cookbooks/ssl/resources/certificate.rb

   1 #
   2 # Cookbook Name:: ssl
   3 # Resource:: ssl_certificate
   4 #
   5 # Copyright 2017, OpenStreetMap Foundation
   6 #
   7 # Licensed under the Apache License, Version 2.0 (the "License");
   8 # you may not use this file except in compliance with the License.
   9 # You may obtain a copy of the License at
  10 #
  11 # https://www.apache.org/licenses/LICENSE-2.0
  12 #
  13 # Unless required by applicable law or agreed to in writing, software
  14 # distributed under the License is distributed on an "AS IS" BASIS,
  15 # WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
  16 # See the License for the specific language governing permissions and
  17 # limitations under the License.
  18 #
  19
  20 default_action :create
  21
  22 property :certificate, String, :name_property => true
  23 property :domains, [String, Array], :required => true
  24
  25 action :create do
  26   node.default[:letsencrypt][:certificates][new_resource.certificate] = {
  27     :domains => Array(new_resource.domains)
  28   }
  29
  30   if letsencrypt
  31     certificate = letsencrypt["certificate"]
  32     key = letsencrypt["key"]
  33   end
  34
  35   if certificate
  36     file "/etc/ssl/certs/#{new_resource.certificate}.pem" do
  37       owner "root"
  38       group "root"
  39       mode 0o444
  40       content certificate
  41       backup false
  42       manage_symlink_source false
  43       force_unlink true
  44     end
  45
  46     file "/etc/ssl/private/#{new_resource.certificate}.key" do
  47       owner "root"
  48       group "ssl-cert"
  49       mode 0o440
  50       content key
  51       backup false
  52       manage_symlink_source false
  53       force_unlink true
  54     end
  55   else
  56     alt_names = new_resource.domains.collect { |domain| "DNS:#{domain}" }
  57
  58     openssl_x509_certificate "/etc/ssl/certs/#{new_resource.certificate}.pem" do
  59       key_file "/etc/ssl/private/#{new_resource.certificate}.key"
  60       owner "root"
  61       group "ssl-cert"
  62       mode 0o640
  63       org "OpenStreetMap"
  64       email "operations@osmfoundation.org"
  65       common_name new_resource.domains.first
  66       subject_alt_name alt_names
  67       extensions "keyUsage" => { "values" => %w[digitalSignature keyEncipherment], "critical" => true },
  68                  "extendedKeyUsage" => { "values" => %w[serverAuth clientAuth], "critical" => true }
  69     end
  70   end
  71 end
  72
  73 action :delete do
  74   file "/etc/ssl/certs/#{new_resource.certificate}.pem" do
  75     action :delete
  76   end
  77
  78   file "/etc/ssl/private/#{new_resource.certificate}.key" do
  79     action :delete
  80   end
  81 end
  82
  83 action_class do
  84   def letsencrypt
  85     @letsencrypt ||= search(:letsencrypt, "id:#{new_resource.certificate}").first
  86   end
  87 end