Automatisierung der Verwaltung von Let’s Encrypt SSL-Zertifikaten mithilfe von DNS-01-Challenges und AWS

Der Beitrag beschreibt die Schritte zur Automatisierung der Verwaltung von SSL-Zertifikaten von Let’s Encrypt CA unter Verwendung von DNS-01-Herausforderung und AWS.

acme-dns-route53 — ein Tool, das es uns ermöglicht, diese Funktion zu implementieren. Es kann mit SSL-Zertifikaten von Let’s Encrypt arbeiten, sie im Amazon Certificate Manager speichern, die Route53-API zur Umsetzung der DNS-01-Herausforderung nutzen und schließlich Benachrichtigungen an SNS senden. In acme-dns-route53 ist auch eine integrierte Funktion fĂŒr die Verwendung innerhalb von AWS Lambda enthalten, und das ist genau das, was wir brauchen.

Dieser Artikel ist in 4 Abschnitte unterteilt:

  • Erstellung einer ZIP-Datei;
  • Erstellung einer IAM-Rolle;
  • Erstellung einer Lambda-Funktion, die ausfĂŒhrt acme-dns-route53;
  • Erstellung eines CloudWatch-Timers, der die Funktion zweimal tĂ€glich auslöst;

Hinweis: Vor dem Start mĂŒssen folgende Dinge installiert werden: GoLang 1.9+ und AWS CLI

Erstellung einer ZIP-Datei

acme-dns-route53 ist in GoLang geschrieben und unterstĂŒtzt Versionen nicht unter 1.9.

Wir mĂŒssen eine ZIP-Datei mit dem BinĂ€rprogramm acme-dns-route53 darinnen erstellen. Dazu ist es notwendig, acme-dns-route53 aus dem GitHub-Repository mit dem Befehl go install:

$ env GOOS=linux GOARCH=amd64 go install github.com/begmaroman/acme-dns-route53

Das BinĂ€rprogramm wird im $GOPATH/bin Verzeichnis installiert. Bitte beachten Sie, dass wir bei der Installation zwei Umgebungsvariablen angegeben haben: GOOS=linux und GOARCH=amd64. Sie geben dem Go-Compiler an, dass ein BinĂ€rpaket fĂŒr das Linux-Betriebssystem und die amd64-Architektur erstellt werden muss – das ist das, was in AWS ausgefĂŒhrt wird.
AWS setzt voraus, dass unser Programm in einer Zip-Datei bereitgestellt wird. Lassen Sie uns also erstellen acme-dns-route53.zip ein Archiv, das das gerade erstellte BinÀrpaket enthÀlt:

$ zip -j ~/acme-dns-route53.zip $GOPATH/bin/acme-dns-route53

Hinweis: Das BinĂ€rpaket muss sich im Wurzelverzeichnis des Zip-Archivs befinden. DafĂŒr verwenden wir -j Flag.

Jetzt ist unser Zip-Archiv bereit fĂŒr die Bereitstellung. Wir mĂŒssen nur noch eine Rolle mit den notwendigen Berechtigungen erstellen.

Erstellung einer IAM-Rolle

Wir mĂŒssen eine IAM-Rolle mit den Rechten einrichten, die unsere Lambda-Funktion wĂ€hrend ihrer AusfĂŒhrung benötigt.
Nennen wir diese Richtlinie lambda-acme-dns-route53-executor und geben ihr sofort die grundlegende Rolle AWSLambdaBasicExecutionRole. Dies ermöglicht es unserer Lambda-Funktion, zu starten und Protokolle im AWS CloudWatch-Dienst zu schreiben.
Zuerst erstellen wir eine JSON-Datei, in der unsere Berechtigungen beschrieben sind. Dies erlaubt im Grunde den Lambda-Diensten die Nutzung der Rolle. lambda-acme-dns-route53-executor:

$ touch ~/lambda-acme-dns-route53-executor-policy.json

Der Inhalt unserer Datei ist wie folgt:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogGroup"
            ],
            "Resource": "arn:aws:logs:::*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "logs:PutLogEvents",
                "logs:CreateLogStream"
            ],
            "Resource": "arn:aws:logs:::log-group:/aws/lambda/acme-dns-route53:*"
        },
        {
            "Sid": "",
            "Effect": "Allow",
            "Action": [
                "route53:ListHostedZones",
                "cloudwatch:PutMetricData",
                "acm:ImportCertificate",
                "acm:ListCertificates"
            ],
            "Resource": "*"
        },
        {
            "Sid": "",
            "Effect": "Allow",
            "Action": [
                "sns:Publish",
                "route53:GetChange",
                "route53:ChangeResourceRecordSets",
                "acm:ImportCertificate",
                "acm:DescribeCertificate"
            ],
            "Resource": [
                "arn:aws:sns:${var.region}::",
                "arn:aws:route53:::hostedzone/*",
                "arn:aws:route53:::change/*",
                "arn:aws:acm:::certificate/*"
            ]
        }
    ]
}

Jetzt fĂŒhren wir den Befehl aus aws iam create-role um eine Rolle zu erstellen:

$ aws iam create-role --role-name lambda-acme-dns-route53-executor 
 --assume-role-policy-document ~/lambda-acme-dns-route53-executor-policy.json

Hinweis: behalten Sie die ARN der Richtlinie (Amazon Resource Name) im Kopf – wir werden sie in den nĂ€chsten Schritten benötigen.

Die Rolle lambda-acme-dns-route53-executor wurde erstellt, jetzt mĂŒssen wir die Berechtigungen angeben. Der einfachste Weg, dies zu tun, ist die Verwendung des Befehls aws iam attach-role-policy, indem wir die ARN der Richtlinie ĂŒbergeben. AWSLambdaBasicExecutionRole $ ../..../waf ...

$ aws iam attach-role-policy --role-name lambda-acme-dns-route53-executor 
--policy-arn arn:aws:iam::aws:policy/service-role/AWSLambdaBasicExecutionRole

Hinweis: Die Liste der anderen Richtlinien finden Sie hier. hier.

Erstellung einer Lambda-Funktion, die ausfĂŒhrt acme-dns-route53

Hurra! Jetzt können wir unsere Funktion mit dem Befehl auf AWS bereitstellen: aws lambda create-function. Die Lambda-Funktion muss mit den folgenden Umgebungsvariablen konfiguriert werden:

  • AWS_LAMBDA — signalisiert acme-dns-route53 dass die AusfĂŒhrung innerhalb von AWS Lambda erfolgt.
  • DOMAINS — eine Liste von DomĂ€nen, durch Kommas getrennt.
  • LETSENCRYPT_EMAIL — enthĂ€lt Let’s Encrypt E-Mail.
  • NOTIFICATION_TOPIC — der Name des SNS-Benachrichtigungsthemas (optional).
  • STAGING — wenn gesetzt, wird die Staging-Umgebung verwendet. 1 MB — der Speicherlimit, kann geĂ€ndert werden.
  • 1024 secs (15 min) — Timeout.
  • 900 — der Name unseres BinĂ€rdateien, die im Archiv gespeichert ist.
  • acme-dns-route53 — der Pfad zum Archiv, das wir erstellt haben.
  • fileb://~/acme-dns-route53.zip Jetzt bereitstellen:

ĐąĐ”ĐżĐ”Ń€ŃŒ ĐŽĐ”ĐżĐ»ĐŸĐžĐŒ:

$ aws lambda create-function 
 --function-name acme-dns-route53 
 --runtime go1.x 
 --role arn:aws:iam:::role/lambda-acme-dns-route53-executor 
 --environment Variables="{AWS_LAMBDA=1,DOMAINS="example1.com,example2.com",LETSENCRYPT_EMAIL=begmaroman@gmail.com,STAGING=0,NOTIFICATION_TOPIC=acme-dns-route53-obtained}" 
 --memory-size 1024 
 --timeout 900 
 --handler acme-dns-route53 
 --zip-file fileb://~/acme-dns-route53.zip

 {
     "FunctionName": "acme-dns-route53", 
     "LastModified": "2019-05-03T19:07:09.325+0000", 
     "RevisionId": "e3fadec9-2180-4bff-bb9a-999b1b71a558", 
     "MemorySize": 1024, 
     "Environment": {
         "Variables": {
            "DOMAINS": "example1.com,example2.com", 
            "STAGING": "1", 
            "LETSENCRYPT_EMAIL": "your@email.com", 
            "NOTIFICATION_TOPIC": "acme-dns-route53-obtained", 
            "AWS_LAMBDA": "1"
         }
     }, 
     "Version": "$LATEST", 
     "Role": "arn:aws:iam:::role/lambda-acme-dns-route53-executor", 
     "Timeout": 900, 
     "Runtime": "go1.x", 
     "TracingConfig": {
         "Mode": "PassThrough"
     }, 
     "CodeSha256": "+2KgE5mh5LGaOsni36pdmPP9O35wgZ6TbddspyaIXXw=", 
     "Description": "", 
     "CodeSize": 8456317,
"FunctionArn": "arn:aws:lambda:us-east-1::function:acme-dns-route53", 
     "Handler": "acme-dns-route53"
 }

Ein CloudWatch-Timer, der die Funktion zweimal tÀglich auslöst, erstellen

Der letzte Schritt besteht darin, einen Cron-Job einzurichten, der unsere Funktion zweimal am Tag aufruft:

  • Erstellen Sie eine CloudWatch-Regel mit dem Wert schedule_expression.
  • Erstellen Sie das Ziel der Regel (was ausgefĂŒhrt werden soll), indem Sie die ARN der Lambda-Funktion angeben.
  • Dem Regelwerk die Erlaubnis erteilen, die Lambda-Funktion aufzurufen.

Im Folgenden finden Sie meine Terraform-Konfiguration, aber tatsĂ€chlich lĂ€sst sich das sehr einfach ĂŒber die AWS-Konsole oder die AWS-CLI umsetzen.

# Cloudwatch event rule that runs acme-dns-route53 lambda every 12 hours
resource "aws_cloudwatch_event_rule" "acme_dns_route53_sheduler" {
  name                = "acme-dns-route53-issuer-scheduler"
  schedule_expression = "cron(0 */12 * * ? *)"
}

# Specify the lambda function to run
resource "aws_cloudwatch_event_target" "acme_dns_route53_sheduler_target" {
  rule = "${aws_cloudwatch_event_rule.acme_dns_route53_sheduler.name}"
  arn  = "${aws_lambda_function.acme_dns_route53.arn}"
}

# Give CloudWatch permission to invoke the function
resource "aws_lambda_permission" "permission" {
  action        = "lambda:InvokeFunction"
  function_name = "${aws_lambda_function.acme_dns_route53.function_name}"
  principal     = "events.amazonaws.com"
  source_arn    = "${aws_cloudwatch_event_rule.acme_dns_route53_sheduler.arn}"
}

Jetzt haben auch Sie die automatische Erstellung und Aktualisierung von SSL-Zertifikaten eingerichtet.

Quelle: habr.com

Kaufen Sie zuverlĂ€ssiges Hosting fĂŒr Websites mit DDoS-Schutz, VPS VDS-Server đŸ”„ Kaufen Sie zuverlĂ€ssiges Hosting fĂŒr Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster