In diesem Beitrag werden die Schritte zum Automatisieren der Verwaltung von SSL-Zertifikaten von Let's Encrypt CA mithilfe der DNS-01-Challenge und von AWS beschrieben .
acme-dns-route53 ist ein Tool, mit dem wir diese Funktion implementieren können. Er weiß, wie man mit SSL-Zertifikaten von Let's Encrypt arbeitet, sie im Amazon Certificate Manager speichert, die Route53-API verwendet, um die DNS-01-Herausforderung zu implementieren, und am Ende Benachrichtigungen in SNS überträgt. Acme-dns-route53 verfügt auch über eine integrierte Funktionalität für die Verwendung in AWS Lambda, und genau das benötigen wir.
Dieser Artikel ist in 4 Abschnitte unterteilt:
- Erstellen Sie eine Zip-Datei.
- Erstellen einer IAM-Rolle;
- Erstellen einer Lambda-Funktion, die acme-dns-route53 ausführt ;
- Erstellen eines CloudWatch-Timers, der zweimal täglich eine Funktion auslöst;
Hinweis: GoLang 1.9+ und AWS CLI müssen vor dem Start installiert werden
Erstellen Sie eine Zip-Datei
acme-dns-route53 ist in GoLang geschrieben und unterstützt eine Version von nicht weniger als 1.9.
Wir müssen eine Zip-Datei mit der acme-dns-route53 . Installieren Sie dazu acme-dns-route53 aus dem GitHub-Repository mit dem Befehl go install :
$ env GOOS=linux GOARCH=amd64 go install github.com/begmaroman/acme-dns-route53
Die Binärdatei wird im $GOPATH/bin installiert. Bitte beachten Sie, dass wir während der Installation zwei Umgebungsvariablen angegeben haben: GOOS=linux und GOARCH=amd64 . Sie machen dem Go-Compiler klar, dass eine für Linux-Betriebssysteme und amd64-Architektur geeignete Binärdatei erstellt werden muss - dies wird in AWS ausgeführt.
AWS geht davon aus, dass unser Programm in einer Zip-Datei acme-dns-route53.zip wird. Erstellen acme-dns-route53.zip also ein acme-dns-route53.zip Archiv, das die neu installierte Binärdatei enthält:
$ zip -j ~/acme-dns-route53.zip $GOPATH/bin/acme-dns-route53
Hinweis: Die Binärdatei muss sich im Stammverzeichnis des Zip-Archivs befinden. Dafür verwenden wir das Flag -j .
Jetzt ist unser Zip-Spitzname bereit für die Bereitstellung. Es bleibt nur noch eine Rolle mit den erforderlichen Rechten zu erstellen.
Erstellen Sie IAM-Rollen
Wir müssen die IAM-Rolle mit den Privilegien geltend machen, die unser Lambda während seiner Ausführung benötigt.
Nennen wir diese Richtlinie lambda-acme-dns-route53-executor und geben ihr sofort die grundlegende Rolle von AWSLambdaBasicExecutionRole . Auf diese Weise kann unser Lambda Protokolle starten und in den AWS CloudWatch-Service schreiben.
Erstellen Sie zunächst eine JSON-Datei, die unsere Rechte beschreibt. Dadurch können Lambda-Dienste im Wesentlichen die Rolle lambda-acme-dns-route53-executor :
$ touch ~/lambda-acme-dns-route53-executor-policy.json
Der Inhalt unserer Datei lautet wie folgt:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "logs:CreateLogGroup" ], "Resource": "arn:aws:logs:<AWS_REGION>:<AWS_ACCOUNT_ID>:*" }, { "Effect": "Allow", "Action": [ "logs:PutLogEvents", "logs:CreateLogStream" ], "Resource": "arn:aws:logs:<AWS_REGION>:<AWS_ACCOUNT_ID>:log-group:/aws/lambda/acme-dns-route53:*" }, { "Sid": "", "Effect": "Allow", "Action": [ "route53:ListHostedZones", "cloudwatch:PutMetricData", "acm:ImportCertificate", "acm:ListCertificates" ], "Resource": "*" }, { "Sid": "", "Effect": "Allow", "Action": [ "sns:Publish", "route53:GetChange", "route53:ChangeResourceRecordSets", "acm:ImportCertificate", "acm:DescribeCertificate" ], "Resource": [ "arn:aws:sns:<AWS_REGION>:<AWS_ACCOUNT_ID>:<TOPIC_NAME>", "arn:aws:route53:::hostedzone/*", "arn:aws:route53:::change/*", "arn:aws:acm:<AWS_REGION>:<AWS_ACCOUNT_ID>:certificate/*" ] } ] }
Führen Sie nun den Befehl aws iam create-role , um die Rolle zu erstellen:
$ aws iam create-role --role-name lambda-acme-dns-route53-executor \ --assume-role-policy-document ~/lambda-acme-dns-route53-executor-policy.json
Hinweis: Denken Sie an die Richtlinie ARN (Amazon Resource Name) - diese wird in den nächsten Schritten benötigt.
Die Rolle lambda-acme-dns-route53-executor wurde erstellt. Jetzt müssen wir Berechtigungen dafür angeben. Der einfachste Weg, dies zu tun, besteht darin, den Befehl aws iam attach-role-policy AWSLambdaBasicExecutionRole aws iam attach-role-policy und die ARN- AWSLambdaBasicExecutionRole wie folgt zu übergeben:
$ aws iam attach-role-policy --role-name lambda-acme-dns-route53-executor \ --policy-arn arn:aws:iam::aws:policy/service-role/AWSLambdaBasicExecutionRole
Hinweis: Eine Liste mit anderen Richtlinien finden Sie hier .
Erstellen einer Lambda-Funktion, die acme-dns-route53 ausführt
Hurra! Jetzt können Sie unsere Funktion mit dem Befehl aws lambda create-function für AWS bereitstellen. Das Lambda muss mit den folgenden Umgebungsvariablen konfiguriert werden:
AWS_LAMBDA - macht acme-dns-route53 verständlich, dass die Ausführung in AWS Lambda erfolgt.DOMAINS - Eine Liste von Domänen, die durch Kommas getrennt sind.LETSENCRYPT_EMAIL - Enthält E-Mails verschlüsseln .NOTIFICATION_TOPIC - Name des SNS-Benachrichtigungsthemas (optional).STAGING - Wenn auf 1 , wird die Staging-Umgebung verwendet.RENEW_BEFORE - Die Anzahl der Tage, die den Zeitraum vor Ablauf des Zeitraums bestimmen, in dem das Zertifikat erneuert werden muss.1024 MB - Speicherlimit, Änderungen vorbehalten.900 Sekunden (15 Minuten) - Zeitüberschreitung.acme-dns-route53 - der Name unserer Binärdatei, die sich im Archiv befindet.fileb://~/acme-dns-route53.zip - Pfad zum von uns erstellten Archiv.
Jetzt bereitstellen:
$ aws lambda create-function \ --function-name acme-dns-route53 \ --runtime go1.x \ --role arn:aws:iam::<AWS_ACCOUNT_ID>:role/lambda-acme-dns-route53-executor \ --environment Variables="{AWS_LAMBDA=1,DOMAINS=\"example1.com,example2.com\",LETSENCRYPT_EMAIL=begmaroman@gmail.com,STAGING=0,NOTIFICATION_TOPIC=acme-dns-route53-obtained,RENEW_BEFORE=7}" \ --memory-size 1024 \ --timeout 900 \ --handler acme-dns-route53 \ --zip-file fileb://~/acme-dns-route53.zip { "FunctionName": "acme-dns-route53", "LastModified": "2019-05-03T19:07:09.325+0000", "RevisionId": "e3fadec9-2180-4bff-bb9a-999b1b71a558", "MemorySize": 1024, "Environment": { "Variables": { "DOMAINS": "example1.com,example2.com", "STAGING": "1", "LETSENCRYPT_EMAIL": "your@email.com", "NOTIFICATION_TOPIC": "acme-dns-route53-obtained", "RENEW_BEFORE": "7", "AWS_LAMBDA": "1" } }, "Version": "$LATEST", "Role": "arn:aws:iam::<AWS_ACCOUNT_ID>:role/lambda-acme-dns-route53-executor", "Timeout": 900, "Runtime": "go1.x", "TracingConfig": { "Mode": "PassThrough" }, "CodeSha256": "+2KgE5mh5LGaOsni36pdmPP9O35wgZ6TbddspyaIXXw=", "Description": "", "CodeSize": 8456317, "FunctionArn": "arn:aws:lambda:us-east-1:<AWS_ACCOUNT_ID>:function:acme-dns-route53", "Handler": "acme-dns-route53" }
Erstellen eines CloudWatch-Timers, der zweimal täglich eine Funktion auslöst
Der letzte Schritt besteht darin, die Krone aufzustellen, die unsere Funktion zweimal täglich aufruft:
- Erstellen Sie eine CloudWatch-Regel mit dem Wert
schedule_expression . - Erstellen Sie das Ziel der Regel (was sollte getan werden), indem Sie die ARN der Lambda-Funktion angeben.
- Geben Sie der Regel, die die Lambda-Funktion aufruft, die Erlaubnis.
Unten habe ich meine Terraform-Konfiguration angehängt, aber tatsächlich geschieht dies sehr einfach über die AWS-Konsole oder die AWS-CLI.
# Cloudwatch event rule that runs acme-dns-route53 lambda every 12 hours resource "aws_cloudwatch_event_rule" "acme_dns_route53_sheduler" { name = "acme-dns-route53-issuer-scheduler" schedule_expression = "cron(0 */12 * * ? *)" } # Specify the lambda function to run resource "aws_cloudwatch_event_target" "acme_dns_route53_sheduler_target" { rule = "${aws_cloudwatch_event_rule.acme_dns_route53_sheduler.name}" arn = "${aws_lambda_function.acme_dns_route53.arn}" } # Give CloudWatch permission to invoke the function resource "aws_lambda_permission" "permission" { action = "lambda:InvokeFunction" function_name = "${aws_lambda_function.acme_dns_route53.function_name}" principal = "events.amazonaws.com" source_arn = "${aws_cloudwatch_event_rule.acme_dns_route53_sheduler.arn}" }
Jetzt sind Sie so konfiguriert, dass SSL-Zertifikate automatisch erstellt und erneuert werden