  95     - name: |
  96         cat > /tmp/__HOSTNAME_EXT__.openssl.cnf <<-CNF
  97         [req]
  98         default_bits = 2048
  99         prompt = no
 100         default_md = sha256
 101         distinguished_name = dn
 102         req_extensions = rext
 103         [rext]
 104         subjectAltName = @alt_names
 105         [dn]
 106         C   = CC
 107         ST  = Some State
 108         L   = Some Location
 109         O   = Arvados Provision Example Single Host / Single Hostname
 110         OU  = arvados-provision-example-single_host_single_hostname
 111         CN  = {{ arvados.cluster.name }}.{{ arvados.cluster.domain }}
 112         emailAddress = admin@{{ arvados.cluster.name }}.{{ arvados.cluster.domain }}
 113         [alt_names]
 114         {%- for entry in grains.get('ipv4') %}
 115         IP.{{ loop.index }} = {{ entry }}
 116         {%- endfor %}
 117         DNS.1 = {{ arvados.cluster.name }}.{{ arvados.cluster.domain }}
 118         DNS.2 = '__HOSTNAME_EXT__'
 119         DNS.3 = '__HOSTNAME_INT__'
 120         CNF
 121
 122         # The req
 123         openssl req \
 124           -config /tmp/__HOSTNAME_EXT__.openssl.cnf \
 125           -new \
 126           -nodes \
 127           -sha256 \
 128           -out {{ arvados_csr_file }} \
 129           -keyout {{ arvados_key_file }} > /tmp/snake_oil_certs.__HOSTNAME_EXT__.output 2>&1 && \
 130         # The cert
 131         openssl x509 \
 132           -req \
 133           -days 365 \
 134           -in {{ arvados_csr_file }} \
 135           -out {{ arvados_cert_file }} \
 136           -extfile /tmp/__HOSTNAME_EXT__.openssl.cnf \
 137           -extensions rext \
 138           -CA {{ arvados_ca_cert_file }} \
 139           -CAkey {{ arvados_ca_key_file }} \
 140           -set_serial $(date +%s) && \
 141         chmod 0644 {{ arvados_cert_file }} && \
 142         chmod 0640 {{ arvados_key_file }}
 143     - unless:
 144       - test -f {{ arvados_key_file }}
 145       - openssl verify -CAfile {{ arvados_ca_cert_file }} {{ arvados_cert_file }}
 146     - require:
 147       - pkg: extra_snakeoil_certs_dependencies_pkg_installed
 148       - cmd: extra_snakeoil_certs_arvados_snakeoil_ca_cmd_run
 149     - require_in:
 150       - file: extra_custom_certs_file_copy_arvados-__HOSTNAME_EXT__.pem
 151       - file: extra_custom_certs_file_copy_arvados-__HOSTNAME_EXT__.key
 152
 153   {%- if grains.get('os_family') == 'Debian' %}
 154 extra_snakeoil_certs_certs_permissions___HOSTNAME_EXT___cmd_run:
 155   file.managed:
 156     - name: {{ arvados_key_file }}
 157     - owner: root
 158     - group: ssl-cert
 159     - require:
 160       - cmd: extra_snakeoil_certs_arvados_snakeoil_cert___HOSTNAME_EXT___cmd_run
 161       - pkg: extra_snakeoil_certs_ssl_cert_pkg_installed
 162   {%- endif %}