Автоматизация управления Let's Encrypt SSL сертификатами используя DNS-01 challenge и AWS
Пост описывает шаги для автоматизации управления SSL сертификатами от Let’s Encrypt CA используя DNS-01 challenge и AWS.
acme-dns-route53 — это инструмент, который позволит нам реализовать данную фичу. Он умеет работать с SSL сертификатами от Let’s Encrypt, сохранять их в Amazon Certificate Manager, использовать Route53 API для реализации DNS-01 challenge, и, в конце, пушить уведомления в SNS. В acme-dns-route53 так же присутствует built-in функционал для использования внутри AWS Lambda, и это то, что нам нужно.
Данная статья разбита на 4 раздела:
- создание zip файла;
- создание IAM роли;
- создание лямбда функции которая запускает acme-dns-route53;
- создание CloudWatch таймера который триггерит функцию 2 раза в день;
Note: перед началом необходимо установить GoLang 1.9+ и AWS CLI
Создание zip файла
acme-dns-route53 написан на GoLang и поддерживает версию не ниже 1.9.
Нам нужно создать zip файл с бинарником acme-dns-route53 внутри. Для этого необходимо установить acme-dns-route53 из GitHub репозитория используя команду go install:
$ env GOOS=linux GOARCH=amd64 go install github.com/begmaroman/acme-dns-route53Бинарник установлен в $GOPATH/bin директорию. Обратите внимание на то, что при установке мы указали две переенные окружениея: GOOS=linux и GOARCH=amd64. Они дают понять Go компилятору об необходимости создания бинарника подходящего для Linux OS и amd64 архитектуры — это то, что запускается в AWS.
AWS пердполагает деплой нашей программы в zip файле, так что давайте создадим acme-dns-route53.zip архив который будет содержать только что установленный бинарник:
$ zip -j ~/acme-dns-route53.zip $GOPATH/bin/acme-dns-route53Note: бинарник должен быть в корне zip архива. Для этого мы используем -j флаг.
Теперь наш zip-ник готов к деплою, осталось только создать роль с необходимыми правами.
Создание IAM роли
Нам нужно засетапить IAM роль с правами, необходимыми нашей лямбде во время ее выполнения.
Давайте назовем эту policy lambda-acme-dns-route53-executor и сразу дадим ей базовую роль AWSLambdaBasicExecutionRole. Это позволит нашей лямбде запуститься и писать логи в AWS CloudWatch сервис.
Для начала создаем JSON файл в котором описаны наши права. Это, по сути, разрешит лямбда-сервисам использовать роль lambda-acme-dns-route53-executor:
$ touch ~/lambda-acme-dns-route53-executor-policy.jsonСодержимое нашего файла следующее:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup"
],
"Resource": "arn:aws:logs:::*"
},
{
"Effect": "Allow",
"Action": [
"logs:PutLogEvents",
"logs:CreateLogStream"
],
"Resource": "arn:aws:logs:::log-group:/aws/lambda/acme-dns-route53:*"
},
{
"Sid": "",
"Effect": "Allow",
"Action": [
"route53:ListHostedZones",
"cloudwatch:PutMetricData",
"acm:ImportCertificate",
"acm:ListCertificates"
],
"Resource": "*"
},
{
"Sid": "",
"Effect": "Allow",
"Action": [
"sns:Publish",
"route53:GetChange",
"route53:ChangeResourceRecordSets",
"acm:ImportCertificate",
"acm:DescribeCertificate"
],
"Resource": [
"arn:aws:sns:${var.region}::",
"arn:aws:route53:::hostedzone/*",
"arn:aws:route53:::change/*",
"arn:aws:acm:::certificate/*"
]
}
]
} Теперь выполним команду aws iam create-role для создания роли:
$ aws iam create-role --role-name lambda-acme-dns-route53-executor \
--assume-role-policy-document ~/lambda-acme-dns-route53-executor-policy.jsonNote: запомните policy ARN (Amazon Resource Name) — он нам понадобится на следующих этапах.
Роль lambda-acme-dns-route53-executor создана, теперь нам нужно указать разрешения для нее. Самый простой способ сделать это — использовать команду aws iam attach-role-policy, передав policy ARN AWSLambdaBasicExecutionRole следующим образом:
$ aws iam attach-role-policy --role-name lambda-acme-dns-route53-executor \
--policy-arn arn:aws:iam::aws:policy/service-role/AWSLambdaBasicExecutionRoleNote: список с остальными политиками можно найти здесь.
Создание лямбда функции которая запускает acme-dns-route53
Ура! Теперь можно и задеплоить нашу функцию на AWS с помощью команды aws lambda create-function. Лямбда должна быть сконфигурированна используя следующие переменные окружения:
AWS_LAMBDA— дает понять acme-dns-route53 о том, что выполнение происходить внутри AWS Lambda.DOMAINS— список доменов, разделенных запятыми.LETSENCRYPT_EMAIL— содержит Let«s Encrypt Email.NOTIFICATION_TOPIC— название SNS Notification Topic (опционально).STAGING— при значении1используется staging environment.1024MB — лимит памяти, может быть изменен.900secs (15 min) — таймаут.acme-dns-route53— название нашего бинарника, который лежит в архиве.fileb://~/acme-dns-route53.zip— путь к архиву, который мы создали.
Теперь деплоим:
$ aws lambda create-function \
--function-name acme-dns-route53 \
--runtime go1.x \
--role arn:aws:iam:::role/lambda-acme-dns-route53-executor \
--environment Variables="{AWS_LAMBDA=1,DOMAINS=\"example1.com,example2.com\",LETSENCRYPT_EMAIL=begmaroman@gmail.com,STAGING=0,NOTIFICATION_TOPIC=acme-dns-route53-obtained}" \
--memory-size 1024 \
--timeout 900 \
--handler acme-dns-route53 \
--zip-file fileb://~/acme-dns-route53.zip
{
"FunctionName": "acme-dns-route53",
"LastModified": "2019-05-03T19:07:09.325+0000",
"RevisionId": "e3fadec9-2180-4bff-bb9a-999b1b71a558",
"MemorySize": 1024,
"Environment": {
"Variables": {
"DOMAINS": "example1.com,example2.com",
"STAGING": "1",
"LETSENCRYPT_EMAIL": "your@email.com",
"NOTIFICATION_TOPIC": "acme-dns-route53-obtained",
"AWS_LAMBDA": "1"
}
},
"Version": "$LATEST",
"Role": "arn:aws:iam:::role/lambda-acme-dns-route53-executor",
"Timeout": 900,
"Runtime": "go1.x",
"TracingConfig": {
"Mode": "PassThrough"
},
"CodeSha256": "+2KgE5mh5LGaOsni36pdmPP9O35wgZ6TbddspyaIXXw=",
"Description": "",
"CodeSize": 8456317,
"FunctionArn": "arn:aws:lambda:us-east-1::function:acme-dns-route53",
"Handler": "acme-dns-route53"
} Создание CloudWatch таймера который триггерит функцию 2 раза в день
Последний шаг — это настроить крон, который вызывает нашу функцию дважды в день:
- создать правило CloudWatch со значением
schedule_expression. - создать цель правила (что должно выполняться), указав ARN лямбда-функции.
- дать разрешение правилу вызов лямбда-функции.
Ниже я прикрепил свой Terraform конфиг, но на самом деле это делается очень просто с помощью AWS консоль или AWS CLI.
# Cloudwatch event rule that runs acme-dns-route53 lambda every 12 hours
resource "aws_cloudwatch_event_rule" "acme_dns_route53_sheduler" {
name = "acme-dns-route53-issuer-scheduler"
schedule_expression = "cron(0 */12 * * ? *)"
}
# Specify the lambda function to run
resource "aws_cloudwatch_event_target" "acme_dns_route53_sheduler_target" {
rule = "${aws_cloudwatch_event_rule.acme_dns_route53_sheduler.name}"
arn = "${aws_lambda_function.acme_dns_route53.arn}"
}
# Give CloudWatch permission to invoke the function
resource "aws_lambda_permission" "permission" {
action = "lambda:InvokeFunction"
function_name = "${aws_lambda_function.acme_dns_route53.function_name}"
principal = "events.amazonaws.com"
source_arn = "${aws_cloudwatch_event_rule.acme_dns_route53_sheduler.arn}"
}Теперь и у вас настроено автоматическое создание и обновление SSL сертификатов
