DNS-01 चुनौती और AWS का उपयोग करते हुए SSL प्रमाणपत्र प्रबंधन को स्वचालित करें

पोस्ट में DNS-01 चैलेंज और AWS का उपयोग करते हुए चलो एनएएससी सीए से एसएसएल प्रमाणपत्र के प्रबंधन को स्वचालित करने के चरणों का वर्णन किया गया है।

acme-dns-path53 एक उपकरण है जो हमें इस सुविधा को लागू करने की अनुमति देगा। वह जानता है कि लेट्स एनक्रिप्ट से एसएसएल सर्टिफिकेट के साथ कैसे काम करना है, उन्हें अमेज़ॅन सर्टिफिकेट मैनेजर में सेव करें, DNS-01 चैलेंज को लागू करने के लिए रूट 53 एपीआई का उपयोग करें और अंत में, एसएनएस में नोटिफिकेशन पुश करें। Acme-dns-path53 में AWS लैम्ब्डा के अंदर उपयोग के लिए अंतर्निहित कार्यक्षमता भी है, और यही हमें चाहिए।

यह लेख 4 खंडों में विभाजित है:

• ज़िप फ़ाइल बनाएँ;
• IAM भूमिका बनाना;
• एक लैम्ब्डा फ़ंक्शन बनाना जो एक्मे-डीएनएस-रूट 53 चलाता है ;
• एक CloudWatch टाइमर बनाना जो एक फ़ंक्शन को दिन में 2 बार चलाता है;

नोट: शुरू करने से पहले, आपको GoLang 1.9+ और AWS CLI स्थापित करना होगा

एक ज़िप फ़ाइल बनाएँ

acme-dns-path53 GoLang में लिखा गया है और 1.9 से कम के संस्करण का समर्थन नहीं करता है।

हमें अंदर acme-dns-route53 साथ एक ज़िप फ़ाइल बनाने की आवश्यकता है। ऐसा करने के लिए, go install कमांड का उपयोग करके acme-dns-route53 रिपॉजिटरी से acme-dns-route53 go install :

 $ env GOOS=linux GOARCH=amd64 go install github.com/begmaroman/acme-dns-route53 

बाइनरी $GOPATH/bin निर्देशिका में स्थापित है। कृपया ध्यान दें कि स्थापना के दौरान हमने दो पर्यावरण चर निर्दिष्ट किए: GOOS=linux और GOARCH=amd64 । वे लिनक्स संकलक और amd64 वास्तुकला के लिए उपयुक्त बाइनरी बनाने की आवश्यकता के बारे में गो संकलक को स्पष्ट करते हैं - यह वही है जो एडब्ल्यूएस में चलता है।
AWS एक ज़िप फ़ाइल में हमारे कार्यक्रम को तैनात करता है, तो आइए एक acme-dns-route53.zip संग्रह बनाएं जिसमें नया स्थापित बाइनरी होगा:

 $ zip -j ~/acme-dns-route53.zip $GOPATH/bin/acme-dns-route53 

नोट: बाइनरी जिप संग्रह के मूल में होना चाहिए। इसके लिए हम -j ध्वज का उपयोग करते हैं।

अब हमारा जिप उपनाम तैनाती के लिए तैयार है, यह केवल आवश्यक अधिकारों के साथ एक भूमिका बनाने के लिए बना हुआ है।

IAM रोल्स बनाएं

इसके निष्पादन के दौरान हमारे लंबोदर की विशेषाधिकारों के साथ हमें IAM भूमिका पर जोर देने की जरूरत है।
आइए इस नीति को lambda-acme-dns-route53-executor और तुरंत इसे AWSLambdaBasicExecutionRole की मूल भूमिका AWSLambdaBasicExecutionRole । यह हमारे लैम्ब्डा को एडब्ल्यूएस क्लाउडवाच सेवा में लॉग शुरू करने और लिखने की अनुमति देगा।
सबसे पहले, एक JSON फ़ाइल बनाएं जो हमारे अधिकारों का वर्णन करती है। यह अनिवार्य रूप से lambda-acme-dns-route53-executor भूमिका का उपयोग करने के लिए लैम्ब्डा सेवाओं की अनुमति देगा:

 $ touch ~/lambda-acme-dns-route53-executor-policy.json 

हमारी फ़ाइल की सामग्री इस प्रकार है:

 { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "logs:CreateLogGroup" ], "Resource": "arn:aws:logs:<AWS_REGION>:<AWS_ACCOUNT_ID>:*" }, { "Effect": "Allow", "Action": [ "logs:PutLogEvents", "logs:CreateLogStream" ], "Resource": "arn:aws:logs:<AWS_REGION>:<AWS_ACCOUNT_ID>:log-group:/aws/lambda/acme-dns-route53:*" }, { "Sid": "", "Effect": "Allow", "Action": [ "route53:ListHostedZones", "cloudwatch:PutMetricData", "acm:ImportCertificate", "acm:ListCertificates" ], "Resource": "*" }, { "Sid": "", "Effect": "Allow", "Action": [ "sns:Publish", "route53:GetChange", "route53:ChangeResourceRecordSets", "acm:ImportCertificate", "acm:DescribeCertificate" ], "Resource": [ "arn:aws:sns:<AWS_REGION>:<AWS_ACCOUNT_ID>:<TOPIC_NAME>", "arn:aws:route53:::hostedzone/*", "arn:aws:route53:::change/*", "arn:aws:acm:<AWS_REGION>:<AWS_ACCOUNT_ID>:certificate/*" ] } ] } 

अब aws iam create-role लिए aws iam create-role कमांड चलाएं:

 $ aws iam create-role --role-name lambda-acme-dns-route53-executor \ --assume-role-policy-document ~/lambda-acme-dns-route53-executor-policy.json 

नोट: याद रखें नीति ARN (अमेज़न संसाधन नाम) - हमें अगले चरणों में इसकी आवश्यकता होगी।

lambda-acme-dns-route53-executor भूमिका बनाई गई है, अब हमें इसके लिए अनुमतियाँ निर्दिष्ट करने की आवश्यकता है। ऐसा करने का सबसे आसान तरीका है, AWSLambdaBasicExecutionRole aws iam attach-role-policy आदेश का उपयोग करना, AWSLambdaBasicExecutionRole ARN AWSLambdaBasicExecutionRole को निम्न प्रकार से पारित AWSLambdaBasicExecutionRole :

 $ aws iam attach-role-policy --role-name lambda-acme-dns-route53-executor \ --policy-arn arn:aws:iam::aws:policy/service-role/AWSLambdaBasicExecutionRole 

नोट: अन्य नीतियों के साथ एक सूची यहां पाई जा सकती है ।

एक भेड़ का बच्चा समारोह है कि acme-dns-path53 चलाता है

हुर्रे! अब आप AWS aws lambda create-function कमांड का उपयोग करके हमारे फ़ंक्शन को AWS में तैनात कर सकते हैं। लैम्ब्डा को निम्नलिखित पर्यावरण चर का उपयोग करके कॉन्फ़िगर किया जाना चाहिए:

• AWS_LAMBDA - acme-dns-path53 समझता है कि निष्पादन AWS लैम्ब्डा के अंदर होता है।
• DOMAINS - अल्पविराम द्वारा अलग किए गए डोमेन की एक सूची।
• LETSENCRYPT_EMAIL - ईमेल को एन्क्रिप्ट करते हैं ।
• NOTIFICATION_TOPIC - SNS अधिसूचना विषय नाम (वैकल्पिक)।
• STAGING - यदि 1 सेट किया जाता है, तो स्टेजिंग वातावरण का उपयोग किया जाता है।
• RENEW_BEFORE - उस दिन की संख्या जो उस अवधि की समाप्ति से पहले की अवधि निर्धारित करती है जिसके दौरान प्रमाणपत्र को नवीनीकृत किया जाना चाहिए।
• 1024 एमबी - मेमोरी सीमा, परिवर्तन के अधीन।
• 900 सेकंड (15 मिनट) - टाइमआउट।
• acme-dns-route53 - हमारे बाइनरी का नाम, जो संग्रह में है।
• fileb://~/acme-dns-route53.zip - हमारे द्वारा बनाए गए संग्रह के लिए पथ।

अब तैनात हैं:

 $ aws lambda create-function \ --function-name acme-dns-route53 \ --runtime go1.x \ --role arn:aws:iam::<AWS_ACCOUNT_ID>:role/lambda-acme-dns-route53-executor \ --environment Variables="{AWS_LAMBDA=1,DOMAINS=\"example1.com,example2.com\",LETSENCRYPT_EMAIL=begmaroman@gmail.com,STAGING=0,NOTIFICATION_TOPIC=acme-dns-route53-obtained,RENEW_BEFORE=7}" \ --memory-size 1024 \ --timeout 900 \ --handler acme-dns-route53 \ --zip-file fileb://~/acme-dns-route53.zip { "FunctionName": "acme-dns-route53", "LastModified": "2019-05-03T19:07:09.325+0000", "RevisionId": "e3fadec9-2180-4bff-bb9a-999b1b71a558", "MemorySize": 1024, "Environment": { "Variables": { "DOMAINS": "example1.com,example2.com", "STAGING": "1", "LETSENCRYPT_EMAIL": "your@email.com", "NOTIFICATION_TOPIC": "acme-dns-route53-obtained", "RENEW_BEFORE": "7", "AWS_LAMBDA": "1" } }, "Version": "$LATEST", "Role": "arn:aws:iam::<AWS_ACCOUNT_ID>:role/lambda-acme-dns-route53-executor", "Timeout": 900, "Runtime": "go1.x", "TracingConfig": { "Mode": "PassThrough" }, "CodeSha256": "+2KgE5mh5LGaOsni36pdmPP9O35wgZ6TbddspyaIXXw=", "Description": "", "CodeSize": 8456317, "FunctionArn": "arn:aws:lambda:us-east-1:<AWS_ACCOUNT_ID>:function:acme-dns-route53", "Handler": "acme-dns-route53" } 

एक CloudWatch टाइमर बनाना जो एक फ़ंक्शन को दिन में 2 बार चलाता है

अंतिम चरण मुकुट स्थापित करना है, जो दिन में दो बार हमारे कार्य को बुलाता है:

• शिड्यूल_फ्रेम के मान से CloudWatch नियम बनाएं।
• लैम्बडा फ़ंक्शन के एआरएन को निर्दिष्ट करके नियम का लक्ष्य (क्या किया जाना चाहिए) बनाएं।
• लैम्ब्डा फ़ंक्शन को कॉल करने वाले नियम को अनुमति दें।

नीचे मैंने अपना टेराफॉर्म कॉन्फिगर अटैच किया है, लेकिन वास्तव में यह बहुत ही सरलता से एडब्ल्यूएस कंसोल या एडब्ल्यूएस सीएलआई का उपयोग किया जाता है।

 # Cloudwatch event rule that runs acme-dns-route53 lambda every 12 hours resource "aws_cloudwatch_event_rule" "acme_dns_route53_sheduler" { name = "acme-dns-route53-issuer-scheduler" schedule_expression = "cron(0 */12 * * ? *)" } # Specify the lambda function to run resource "aws_cloudwatch_event_target" "acme_dns_route53_sheduler_target" { rule = "${aws_cloudwatch_event_rule.acme_dns_route53_sheduler.name}" arn = "${aws_lambda_function.acme_dns_route53.arn}" } # Give CloudWatch permission to invoke the function resource "aws_lambda_permission" "permission" { action = "lambda:InvokeFunction" function_name = "${aws_lambda_function.acme_dns_route53.function_name}" principal = "events.amazonaws.com" source_arn = "${aws_cloudwatch_event_rule.acme_dns_route53_sheduler.arn}" } 

अब आप SSL प्रमाणपत्र स्वचालित रूप से बनाने और नवीनीकृत करने के लिए कॉन्फ़िगर किए गए हैं