该帖子介绍了使用“ DNS-01质询”和“ AWS”从Let's Encrypt CA自动执行SSL证书管理的步骤。
acme-dns-route53是使我们能够实现此功能的工具。 他知道如何使用Let's Encrypt的SSL证书,将其保存在Amazon Certificate Manager中,使用Route53 API实施DNS-01挑战,最后将通知推送到SNS中。 Acme-dns-route53还具有内置功能,可在AWS Lambda内使用,这就是我们所需要的。
本文分为4个部分:
- 创建一个zip文件;
- 创建IAM角色;
- 创建一个运行acme-dns-route53的lambda函数;
- 创建一个CloudWatch计时器,该计时器每天触发两次功能;
注意:在开始之前,您必须安装GoLang 1.9+和AWS CLI
创建一个zip文件
acme-dns-route53用GoLang编写,支持版本不低于1.9。
我们需要创建一个zip文件,其中包含acme-dns-route53 。 为此,请使用go install命令从GitHub存储库安装acme-dns-route53 :
$ env GOOS=linux GOARCH=amd64 go install github.com/begmaroman/acme-dns-route53
二进制文件安装在$GOPATH/bin目录中。 请注意,在安装过程中,我们指定了两个环境变量: GOOS=linux和GOARCH=amd64 。 他们向Go编译器明确说明了需要创建适合Linux OS和amd64架构的二进制文件-这就是在AWS中运行的东西。
AWS假设将程序部署在zip文件中,因此让我们创建一个acme-dns-route53.zip存档,其中将包含新安装的二进制文件:
$ zip -j ~/acme-dns-route53.zip $GOPATH/bin/acme-dns-route53
注意:二进制文件必须位于zip归档文件的根目录中。 为此,我们使用-j标志。
现在,我们的zip昵称已准备好进行部署,仅用于创建具有必要权限的角色。
创建IAM角色
我们需要使用Lambda执行期间需要的特权来声明IAM角色。
让我们将此策略称为lambda-acme-dns-route53-executor并立即为其赋予AWSLambdaBasicExecutionRole的基本角色。 这将允许我们的lambda启动并将日志写入AWS CloudWatch服务。
首先,创建一个描述我们权利的JSON文件。 这实际上将允许lambda服务使用lambda-acme-dns-route53-executor角色:
$ touch ~/lambda-acme-dns-route53-executor-policy.json
我们文件的内容如下:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "logs:CreateLogGroup" ], "Resource": "arn:aws:logs:<AWS_REGION>:<AWS_ACCOUNT_ID>:*" }, { "Effect": "Allow", "Action": [ "logs:PutLogEvents", "logs:CreateLogStream" ], "Resource": "arn:aws:logs:<AWS_REGION>:<AWS_ACCOUNT_ID>:log-group:/aws/lambda/acme-dns-route53:*" }, { "Sid": "", "Effect": "Allow", "Action": [ "route53:ListHostedZones", "cloudwatch:PutMetricData", "acm:ImportCertificate", "acm:ListCertificates" ], "Resource": "*" }, { "Sid": "", "Effect": "Allow", "Action": [ "sns:Publish", "route53:GetChange", "route53:ChangeResourceRecordSets", "acm:ImportCertificate", "acm:DescribeCertificate" ], "Resource": [ "arn:aws:sns:<AWS_REGION>:<AWS_ACCOUNT_ID>:<TOPIC_NAME>", "arn:aws:route53:::hostedzone/*", "arn:aws:route53:::change/*", "arn:aws:acm:<AWS_REGION>:<AWS_ACCOUNT_ID>:certificate/*" ] } ] }
现在运行aws iam create-role命令来创建角色:
$ aws iam create-role --role-name lambda-acme-dns-route53-executor \ --assume-role-policy-document ~/lambda-acme-dns-route53-executor-policy.json
注意:请记住策略ARN(Amazon资源名称)-在接下来的步骤中我们将需要它。
已经创建了lambda-acme-dns-route53-executor角色,现在我们需要为其指定权限。 最简单的方法是使用aws iam attach-role-policy命令,通过如下所示传递AWSLambdaBasicExecutionRole ARN AWSLambdaBasicExecutionRole :
$ aws iam attach-role-policy --role-name lambda-acme-dns-route53-executor \ --policy-arn arn:aws:iam::aws:policy/service-role/AWSLambdaBasicExecutionRole
注意: 此处包含其他策略的列表。
创建运行acme-dns-route53的lambda函数
万岁! 现在,您可以使用aws lambda create-function命令将我们的功能部署到AWS。 必须使用以下环境变量配置lambda:
AWS_LAMBDA使acme-dns-route53知道执行在AWS Lambda内部进行。DOMAINS -用逗号分隔的域列表。LETSENCRYPT_EMAIL包含“加密电子邮件” 。NOTIFICATION_TOPIC -SNS通知主题名称(可选)。STAGING如果设置为1 ,则使用暂存环境。RENEW_BEFORE确定必须更新证书的期限到期前的天数。1024 MB-内存限制,可能会发生变化。900秒(15分钟)-超时。acme-dns-route53二进制文件的名称,该文件位于存档中。fileb://~/acme-dns-route53.zip我们创建的存档的路径。
现在部署:
$ aws lambda create-function \ --function-name acme-dns-route53 \ --runtime go1.x \ --role arn:aws:iam::<AWS_ACCOUNT_ID>:role/lambda-acme-dns-route53-executor \ --environment Variables="{AWS_LAMBDA=1,DOMAINS=\"example1.com,example2.com\",LETSENCRYPT_EMAIL=begmaroman@gmail.com,STAGING=0,NOTIFICATION_TOPIC=acme-dns-route53-obtained,RENEW_BEFORE=7}" \ --memory-size 1024 \ --timeout 900 \ --handler acme-dns-route53 \ --zip-file fileb://~/acme-dns-route53.zip { "FunctionName": "acme-dns-route53", "LastModified": "2019-05-03T19:07:09.325+0000", "RevisionId": "e3fadec9-2180-4bff-bb9a-999b1b71a558", "MemorySize": 1024, "Environment": { "Variables": { "DOMAINS": "example1.com,example2.com", "STAGING": "1", "LETSENCRYPT_EMAIL": "your@email.com", "NOTIFICATION_TOPIC": "acme-dns-route53-obtained", "RENEW_BEFORE": "7", "AWS_LAMBDA": "1" } }, "Version": "$LATEST", "Role": "arn:aws:iam::<AWS_ACCOUNT_ID>:role/lambda-acme-dns-route53-executor", "Timeout": 900, "Runtime": "go1.x", "TracingConfig": { "Mode": "PassThrough" }, "CodeSha256": "+2KgE5mh5LGaOsni36pdmPP9O35wgZ6TbddspyaIXXw=", "Description": "", "CodeSize": 8456317, "FunctionArn": "arn:aws:lambda:us-east-1:<AWS_ACCOUNT_ID>:function:acme-dns-route53", "Handler": "acme-dns-route53" }
创建每天2次触发功能的CloudWatch计时器
最后一步是设置表冠,它每天两次调用我们的函数:
- 创建一个带有
schedule_expression值的CloudWatch规则。 - 通过指定lambda函数的ARN来创建规则的目标(应执行的操作)。
- 允许调用lambda函数的规则。
在下面,我附加了Terraform配置,但实际上,使用AWS控制台或AWS CLI非常简单。
# Cloudwatch event rule that runs acme-dns-route53 lambda every 12 hours resource "aws_cloudwatch_event_rule" "acme_dns_route53_sheduler" { name = "acme-dns-route53-issuer-scheduler" schedule_expression = "cron(0 */12 * * ? *)" } # Specify the lambda function to run resource "aws_cloudwatch_event_target" "acme_dns_route53_sheduler_target" { rule = "${aws_cloudwatch_event_rule.acme_dns_route53_sheduler.name}" arn = "${aws_lambda_function.acme_dns_route53.arn}" } # Give CloudWatch permission to invoke the function resource "aws_lambda_permission" "permission" { action = "lambda:InvokeFunction" function_name = "${aws_lambda_function.acme_dns_route53.function_name}" principal = "events.amazonaws.com" source_arn = "${aws_cloudwatch_event_rule.acme_dns_route53_sheduler.arn}" }
现在,您已配置为自动创建和续订SSL证书