🏈 🤵🏽 🏳️‍🌈 أتمتة دعونا نشفّر إدارة شهادة SSL باستخدام تحدي DNS-01 و AWS 🖐🏻 🍰 🧙🏻

يصف المنشور خطوات أتمتة إدارة شهادات SSL من Let's Encrypt CA باستخدام تحدي DNS-01 و AWS .

acme-dns-route53 هي أداة تسمح لنا بتنفيذ هذه الميزة. إنه يعرف كيفية التعامل مع شهادات SSL من Let's Encrypt ، وحفظها في Amazon Certificate Manager ، واستخدام Route53 API لتنفيذ تحدي DNS-01 ، وفي النهاية ، دفع الإخطارات إلى SNS. يحتوي Acme-dns-route53 أيضًا على وظائف مدمجة للاستخدام داخل AWS Lambda ، وهذا ما نحتاجه.

ينقسم هذا المقال إلى 4 أقسام:

إنشاء ملف مضغوط
خلق دور IAM ؛
إنشاء وظيفة lambda التي تدير acme-dns-route53 ؛
إنشاء جهاز ضبط الوقت CloudWatch الذي يشغل وظيفة 2 مرات في اليوم ؛

ملاحظة: قبل أن تبدأ ، يجب عليك تثبيت GoLang 1.9+ و AWS CLI

إنشاء ملف مضغوط

acme-dns-route53 مكتوب بلغة GoLang ويدعم الإصدار الذي لا يقل عن 1.9.

نحن بحاجة إلى إنشاء ملف مضغوط مع acme-dns-route53 بالداخل. للقيام بذلك ، قم بتثبيت acme-dns-route53 من مستودع GitHub باستخدام أمر go install :

 $ env GOOS=linux GOARCH=amd64 go install github.com/begmaroman/acme-dns-route53

يتم تثبيت الثنائي في $GOPATH/bin . يرجى ملاحظة أننا أثناء التثبيت حددنا متغيرين للبيئة: GOOS=linux و GOARCH=amd64 . أنها توضح للمترجم Go حول الحاجة إلى إنشاء ثنائي مناسب لنظام التشغيل Linux و amd64 الهندسة المعمارية - وهذا هو ما يعمل في AWS.
تفترض AWS نشر برنامجنا في ملف مضغوط ، لذلك فلنقم بإنشاء أرشيف acme-dns-route53.zip يحتوي على الملف الثنائي المثبت حديثًا:

 $ zip -j ~/acme-dns-route53.zip $GOPATH/bin/acme-dns-route53

ملاحظة: يجب أن يكون الملف الثنائي في جذر أرشيف الرمز البريدي. لهذا نستخدم العلم -j .

الآن ، أصبح لقب zip الخاص بنا جاهزًا للنشر ، ويبقى فقط لإنشاء دور يتمتع بالحقوق اللازمة.

إنشاء أدوار IAM

نحتاج إلى تأكيد دور IAM مع الامتيازات التي يحتاجها لامدا أثناء تنفيذه.
دعنا ندعو هذه السياسة lambda-acme-dns-route53-executor الفور الدور الأساسي لـ AWSLambdaBasicExecutionRole . هذا سيسمح لنا lambda ببدء وكتابة السجلات إلى خدمة AWS CloudWatch.
أولاً ، قم بإنشاء ملف JSON يصف حقوقنا. سيسمح هذا أساسًا لخدمات lambda باستخدام دور lambda-acme-dns-route53-executor :

 $ touch ~/lambda-acme-dns-route53-executor-policy.json

محتويات ملفنا هي كما يلي:

 { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "logs:CreateLogGroup" ], "Resource": "arn:aws:logs:<AWS_REGION>:<AWS_ACCOUNT_ID>:*" }, { "Effect": "Allow", "Action": [ "logs:PutLogEvents", "logs:CreateLogStream" ], "Resource": "arn:aws:logs:<AWS_REGION>:<AWS_ACCOUNT_ID>:log-group:/aws/lambda/acme-dns-route53:*" }, { "Sid": "", "Effect": "Allow", "Action": [ "route53:ListHostedZones", "cloudwatch:PutMetricData", "acm:ImportCertificate", "acm:ListCertificates" ], "Resource": "*" }, { "Sid": "", "Effect": "Allow", "Action": [ "sns:Publish", "route53:GetChange", "route53:ChangeResourceRecordSets", "acm:ImportCertificate", "acm:DescribeCertificate" ], "Resource": [ "arn:aws:sns:<AWS_REGION>:<AWS_ACCOUNT_ID>:<TOPIC_NAME>", "arn:aws:route53:::hostedzone/*", "arn:aws:route53:::change/*", "arn:aws:acm:<AWS_REGION>:<AWS_ACCOUNT_ID>:certificate/*" ] } ] }

الآن قم بتشغيل الأمر aws iam create-role الأمر:

 $ aws iam create-role --role-name lambda-acme-dns-route53-executor \ --assume-role-policy-document ~/lambda-acme-dns-route53-executor-policy.json

ملاحظة: تذكر سياسة ARN (Amazon Resource Name) - سنحتاج إليها في الخطوات التالية.

تم إنشاء دور lambda-acme-dns-route53-executor ، والآن نحتاج إلى تحديد أذونات له. أسهل طريقة للقيام بذلك هي استخدام الأمر aws iam attach-role-policy ، بتمرير AWSLambdaBasicExecutionRole ARN AWSLambdaBasicExecutionRole كما يلي:

 $ aws iam attach-role-policy --role-name lambda-acme-dns-route53-executor \ --policy-arn arn:aws:iam::aws:policy/service-role/AWSLambdaBasicExecutionRole

ملاحظة: يمكن الاطلاع على قائمة بالسياسات الأخرى هنا .

إنشاء وظيفة lambda التي تدير acme-dns-route53

الصيحة! يمكنك الآن نشر وظيفتنا في AWS باستخدام الأمر aws lambda create-function . يجب تكوين lambda باستخدام متغيرات البيئة التالية:

AWS_LAMBDA - يجعل acme-dns-route53 يفهم أن التنفيذ يحدث داخل AWS Lambda.
DOMAINS - قائمة المجالات التي تفصل بينها فواصل.
LETSENCRYPT_EMAIL - يحتوي على دعونا تشفير البريد الإلكتروني .
NOTIFICATION_TOPIC - SNS Notification اسم موضوع (اختياري).
STAGING - إذا تم ضبطها على 1 ، يتم استخدام بيئة التدريج.
RENEW_BEFORE - عدد الأيام التي تحدد الفترة قبل انتهاء الفترة التي يجب خلالها تجديد الشهادة.
1024 ميغابايت - حد الذاكرة ، عرضة للتغيير.
900 ثانية (15 دقيقة) - مهلة.
acme-dns-route53 - اسم ثنائي لدينا ، والذي هو في الأرشيف.
fileb://~/acme-dns-route53.zip - المسار إلى الأرشيف الذي fileb://~/acme-dns-route53.zip .

نشر الآن:

 $ aws lambda create-function \ --function-name acme-dns-route53 \ --runtime go1.x \ --role arn:aws:iam::<AWS_ACCOUNT_ID>:role/lambda-acme-dns-route53-executor \ --environment Variables="{AWS_LAMBDA=1,DOMAINS=\"example1.com,example2.com\",LETSENCRYPT_EMAIL=begmaroman@gmail.com,STAGING=0,NOTIFICATION_TOPIC=acme-dns-route53-obtained,RENEW_BEFORE=7}" \ --memory-size 1024 \ --timeout 900 \ --handler acme-dns-route53 \ --zip-file fileb://~/acme-dns-route53.zip { "FunctionName": "acme-dns-route53", "LastModified": "2019-05-03T19:07:09.325+0000", "RevisionId": "e3fadec9-2180-4bff-bb9a-999b1b71a558", "MemorySize": 1024, "Environment": { "Variables": { "DOMAINS": "example1.com,example2.com", "STAGING": "1", "LETSENCRYPT_EMAIL": "your@email.com", "NOTIFICATION_TOPIC": "acme-dns-route53-obtained", "RENEW_BEFORE": "7", "AWS_LAMBDA": "1" } }, "Version": "$LATEST", "Role": "arn:aws:iam::<AWS_ACCOUNT_ID>:role/lambda-acme-dns-route53-executor", "Timeout": 900, "Runtime": "go1.x", "TracingConfig": { "Mode": "PassThrough" }, "CodeSha256": "+2KgE5mh5LGaOsni36pdmPP9O35wgZ6TbddspyaIXXw=", "Description": "", "CodeSize": 8456317, "FunctionArn": "arn:aws:lambda:us-east-1:<AWS_ACCOUNT_ID>:function:acme-dns-route53", "Handler": "acme-dns-route53" }

إنشاء مؤقت CloudWatch يقوم بتشغيل وظيفة 2 مرات في اليوم

الخطوة الأخيرة هي إعداد التاج ، الذي يستدعي وظيفتنا مرتين في اليوم:

قم بإنشاء قاعدة CloudWatch بقيمة value_expression.
إنشاء هدف القاعدة (ما يجب القيام به) عن طريق تحديد ARN للدالة lambda.
إعطاء إذن للقاعدة استدعاء وظيفة امدا.

أدناه ، أرفقت تهيئة Terraform الخاصة بي ، لكن في الحقيقة يتم ذلك ببساطة باستخدام وحدة AWS أو AWS CLI.

 # Cloudwatch event rule that runs acme-dns-route53 lambda every 12 hours resource "aws_cloudwatch_event_rule" "acme_dns_route53_sheduler" { name = "acme-dns-route53-issuer-scheduler" schedule_expression = "cron(0 */12 * * ? *)" } # Specify the lambda function to run resource "aws_cloudwatch_event_target" "acme_dns_route53_sheduler_target" { rule = "${aws_cloudwatch_event_rule.acme_dns_route53_sheduler.name}" arn = "${aws_lambda_function.acme_dns_route53.arn}" } # Give CloudWatch permission to invoke the function resource "aws_lambda_permission" "permission" { action = "lambda:InvokeFunction" function_name = "${aws_lambda_function.acme_dns_route53.function_name}" principal = "events.amazonaws.com" source_arn = "${aws_cloudwatch_event_rule.acme_dns_route53_sheduler.arn}" }

أنت الآن مُعد لتكوين شهادات SSL وتجديدها تلقائيًا

أتمتة دعونا نشفّر إدارة شهادة SSL باستخدام تحدي DNS-01 و AWS

إنشاء ملف مضغوط

إنشاء أدوار IAM

إنشاء وظيفة lambda التي تدير acme-dns-route53

إنشاء مؤقت CloudWatch يقوم بتشغيل وظيفة 2 مرات في اليوم

More articles: