🥇Автоматизиране на Let's Encrypt за управление на SSL сертификати с помощта на DNS-01 предизвикателство и AWS

Публикацията описва стъпки за автоматизиране на управлението на SSL сертификати от Да шифроваме CA използване DNS-01 предизвикателство и AWS.

acme-dns-route53 е инструмент, който ще ни позволи да приложим тази функция. Може да работи със SSL сертификати от Let's Encrypt, да ги записва в Amazon Certificate Manager, да използва Route53 API за прилагане на предизвикателството DNS-01 и накрая да изпраща известия към SNS. IN acme-dns-route53 Има и вградена функционалност за използване в AWS Lambda и това е, от което се нуждаем.

Тази статия е разделена на 4 раздела:

създаване на zip файл;
създаване на IAM роля;
създаване на ламбда функция, която се изпълнява acme-dns-route53;
създаване на таймер CloudWatch, който задейства функция 2 пъти на ден;

Забележка: Преди да започнете, трябва да инсталирате GoLang 1.9+ и AWS CLI

Създаване на zip файл

acme-dns-route53 е написан на GoLang и поддържа версия не по-ниска от 1.9.

Трябва да създадем zip файл с двоичен файл acme-dns-route53 вътре. За да направите това, трябва да инсталирате acme-dns-route53 от хранилището на GitHub с помощта на командата go install:

$ env GOOS=linux GOARCH=amd64 go install github.com/begmaroman/acme-dns-route53

Двоичният файл е инсталиран в $GOPATH/bin указател. Моля, имайте предвид, че по време на инсталацията посочихме две променени среди: GOOS=linux и GOARCH=amd64. Те поясняват на компилатора Go, че трябва да създаде двоичен файл, подходящ за Linux OS и amd64 архитектура - това е, което работи на AWS.
AWS очаква нашата програма да бъде внедрена в zip файл, така че нека да създадем acme-dns-route53.zip архив, който ще съдържа новоинсталирания двоичен файл:

$ zip -j ~/acme-dns-route53.zip $GOPATH/bin/acme-dns-route53

Забележка: Двоичният файл трябва да е в корена на zip архива. За това използваме -j знаме.

Сега нашият zip псевдоним е готов за внедряване, остава само да създадем роля с необходимите права.

Създаване на IAM роля

Трябва да настроим IAM роля с правата, изисквани от нашата ламбда по време на нейното изпълнение.
Нека наречем това политика lambda-acme-dns-route53-executor и веднага й дават основна роля AWSLambdaBasicExecutionRole. Това ще позволи на нашата ламбда да работи и да записва регистрационни файлове в услугата AWS CloudWatch.
Първо създаваме JSON файл, който описва нашите права. Това по същество ще позволи на ламбда услугите да използват ролята lambda-acme-dns-route53-executor:

$ touch ~/lambda-acme-dns-route53-executor-policy.json

Съдържанието на нашия файл е както следва:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogGroup"
            ],
            "Resource": "arn:aws:logs:<AWS_REGION>:<AWS_ACCOUNT_ID>:*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "logs:PutLogEvents",
                "logs:CreateLogStream"
            ],
            "Resource": "arn:aws:logs:<AWS_REGION>:<AWS_ACCOUNT_ID>:log-group:/aws/lambda/acme-dns-route53:*"
        },
        {
            "Sid": "",
            "Effect": "Allow",
            "Action": [
                "route53:ListHostedZones",
                "cloudwatch:PutMetricData",
                "acm:ImportCertificate",
                "acm:ListCertificates"
            ],
            "Resource": "*"
        },
        {
            "Sid": "",
            "Effect": "Allow",
            "Action": [
                "sns:Publish",
                "route53:GetChange",
                "route53:ChangeResourceRecordSets",
                "acm:ImportCertificate",
                "acm:DescribeCertificate"
            ],
            "Resource": [
                "arn:aws:sns:${var.region}:<AWS_ACCOUNT_ID>:<TOPIC_NAME>",
                "arn:aws:route53:::hostedzone/*",
                "arn:aws:route53:::change/*",
                "arn:aws:acm:<AWS_REGION>:<AWS_ACCOUNT_ID>:certificate/*"
            ]
        }
    ]
}

Сега нека изпълним командата aws iam create-role за създаване на роля:

$ aws iam create-role --role-name lambda-acme-dns-route53-executor 
 --assume-role-policy-document ~/lambda-acme-dns-route53-executor-policy.json

Забележка: запомнете правилото ARN (име на ресурс на Amazon) - ще ни трябва в следващите стъпки.

Роля lambda-acme-dns-route53-executor създаден, сега трябва да посочим разрешения за него. Най-лесният начин да направите това е да използвате командата aws iam attach-role-policy, преминаваща политика ARN AWSLambdaBasicExecutionRole както следва:

$ aws iam attach-role-policy --role-name lambda-acme-dns-route53-executor 
--policy-arn arn:aws:iam::aws:policy/service-role/AWSLambdaBasicExecutionRole

Забележка: може да се намери списък с други политики тук.

Създаване на ламбда функция, която се изпълнява acme-dns-route53

Ура! Сега можете да внедрите нашата функция в AWS с помощта на командата aws lambda create-function. Ламбда трябва да бъде конфигуриран с помощта на следните променливи на средата:

AWS_LAMBDA - става ясно acme-dns-route53 че изпълнението се извършва вътре в AWS Lambda.
DOMAINS — списък с домейни, разделени със запетаи.
LETSENCRYPT_EMAIL - съдържа Да шифроваме имейл.
NOTIFICATION_TOPIC — име на тема за известяване на SNS (по избор).
STAGING - на стойността 1 използва се сценична среда.
1024 MB - ограничение на паметта, може да се променя.
900 секунди (15 минути) — таймаут.
acme-dns-route53 — името на нашия двоичен файл, който е в архива.
fileb://~/acme-dns-route53.zip — пътя към архива, който създадохме.

Сега нека внедрим:

$ aws lambda create-function 
 --function-name acme-dns-route53 
 --runtime go1.x 
 --role arn:aws:iam::<AWS_ACCOUNT_ID>:role/lambda-acme-dns-route53-executor 
 --environment Variables="{AWS_LAMBDA=1,DOMAINS="example1.com,example2.com",[email protected],STAGING=0,NOTIFICATION_TOPIC=acme-dns-route53-obtained}" 
 --memory-size 1024 
 --timeout 900 
 --handler acme-dns-route53 
 --zip-file fileb://~/acme-dns-route53.zip

 {
     "FunctionName": "acme-dns-route53", 
     "LastModified": "2019-05-03T19:07:09.325+0000", 
     "RevisionId": "e3fadec9-2180-4bff-bb9a-999b1b71a558", 
     "MemorySize": 1024, 
     "Environment": {
         "Variables": {
            "DOMAINS": "example1.com,example2.com", 
            "STAGING": "1", 
            "LETSENCRYPT_EMAIL": "[email protected]", 
            "NOTIFICATION_TOPIC": "acme-dns-route53-obtained", 
            "AWS_LAMBDA": "1"
         }
     }, 
     "Version": "$LATEST", 
     "Role": "arn:aws:iam::<AWS_ACCOUNT_ID>:role/lambda-acme-dns-route53-executor", 
     "Timeout": 900, 
     "Runtime": "go1.x", 
     "TracingConfig": {
         "Mode": "PassThrough"
     }, 
     "CodeSha256": "+2KgE5mh5LGaOsni36pdmPP9O35wgZ6TbddspyaIXXw=", 
     "Description": "", 
     "CodeSize": 8456317,
"FunctionArn": "arn:aws:lambda:us-east-1:<AWS_ACCOUNT_ID>:function:acme-dns-route53", 
     "Handler": "acme-dns-route53"
 }

Създаване на таймер CloudWatch, който задейства функция 2 пъти на ден

Последната стъпка е да настроите cron, който извиква нашата функция два пъти на ден:

създайте правило за CloudWatch със стойността schedule_expression.
създайте цел на правило (какво трябва да се изпълни), като посочите ARN на ламбда функцията.
дайте разрешение на правилото да извика ламбда функцията.

По-долу прикачих моята конфигурация на Terraform, но всъщност това се прави много просто с помощта на AWS конзолата или AWS CLI.

# Cloudwatch event rule that runs acme-dns-route53 lambda every 12 hours
resource "aws_cloudwatch_event_rule" "acme_dns_route53_sheduler" {
  name                = "acme-dns-route53-issuer-scheduler"
  schedule_expression = "cron(0 */12 * * ? *)"
}

# Specify the lambda function to run
resource "aws_cloudwatch_event_target" "acme_dns_route53_sheduler_target" {
  rule = "${aws_cloudwatch_event_rule.acme_dns_route53_sheduler.name}"
  arn  = "${aws_lambda_function.acme_dns_route53.arn}"
}

# Give CloudWatch permission to invoke the function
resource "aws_lambda_permission" "permission" {
  action        = "lambda:InvokeFunction"
  function_name = "${aws_lambda_function.acme_dns_route53.function_name}"
  principal     = "events.amazonaws.com"
  source_arn    = "${aws_cloudwatch_event_rule.acme_dns_route53_sheduler.arn}"
}

Вече сте конфигурирани да създавате и актуализирате автоматично SSL сертификати

Източник: www.habr.com

Автоматизиране на управлението на Let's Encrypt SSL сертификати с помощта на DNS-01 предизвикателство и AWS

Създаване на zip файл

Създаване на IAM роля

Създаване на ламбда функция, която се изпълнява acme-dns-route53

Създаване на таймер CloudWatch, който задейства функция 2 пъти на ден

Добавяне на нов коментар

Автоматизиране на управлението на Let's Encrypt SSL сертификати с помощта на DNS-01 предизвикателство и AWS

Създаване на zip файл

Създаване на IAM роля

Създаване на ламбда функция, която се изпълнява acme-dns-route53

Създаване на таймер CloudWatch, който задейства функция 2 пъти на ден

Добавяне на нов коментар Отказване на отговора

Добавяне на нов коментар