OpenSSL Heartbleed対策、Chef-Server11のアップグレード

OpenSSL Heartbleed対策、Chef-Server11のアップグレード

http://heartbleed.com というわけですが。

これに合わせてOpenSource Chef-Serverの更新(11.0.12)が提供開始されました。

Chef Server Heartbleed (CVE-2014-0160) Releases | Chef Blog

本体の更新

Chef-Serverのリリース記事には更新方法への案内がありませんが、本体の更新は方法は公式ドキュメントがあるのでそちらを参照してください。

Upgrade to Newer Versions of Chef Server 11.x

MarketPlace AMI版Chef-Serverの場合に事前作業

同梱のOhaiが7へアップグレードされた事への対応として、パッケージのアップグレード前に/etc/chef-server/chef-server.rb ファイルを編集する必要があります。

対象バージョンは11.0.12未満です。

5行目を次のように変更します。

server_name = ohai.cloud[:public_ipv4]
server_name = ohai[:cloud][:public_ipv4]

12行目を次のように変更します。

chef_server_webui['web_ui_admin_default_password'] = ohai.ec2[:instance_id]
chef_server_webui['web_ui_admin_default_password'] = ohai[:ec2][:instance_id]

SSLサーバ証明書の入れ替え

Chef-ServerスタックはNginxがロードバランサ役をしています。nginxの設定は次の場所にあります。

/var/opt/chef-server/nginx/etc/chef_https_lb.conf

キーペア情報はこんな感じ。

  ssl_certificate /var/opt/chef-server/nginx/ca/xxx.xxx.xxx.xxx.crt;
  ssl_certificate_key /var/opt/chef-server/nginx/ca/xxx.xxx.xxx.xxx.key;

消す

入れ替えに悩む必要は特にありません。あるべき状態を崩してから収束をかけるだけです。

では、本来あるべきファイル達を消しちゃいましょう。

rm /var/opt/chef-server/nginx/ca/*

再作成させてリスタート

では再収束しましょう。消したキーペアはそこにあるべきかつ、機能する状態で設置されているという状態へ。

chef-server-ctl reconfigure


-- snip --

  * file[/var/opt/chef-server/nginx/ca/54.196.59.133.key] action create
    - create new file /var/opt/chef-server/nginx/ca/54.196.59.133.key
    - update content in file /var/opt/chef-server/nginx/ca/54.196.59.133.key from none to a7e726
        --- /var/opt/chef-server/nginx/ca/54.196.59.133.key 2014-04-10 04:27:09.130359856 +0000
        +++ /tmp/.54.196.59.133.key20140410-4653-1tgc4lt    2014-04-10 04:27:09.130359856 +0000
        @@ -0,0 +1,27 @@
        +-----BEGIN RSA PRIVATE KEY-----
        +MIIEowIBAAKCAQEAtVJ96Mn8pkYby+OPStyuKPxAx4vOjzNj9GtaZVtWCTKauzFX
        +va0PbqXuiEg1HUvDWHytSAt+mGtPZMIwOdOpHb5dVjGcHa2YGdWbFeIz26uc3ZTD
        +OB86hcFfBfmnUcNAGNwrtv1G8g+EeWE5zHxA07BAmyYQ9FQb9LchUtXQUmZAmRr2
-- snip --

キーペアが無いので作られました。

chef-server-ctl restart

これで完了です。

Author Profile

sawanoboly@higanworks

sawanoboly@higanworksについて

HiganWorks LLCの代表、クラウドを利用したインターネットアプリケーションのプラットフォーム構築・運用の自動化をテーマに活動しています。OpsCode承認コントリビュータ等、サービスに関連するオープンソースコミュニティにも参加しています。