A publicação descreve as etapas para automatizar o gerenciamento de certificados SSL da Let's Encrypt CA usando o desafio DNS-01 e a AWS .
O acme-dns-route53 é uma ferramenta que nos permitirá implementar esse recurso. Ele sabe como trabalhar com certificados SSL do Let's Encrypt, salvá-los no Amazon Certificate Manager, usar a API Route53 para implementar o desafio DNS-01 e, no final, enviar notificações no SNS. O Acme-dns-route53 também possui funcionalidade interna para uso no AWS Lambda, e é disso que precisamos.
Este artigo está dividido em 4 seções:
- crie um arquivo zip;
- criando uma função do IAM;
- criando uma função lambda que executa acme-dns-route53 ;
- criar um temporizador do CloudWatch que dispara uma função 2 vezes por dia;
Nota: Antes de começar, você deve instalar o GoLang 1.9+ e a AWS CLI
Crie um arquivo zip
O acme-dns-route53 está escrito no GoLang e suporta a versão não inferior a 1.9.
Precisamos criar um arquivo zip com o acme-dns-route53 dentro. Para fazer isso, instale acme-dns-route53 no repositório GitHub usando o comando go install :
$ env GOOS=linux GOARCH=amd64 go install github.com/begmaroman/acme-dns-route53
O binário está instalado no $GOPATH/bin . Observe que durante a instalação, especificamos duas variáveis de ambiente: GOOS=linux e GOARCH=amd64 . Eles deixam claro para o compilador Go a necessidade de criar um binário adequado para o Linux OS e a arquitetura amd64 - é isso que é executado na AWS.
A AWS assume a implantação de nosso programa em um arquivo zip, então vamos criar um arquivo acme-dns-route53.zip que conterá o binário recém-instalado:
$ zip -j ~/acme-dns-route53.zip $GOPATH/bin/acme-dns-route53
Nota: o binário deve estar na raiz do arquivo zip. Para isso, usamos o sinalizador -j .
Agora, nosso apelido de zip está pronto para implantação, resta apenas criar uma função com os direitos necessários.
Criar funções do IAM
Precisamos afirmar a função do IAM com os privilégios que nosso lambda precisa durante sua execução.
Vamos chamar essa política de lambda-acme-dns-route53-executor e atribuir imediatamente a função básica de AWSLambdaBasicExecutionRole . Isso permitirá que nosso lambda inicie e grave logs no serviço AWS CloudWatch.
Primeiro, crie um arquivo JSON que descreva nossos direitos. Isso permitirá essencialmente que os serviços lambda usem a função lambda-acme-dns-route53-executor :
$ touch ~/lambda-acme-dns-route53-executor-policy.json
O conteúdo do nosso arquivo é o seguinte:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "logs:CreateLogGroup" ], "Resource": "arn:aws:logs:<AWS_REGION>:<AWS_ACCOUNT_ID>:*" }, { "Effect": "Allow", "Action": [ "logs:PutLogEvents", "logs:CreateLogStream" ], "Resource": "arn:aws:logs:<AWS_REGION>:<AWS_ACCOUNT_ID>:log-group:/aws/lambda/acme-dns-route53:*" }, { "Sid": "", "Effect": "Allow", "Action": [ "route53:ListHostedZones", "cloudwatch:PutMetricData", "acm:ImportCertificate", "acm:ListCertificates" ], "Resource": "*" }, { "Sid": "", "Effect": "Allow", "Action": [ "sns:Publish", "route53:GetChange", "route53:ChangeResourceRecordSets", "acm:ImportCertificate", "acm:DescribeCertificate" ], "Resource": [ "arn:aws:sns:<AWS_REGION>:<AWS_ACCOUNT_ID>:<TOPIC_NAME>", "arn:aws:route53:::hostedzone/*", "arn:aws:route53:::change/*", "arn:aws:acm:<AWS_REGION>:<AWS_ACCOUNT_ID>:certificate/*" ] } ] }
Agora execute o comando aws iam create-role para criar a função:
$ aws iam create-role --role-name lambda-acme-dns-route53-executor \ --assume-role-policy-document ~/lambda-acme-dns-route53-executor-policy.json
Nota: lembre-se da política ARN (Amazon Resource Name) - precisaremos dela nas próximas etapas.
A função lambda-acme-dns-route53-executor foi criada, agora precisamos especificar permissões para ela. A maneira mais fácil de fazer isso é usar o comando aws iam attach-role-policy , passando a AWSLambdaBasicExecutionRole ARN da seguinte maneira:
$ aws iam attach-role-policy --role-name lambda-acme-dns-route53-executor \ --policy-arn arn:aws:iam::aws:policy/service-role/AWSLambdaBasicExecutionRole
Nota: uma lista com outras políticas pode ser encontrada aqui .
Criando uma função lambda que executa acme-dns-route53
Viva! Agora você pode implantar nossa função na AWS usando o comando aws lambda create-function . O lambda deve ser configurado usando as seguintes variáveis de ambiente:
AWS_LAMBDA - faz com que o acme-dns-route53 entenda que a execução ocorre no AWS Lambda.DOMAINS - uma lista de domínios separados por vírgulas.LETSENCRYPT_EMAIL - Contém Vamos Criptografar E-mail .NOTIFICATION_TOPIC - Nome do tópico de notificação do SNS (opcional).STAGING - se definido como 1 , o ambiente de temporariedade é usado.RENEW_BEFORE - o número de dias que determinam o período antes da expiração do período durante o qual o certificado deve ser renovado.1024 MB - limite de memória, sujeito a alterações.900 segundos (15 min) - tempo limite.acme-dns-route53 - o nome do nosso binário, que está no arquivo acme-dns-route53 .fileb://~/acme-dns-route53.zip - caminho para o arquivo que criamos.
Agora implante:
$ aws lambda create-function \ --function-name acme-dns-route53 \ --runtime go1.x \ --role arn:aws:iam::<AWS_ACCOUNT_ID>:role/lambda-acme-dns-route53-executor \ --environment Variables="{AWS_LAMBDA=1,DOMAINS=\"example1.com,example2.com\",LETSENCRYPT_EMAIL=begmaroman@gmail.com,STAGING=0,NOTIFICATION_TOPIC=acme-dns-route53-obtained,RENEW_BEFORE=7}" \ --memory-size 1024 \ --timeout 900 \ --handler acme-dns-route53 \ --zip-file fileb://~/acme-dns-route53.zip { "FunctionName": "acme-dns-route53", "LastModified": "2019-05-03T19:07:09.325+0000", "RevisionId": "e3fadec9-2180-4bff-bb9a-999b1b71a558", "MemorySize": 1024, "Environment": { "Variables": { "DOMAINS": "example1.com,example2.com", "STAGING": "1", "LETSENCRYPT_EMAIL": "your@email.com", "NOTIFICATION_TOPIC": "acme-dns-route53-obtained", "RENEW_BEFORE": "7", "AWS_LAMBDA": "1" } }, "Version": "$LATEST", "Role": "arn:aws:iam::<AWS_ACCOUNT_ID>:role/lambda-acme-dns-route53-executor", "Timeout": 900, "Runtime": "go1.x", "TracingConfig": { "Mode": "PassThrough" }, "CodeSha256": "+2KgE5mh5LGaOsni36pdmPP9O35wgZ6TbddspyaIXXw=", "Description": "", "CodeSize": 8456317, "FunctionArn": "arn:aws:lambda:us-east-1:<AWS_ACCOUNT_ID>:function:acme-dns-route53", "Handler": "acme-dns-route53" }
Criando um temporizador do CloudWatch que aciona uma função 2 vezes por dia
O último passo é configurar a coroa, que chama nossa função duas vezes por dia:
- Crie uma regra do CloudWatch com um valor de
schedule_expression . - crie o objetivo da regra (o que deve ser feito) especificando o ARN da função lambda.
- dê permissão à regra que chama a função lambda.
Abaixo, anexei minha configuração do Terraform, mas na verdade isso é feito de maneira muito simples, usando o console da AWS ou a AWS CLI.
# Cloudwatch event rule that runs acme-dns-route53 lambda every 12 hours resource "aws_cloudwatch_event_rule" "acme_dns_route53_sheduler" { name = "acme-dns-route53-issuer-scheduler" schedule_expression = "cron(0 */12 * * ? *)" } # Specify the lambda function to run resource "aws_cloudwatch_event_target" "acme_dns_route53_sheduler_target" { rule = "${aws_cloudwatch_event_rule.acme_dns_route53_sheduler.name}" arn = "${aws_lambda_function.acme_dns_route53.arn}" } # Give CloudWatch permission to invoke the function resource "aws_lambda_permission" "permission" { action = "lambda:InvokeFunction" function_name = "${aws_lambda_function.acme_dns_route53.function_name}" principal = "events.amazonaws.com" source_arn = "${aws_cloudwatch_event_rule.acme_dns_route53_sheduler.arn}" }
Agora você está configurado para criar e renovar automaticamente certificados SSL