DNS-01 챌린지 및 AWS를 사용하여 Let's Encrypt SSL 인증서 관리 자동화

게시물에서는 SSL 인증서 관리를 자동화하는 단계를 설명합니다. CA를 암호화하자 사용 DNS-01 챌린지 и AWS.

acme-dns-route53 이 기능을 구현할 수 있는 도구입니다. Let's Encrypt의 SSL 인증서를 사용하여 Amazon Certificate Manager에 저장하고, Route53 API를 사용하여 DNS-01 챌린지를 구현하고, 마지막으로 SNS에 알림을 푸시할 수 있습니다. 안에 acme-dns-route53 AWS Lambda 내부에서 사용할 수 있는 기능도 내장되어 있으며 이것이 바로 우리에게 필요한 것입니다.

이 글은 4개의 섹션으로 구성되어 있습니다:

• zip 파일 생성;
• IAM 역할 생성
• 실행되는 람다 함수 만들기 acme-dns-route53;
• 하루에 2번 함수를 트리거하는 CloudWatch 타이머를 생성합니다.

참고 : 시작하기 전에 설치해야 합니다. 고랭 1.9+ и AWS CLI

zip 파일 만들기

acme-dns-route53은 GoLang으로 작성되었으며 1.9 이상의 버전을 지원합니다.

바이너리가 포함된 zip 파일을 만들어야 합니다. acme-dns-route53 내부에. 이렇게 하려면 설치가 필요합니다. acme-dns-route53 명령을 사용하여 GitHub 저장소에서 go install:

$ env GOOS=linux GOARCH=amd64 go install github.com/begmaroman/acme-dns-route53

바이너리는 다음 위치에 설치됩니다. $GOPATH/bin 예배 규칙서. 설치 중에 두 가지 변경된 환경을 지정했습니다. GOOS=linux и GOARCH=amd64. 그들은 Linux OS 및 amd64 아키텍처에 적합한 바이너리를 생성해야 한다는 점을 Go 컴파일러에 분명히 알립니다. 이것이 AWS에서 실행되는 것입니다.
AWS에서는 우리 프로그램이 zip 파일로 배포될 것으로 예상하므로 다음을 생성해 보겠습니다. acme-dns-route53.zip 새로 설치된 바이너리가 포함될 아카이브:

$ zip -j ~/acme-dns-route53.zip $GOPATH/bin/acme-dns-route53

참고 : 바이너리는 zip 아카이브의 루트에 있어야 합니다. 이를 위해 우리는 -j 깃발.

이제 zip 닉네임을 배포할 준비가 되었습니다. 남은 것은 필요한 권한이 있는 역할을 만드는 것뿐입니다.

IAM 역할 생성

실행 중에 람다에서 요구하는 권한이 있는 IAM 역할을 설정해야 합니다.
이 정책을 호출해 보겠습니다. lambda-acme-dns-route53-executor 즉시 그녀에게 기본 역할을 부여합니다. AWSLambdaBasicExecutionRole. 이렇게 하면 람다가 AWS CloudWatch 서비스를 실행하고 로그를 쓸 수 있습니다.
먼저, 당사의 권리를 설명하는 JSON 파일을 생성합니다. 이렇게 하면 기본적으로 람다 서비스가 역할을 사용할 수 있습니다. lambda-acme-dns-route53-executor:

$ touch ~/lambda-acme-dns-route53-executor-policy.json

우리 파일의 내용은 다음과 같습니다:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogGroup"
            ],
            "Resource": "arn:aws:logs:<AWS_REGION>:<AWS_ACCOUNT_ID>:*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "logs:PutLogEvents",
                "logs:CreateLogStream"
            ],
            "Resource": "arn:aws:logs:<AWS_REGION>:<AWS_ACCOUNT_ID>:log-group:/aws/lambda/acme-dns-route53:*"
        },
        {
            "Sid": "",
            "Effect": "Allow",
            "Action": [
                "route53:ListHostedZones",
                "cloudwatch:PutMetricData",
                "acm:ImportCertificate",
                "acm:ListCertificates"
            ],
            "Resource": "*"
        },
        {
            "Sid": "",
            "Effect": "Allow",
            "Action": [
                "sns:Publish",
                "route53:GetChange",
                "route53:ChangeResourceRecordSets",
                "acm:ImportCertificate",
                "acm:DescribeCertificate"
            ],
            "Resource": [
                "arn:aws:sns:${var.region}:<AWS_ACCOUNT_ID>:<TOPIC_NAME>",
                "arn:aws:route53:::hostedzone/*",
                "arn:aws:route53:::change/*",
                "arn:aws:acm:<AWS_REGION>:<AWS_ACCOUNT_ID>:certificate/*"
            ]
        }
    ]
}

이제 명령을 실행해보자 aws iam create-role 역할을 생성하려면:

$ aws iam create-role --role-name lambda-acme-dns-route53-executor 
 --assume-role-policy-document ~/lambda-acme-dns-route53-executor-policy.json

참고 : 정책 ARN(Amazon 리소스 이름)을 기억하세요. 다음 단계에서 필요합니다.

역할 lambda-acme-dns-route53-executor 생성되었으므로 이제 이에 대한 권한을 지정해야 합니다. 가장 쉬운 방법은 다음 명령을 사용하는 것입니다. aws iam attach-role-policy, 정책 ARN 전달 AWSLambdaBasicExecutionRole 다음과 같이

$ aws iam attach-role-policy --role-name lambda-acme-dns-route53-executor 
--policy-arn arn:aws:iam::aws:policy/service-role/AWSLambdaBasicExecutionRole

참고 : 다른 정책이 포함된 목록을 찾을 수 있습니다. 여기에.

실행되는 람다 함수 만들기 acme-dns-route53

만세! 이제 다음 명령을 사용하여 함수를 AWS에 배포할 수 있습니다. aws lambda create-function. 람다는 다음 환경 변수를 사용하여 구성해야 합니다.

• AWS_LAMBDA - 분명히 해준다 acme-dns-route53 해당 실행은 AWS Lambda 내에서 발생합니다.
• DOMAINS — 쉼표로 구분된 도메인 목록입니다.
• LETSENCRYPT_EMAIL - 포함 이메일을 암호화하자.
• NOTIFICATION_TOPIC — SNS 알림 주제 이름(선택 사항).
• STAGING - 가치에 1 스테이징 환경이 사용됩니다.
• 1024 MB - 메모리 제한이며 변경될 수 있습니다.
• 900 초(15분) - 시간 초과.
• acme-dns-route53 — 아카이브에 있는 바이너리의 이름입니다.
• fileb://~/acme-dns-route53.zip — 우리가 만든 아카이브의 경로입니다.

이제 배포해 보겠습니다.

$ aws lambda create-function 
 --function-name acme-dns-route53 
 --runtime go1.x 
 --role arn:aws:iam::<AWS_ACCOUNT_ID>:role/lambda-acme-dns-route53-executor 
 --environment Variables="{AWS_LAMBDA=1,DOMAINS="example1.com,example2.com",[email protected],STAGING=0,NOTIFICATION_TOPIC=acme-dns-route53-obtained}" 
 --memory-size 1024 
 --timeout 900 
 --handler acme-dns-route53 
 --zip-file fileb://~/acme-dns-route53.zip

 {
     "FunctionName": "acme-dns-route53", 
     "LastModified": "2019-05-03T19:07:09.325+0000", 
     "RevisionId": "e3fadec9-2180-4bff-bb9a-999b1b71a558", 
     "MemorySize": 1024, 
     "Environment": {
         "Variables": {
            "DOMAINS": "example1.com,example2.com", 
            "STAGING": "1", 
            "LETSENCRYPT_EMAIL": "[email protected]", 
            "NOTIFICATION_TOPIC": "acme-dns-route53-obtained", 
            "AWS_LAMBDA": "1"
         }
     }, 
     "Version": "$LATEST", 
     "Role": "arn:aws:iam::<AWS_ACCOUNT_ID>:role/lambda-acme-dns-route53-executor", 
     "Timeout": 900, 
     "Runtime": "go1.x", 
     "TracingConfig": {
         "Mode": "PassThrough"
     }, 
     "CodeSha256": "+2KgE5mh5LGaOsni36pdmPP9O35wgZ6TbddspyaIXXw=", 
     "Description": "", 
     "CodeSize": 8456317,
"FunctionArn": "arn:aws:lambda:us-east-1:<AWS_ACCOUNT_ID>:function:acme-dns-route53", 
     "Handler": "acme-dns-route53"
 }

하루에 2번 함수를 트리거하는 CloudWatch 타이머 생성

마지막 단계는 하루에 두 번 함수를 호출하는 cron을 설정하는 것입니다.

• 값을 사용하여 CloudWatch 규칙을 생성합니다. schedule_expression.
• 람다 함수의 ARN을 지정하여 규칙 대상(실행해야 하는 항목)을 생성합니다.
• 람다 함수를 호출할 수 있는 권한을 규칙에 부여합니다.

아래에는 Terraform 구성을 연결했지만 실제로는 AWS 콘솔이나 AWS CLI를 사용하여 매우 간단하게 수행됩니다.

# Cloudwatch event rule that runs acme-dns-route53 lambda every 12 hours
resource "aws_cloudwatch_event_rule" "acme_dns_route53_sheduler" {
  name                = "acme-dns-route53-issuer-scheduler"
  schedule_expression = "cron(0 */12 * * ? *)"
}

# Specify the lambda function to run
resource "aws_cloudwatch_event_target" "acme_dns_route53_sheduler_target" {
  rule = "${aws_cloudwatch_event_rule.acme_dns_route53_sheduler.name}"
  arn  = "${aws_lambda_function.acme_dns_route53.arn}"
}

# Give CloudWatch permission to invoke the function
resource "aws_lambda_permission" "permission" {
  action        = "lambda:InvokeFunction"
  function_name = "${aws_lambda_function.acme_dns_route53.function_name}"
  principal     = "events.amazonaws.com"
  source_arn    = "${aws_cloudwatch_event_rule.acme_dns_route53_sheduler.arn}"
}

이제 SSL 인증서를 자동으로 생성하고 업데이트하도록 구성되었습니다.

출처 : habr.com