使用DNS-01挑战和AWS自动化让我们加密SSL证书管理

该帖子介绍了使用“ DNS-01质询”和“ AWS”Let's Encrypt CA自动执行SSL证书管理的步骤。


acme-dns-route53是使我们能够实现此功能的工具。 他知道如何使用Let's Encrypt的SSL证书,将其保存在Amazon Certificate Manager中,使用Route53 API实施DNS-01挑战,最后将通知推送到SNS中。 Acme-dns-route53还具有内置功能,可在AWS Lambda内使用,这就是我们所需要的。


本文分为4个部分:


  • 创建一个zip文件;
  • 创建IAM角色;
  • 创建一个运行acme-dns-route53的lambda函数;
  • 创建一个CloudWatch计时器,该计时器每天触发两次功能;

注意:在开始之前,您必须安装GoLang 1.9+AWS CLI


创建一个zip文件


acme-dns-route53用GoLang编写,支持版本不低于1.9。


我们需要创建一个zip文件,其中包含acme-dns-route53 。 为此,请使用go install命令从GitHub存储库安装acme-dns-route53


 $ env GOOS=linux GOARCH=amd64 go install github.com/begmaroman/acme-dns-route53 

二进制文件安装在$GOPATH/bin目录中。 请注意,在安装过程中,我们指定了两个环境变量: GOOS=linuxGOARCH=amd64 。 他们向Go编译器明确说明了需要创建适合Linux OS和amd64架构的二进制文件-这就是在AWS中运行的东西。
AWS假设将程序部署在zip文件中,因此让我们创建一个acme-dns-route53.zip存档,其中将包含新安装的二进制文件:


 $ zip -j ~/acme-dns-route53.zip $GOPATH/bin/acme-dns-route53 

注意:二进制文件必须位于zip归档文件的根目录中。 为此,我们使用-j标志。


现在,我们的zip昵称已准备好进行部署,仅用于创建具有必要权限的角色。


创建IAM角色


我们需要使用Lambda执行期间需要的特权来声明IAM角色。
让我们将此策略称为lambda-acme-dns-route53-executor并立即为其赋予AWSLambdaBasicExecutionRole的基本角色。 这将允许我们的lambda启动并将日志写入AWS CloudWatch服务。
首先,创建一个描述我们权利的JSON文件。 这实际上将允许lambda服务使用lambda-acme-dns-route53-executor角色:


 $ touch ~/lambda-acme-dns-route53-executor-policy.json 

我们文件的内容如下:


 { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "logs:CreateLogGroup" ], "Resource": "arn:aws:logs:<AWS_REGION>:<AWS_ACCOUNT_ID>:*" }, { "Effect": "Allow", "Action": [ "logs:PutLogEvents", "logs:CreateLogStream" ], "Resource": "arn:aws:logs:<AWS_REGION>:<AWS_ACCOUNT_ID>:log-group:/aws/lambda/acme-dns-route53:*" }, { "Sid": "", "Effect": "Allow", "Action": [ "route53:ListHostedZones", "cloudwatch:PutMetricData", "acm:ImportCertificate", "acm:ListCertificates" ], "Resource": "*" }, { "Sid": "", "Effect": "Allow", "Action": [ "sns:Publish", "route53:GetChange", "route53:ChangeResourceRecordSets", "acm:ImportCertificate", "acm:DescribeCertificate" ], "Resource": [ "arn:aws:sns:<AWS_REGION>:<AWS_ACCOUNT_ID>:<TOPIC_NAME>", "arn:aws:route53:::hostedzone/*", "arn:aws:route53:::change/*", "arn:aws:acm:<AWS_REGION>:<AWS_ACCOUNT_ID>:certificate/*" ] } ] } 

现在运行aws iam create-role命令来创建角色:


 $ aws iam create-role --role-name lambda-acme-dns-route53-executor \ --assume-role-policy-document ~/lambda-acme-dns-route53-executor-policy.json 

注意:请记住策略ARN(Amazon资源名称)-在接下来的步骤中我们将需要它。


已经创建了lambda-acme-dns-route53-executor角色,现在我们需要为其指定权限。 最简单的方法是使用aws iam attach-role-policy命令,通过如下所示传递AWSLambdaBasicExecutionRole ARN AWSLambdaBasicExecutionRole


 $ aws iam attach-role-policy --role-name lambda-acme-dns-route53-executor \ --policy-arn arn:aws:iam::aws:policy/service-role/AWSLambdaBasicExecutionRole 

注意: 此处包含其他策略列表。


创建运行acme-dns-route53的lambda函数


万岁! 现在,您可以使用aws lambda create-function命令将我们的功能部署到AWS。 必须使用以下环境变量配置lambda:


  • AWS_LAMBDA使acme-dns-route53知道执行在AWS Lambda内部进行。
  • DOMAINS -用逗号分隔的域列表。
  • LETSENCRYPT_EMAIL包含“加密电子邮件”
  • NOTIFICATION_TOPIC -SNS通知主题名称(可选)。
  • STAGING如果设置为1 ,则使用暂存环境。
  • RENEW_BEFORE确定必须更新证书的期限到期前的天数。
  • 1024 MB-内存限制,可能会发生变化。
  • 900秒(15分钟)-超时。
  • acme-dns-route53二进制文件的名称,该文件位于存档中。
  • fileb://~/acme-dns-route53.zip我们创建的存档的路径。

现在部署:


 $ aws lambda create-function \ --function-name acme-dns-route53 \ --runtime go1.x \ --role arn:aws:iam::<AWS_ACCOUNT_ID>:role/lambda-acme-dns-route53-executor \ --environment Variables="{AWS_LAMBDA=1,DOMAINS=\"example1.com,example2.com\",LETSENCRYPT_EMAIL=begmaroman@gmail.com,STAGING=0,NOTIFICATION_TOPIC=acme-dns-route53-obtained,RENEW_BEFORE=7}" \ --memory-size 1024 \ --timeout 900 \ --handler acme-dns-route53 \ --zip-file fileb://~/acme-dns-route53.zip { "FunctionName": "acme-dns-route53", "LastModified": "2019-05-03T19:07:09.325+0000", "RevisionId": "e3fadec9-2180-4bff-bb9a-999b1b71a558", "MemorySize": 1024, "Environment": { "Variables": { "DOMAINS": "example1.com,example2.com", "STAGING": "1", "LETSENCRYPT_EMAIL": "your@email.com", "NOTIFICATION_TOPIC": "acme-dns-route53-obtained", "RENEW_BEFORE": "7", "AWS_LAMBDA": "1" } }, "Version": "$LATEST", "Role": "arn:aws:iam::<AWS_ACCOUNT_ID>:role/lambda-acme-dns-route53-executor", "Timeout": 900, "Runtime": "go1.x", "TracingConfig": { "Mode": "PassThrough" }, "CodeSha256": "+2KgE5mh5LGaOsni36pdmPP9O35wgZ6TbddspyaIXXw=", "Description": "", "CodeSize": 8456317, "FunctionArn": "arn:aws:lambda:us-east-1:<AWS_ACCOUNT_ID>:function:acme-dns-route53", "Handler": "acme-dns-route53" } 

创建每天2次触发功能的CloudWatch计时器


最后一步是设置表冠,它每天两次调用我们的函数:


  • 创建一个带有schedule_expression值的CloudWatch规则。
  • 通过指定lambda函数的ARN来创建规则的目标(应执行的操作)。
  • 允许调用lambda函数的规则。

在下面,我附加了Terraform配置,但实际上,使用AWS控制台或AWS CLI非常简单。


 # Cloudwatch event rule that runs acme-dns-route53 lambda every 12 hours resource "aws_cloudwatch_event_rule" "acme_dns_route53_sheduler" { name = "acme-dns-route53-issuer-scheduler" schedule_expression = "cron(0 */12 * * ? *)" } # Specify the lambda function to run resource "aws_cloudwatch_event_target" "acme_dns_route53_sheduler_target" { rule = "${aws_cloudwatch_event_rule.acme_dns_route53_sheduler.name}" arn = "${aws_lambda_function.acme_dns_route53.arn}" } # Give CloudWatch permission to invoke the function resource "aws_lambda_permission" "permission" { action = "lambda:InvokeFunction" function_name = "${aws_lambda_function.acme_dns_route53.function_name}" principal = "events.amazonaws.com" source_arn = "${aws_cloudwatch_event_rule.acme_dns_route53_sheduler.arn}" } 

现在,您已配置为自动创建和续订SSL证书

Source: https://habr.com/ru/post/zh-CN451848/


All Articles