Esta publicação descreve as etapas necessárias para configurar a criação e renovação automáticas de certificados SSL, usando o Let's Encrypt como Autoridade de Certificação automatizada, que fornece uma API bem mantida.
acme-dns-route53 é a ferramenta para obter certificados SSL do Let's Encrypt usando o desafio DNS-01 com o Route53 e o Amazon Certificate Manager da AWS. acme-dns-route53 também possui a funcionalidade interna para usar essa ferramenta no AWS Lambda, e é isso que vamos fazer.
Esta postagem está dividida em quatro seções:
- criar um arquivo zip implementável independente
- criando uma função do IAM para a função lambda que fornece as permissões necessárias para executar
- criando uma função lambda que executa
acme-dns-route53 - criando um temporizador do CloudWatch que aciona uma função lambda duas vezes por dia
Nota: antes de iniciar, verifique se o GoLang 1.9+ e a AWS CLI já estão instalados.
Criou um arquivo zip implantável e independente
acme-dns-route53 está escrito no GoLang e a versão de suporte não inferior a 1.9. Precisamos criar um arquivo zip implementável independente que contenha executável da ferramenta acme-dns-route53 dentro.
A primeira etapa é criar um executável a partir do acme-dns-route53 GitHub remoto da ferramenta acme-dns-route53 usando o comando go install :
$ env GOOS=linux GOARCH=amd64 go install github.com/begmaroman/acme-dns-route53
O executável será instalado no $GOPATH/bin . Importante: como parte desse comando, estamos usando o env para definir temporariamente duas variáveis de ambiente durante o comando ( GOOS=linux e GOARCH=amd64 ). Eles instruem o compilador Go a criar um executável adequado para uso com um SO Linux e arquitetura amd64 - que é o que ele estará executando quando o implantarmos na AWS.
A AWS exige o upload de nossas funções lambda em um arquivo zip, então vamos criar um arquivo zip acme-dns-route53.zip contendo o executável que acabamos de criar:
$ zip -j ~/acme-dns-route53.zip $GOPATH/bin/acme-dns-route53
Observe que o executável deve estar na raiz do arquivo zip - não em uma pasta dentro do arquivo zip. Para garantir isso, usei o sinalizador -j no snippet acima para nomes de diretório indesejados.
Agora, o arquivo zip pode ser implantado, mas ainda precisa de permissões para ser executado.
Criando uma função do IAM para a função lambda que fornece as permissões necessárias para executar
Precisamos configurar uma função do IAM que defina a permissão que nossa função lambda terá quando estiver em execução.
Por enquanto, vamos configurar uma função lambda-acme-dns-route53-executor e anexar a política gerenciada AWSLambdaBasicExecutionRole a ela. Isso dará à nossa função lambda as permissões básicas necessárias para executar e fazer logon no serviço AWS CloudWatch.
Primeiro, precisamos criar um arquivo JSON da política de confiança. Isso instruirá essencialmente a AWS a permitir que os serviços lambda assumam a função lambda-acme-dns-route53-executor :
$ touch ~/lambda-acme-dns-route53-executor-policy.json
O conteúdo do arquivo JSON criado deve ser o seguinte:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "logs:CreateLogGroup" ], "Resource": "arn:aws:logs:<AWS_REGION>:<AWS_ACCOUNT_ID>:*" }, { "Effect": "Allow", "Action": [ "logs:PutLogEvents", "logs:CreateLogStream" ], "Resource": "arn:aws:logs:<AWS_REGION>:<AWS_ACCOUNT_ID>:log-group:/aws/lambda/acme-dns-route53:*" }, { "Sid": "", "Effect": "Allow", "Action": [ "route53:ListHostedZones", "cloudwatch:PutMetricData", "acm:ImportCertificate", "acm:ListCertificates" ], "Resource": "*" }, { "Sid": "", "Effect": "Allow", "Action": [ "sns:Publish", "route53:GetChange", "route53:ChangeResourceRecordSets", "acm:ImportCertificate", "acm:DescribeCertificate" ], "Resource": [ "arn:aws:sns:<AWS_REGION>:<AWS_ACCOUNT_ID>:<TOPIC_NAME>", "arn:aws:route53:::hostedzone/*", "arn:aws:route53:::change/*", "arn:aws:acm:<AWS_REGION>:<AWS_ACCOUNT_ID>:certificate/*" ] } ] }
Em seguida, use o comando aws iam create-role para criar a função com esta política de confiança:
$ aws iam create-role --role-name lambda-acme-dns-route53-executor \ --assume-role-policy-document ~/lambda-acme-dns-route53-executor-policy.json
Anote o ARN (Amazon Resource Name) retornado - você precisará disso na próxima etapa.
Agora que a função lambda-acme-dns-route53-executor foi criada, precisamos especificar as permissões que a função possui. A maneira mais fácil de fazer isso é usar o comando aws iam attach-role-policy , transmitindo o ARN da política de permissão AWSLambdaBasicExecutionRole da AWSLambdaBasicExecutionRole maneira:
$ aws iam attach-role-policy --role-name lambda-acme-dns-route53-executor \ --policy-arn arn:aws:iam::aws:policy/service-role/AWSLambdaBasicExecutionRole
Nota: você pode encontrar uma lista de outras políticas de permissão que podem ser úteis aqui .
Criando uma função lambda que executa acme-dns-route53
Agora, estamos prontos para realmente implantar a função lambda na AWS, o que podemos fazer usando o comando aws lambda create-function . A função lambda precisa ser configurada com as seguintes opções:
AWS_LAMBDA ambiente AWS_LAMBDA com o valor 1 que ajusta a ferramenta para uso dentro da função Lambda.DOMAINS é a variável de ambiente que contém uma lista separada por vírgula de domínios para os quais os certificados serão emitidos.LETSENCRYPT_EMAIL é a variável de ambiente que contém o email de expiração do Let's Encrypt.NOTIFICATION_TOPIC é a variável de ambiente que contém o ARN do tópico de notificação do SNS.STAGING é a variável de ambiente que deve conter 1 valor para usar o ambiente de teste Let's Encrypt ou 0 para o ambiente de produção.RENEW_BEFORE é o número de dias que define o período antes da expiração dentro do qual um certificado deve ser renovado.1024 MB é o limite de memória (pode ser alterado, se necessário).900 segundos (15 min) é o tempo limite máximo.acme-dns-route53 é o nome do manipulador da função lambda.fileb://~/acme-dns-route53.zip é o arquivo .zip criado acima.
Vá em frente e tente implantá-lo:
$ aws lambda create-function \ --function-name acme-dns-route53 \ --runtime go1.x \ --role arn:aws:iam::<AWS_ACCOUNT_ID>:role/lambda-acme-dns-route53-executor \ --environment Variables="{AWS_LAMBDA=1,DOMAINS=\"example1.com,example2.com\",LETSENCRYPT_EMAIL=begmaroman@gmail.com,STAGING=0,NOTIFICATION_TOPIC=acme-dns-route53-obtained,RENEW_BEFORE=7}" \ --memory-size 1024 \ --timeout 900 \ --handler acme-dns-route53 \ --zip-file fileb://~/acme-dns-route53.zip { "FunctionName": "acme-dns-route53", "LastModified": "2019-05-03T19:07:09.325+0000", "RevisionId": "e3fadec9-2180-4bff-bb9a-999b1b71a558", "MemorySize": 1024, "Environment": { "Variables": { "DOMAINS": "example1.com,example2.com", "STAGING": "1", "LETSENCRYPT_EMAIL": "your@email.com", "NOTIFICATION_TOPIC": "acme-dns-route53-obtained", "RENEW_BEFORE": "7", "AWS_LAMBDA": "1" } }, "Version": "$LATEST", "Role": "arn:aws:iam::<AWS_ACCOUNT_ID>:role/lambda-acme-dns-route53-executor", "Timeout": 900, "Runtime": "go1.x", "TracingConfig": { "Mode": "PassThrough" }, "CodeSha256": "+2KgE5mh5LGaOsni36pdmPP9O35wgZ6TbddspyaIXXw=", "Description": "", "CodeSize": 8456317, "FunctionArn": "arn:aws:lambda:us-east-1:<AWS_ACCOUNT_ID>:function:acme-dns-route53", "Handler": "acme-dns-route53" }
Criando um timer do CloudWatch que aciona uma função lambda uma vez por dia
O último passo é criar um gatilho diário para a função. Para fazer isso, podemos:
- crie uma regra do CloudWatch com a expressão
schedule_expression desejada (quando deve ser executada). - crie um destino de regra (o que deve ser executado) especificando o ARN da função lambda.
- conceda à regra do CloudWatch permissão para chamar a função lambda.
Colei minha configuração do Terraform para ela abaixo, mas também é muito simples fazê-lo no console da AWS ou na CLI.
# Cloudwatch event rule that runs acme-dns-route53 lambda every 12 hours resource "aws_cloudwatch_event_rule" "acme_dns_route53_sheduler" { name = "acme-dns-route53-issuer-scheduler" schedule_expression = "cron(0 */12 * * ? *)" } # Specify the lambda function to run resource "aws_cloudwatch_event_target" "acme_dns_route53_sheduler_target" { rule = "${aws_cloudwatch_event_rule.acme_dns_route53_sheduler.name}" arn = "${aws_lambda_function.acme_dns_route53.arn}" } # Give CloudWatch permission to invoke the function resource "aws_lambda_permission" "permission" { action = "lambda:InvokeFunction" function_name = "${aws_lambda_function.acme_dns_route53.function_name}" principal = "events.amazonaws.com" source_arn = "${aws_cloudwatch_event_rule.acme_dns_route53_sheduler.arn}" }
Agora você também pode ter renovações de certificado TLS 100% automatizadas!