@behmaroman14 мая 2019 в 18:10

Автоматизация управления Let's Encrypt SSL сертификатами используя DNS-01 challenge и AWS

5 мин

5.1K

Amazon Web Services * DNS * Go *

Туториал

Комментарии 11

@darken99 14 мая 2019 в 18:15

Вы забыли написать зачем весь этот велосипед если ACM и так умеет выпускать сертификаты, причем совершенно бесплатно

@behmaroman 14 мая 2019 в 19:01

1. Что если нам нужно в случае успешного обновления сертификата паблишить сообщение в SNS? Это можно сделать стандартными средствами AWS?
2. Нужно использовать сертификаты именно Let's Encrypt
3. Домены (а-ля gateways) создаются и удаляются динамически самимы пользователями системы

Этот «велосипед» помогает в конкретной задачи при определенных требованиях.

@darken99 14 мая 2019 в 20:16

Я же и спрашиваю вас о том какая задача решается, потому что без описания задачи это выглядит как ненужный велосипед
ACM выпускает абсолютно валидные сертификаты и требование Let's Encrypt непонятно

@Sly_tom_cat 14 мая 2019 в 19:50

А зачем 2 раза в день сертификат обновлять?
LE же на 3 месяца выдается…

@behmaroman 15 мая 2019 в 05:48

Вы правы, забыл указать, что функция запускается 2 раза в сутки для того, чтобы проверять нужно ли обновлять сертификаты или нет. Но фактически сертификат будет обновлен если срок истечения наступит через n дней. Добавлю этот пункт в пост.

@yvm 14 мая 2019 в 21:40

AWS_REGION=us-east-1 \

AWS_ACCESS_KEY_ID=my_id \

AWS_SECRET_ACCESS_KEY=my_key \

lego --email="foo@bar.com" --domains="example.com" --dns="route53" run

Теперь и у вас настроено автоматическое создание и обновление SSL сертификатов

@behmaroman 15 мая 2019 в 05:47

1. lego не использует ACM в качестве хранилища сертификатов. Этот момент описан в посте.
2. lego не пушит сообщение в SNS по указанному топику.
3. В рамках одного запроса можно выпустить только 1 сертификат. Пост описывает возможность выпуска множества сертификатов в рамках одного запроса (согласен что можно просто несколько раз запустить этот скрипт)