Пост описывает шаги для автоматизации управления SSL сертификатами от Let's Encrypt CA используя DNS-01 challenge и AWS.
acme-dns-route53 — это инструмент, который позволит нам реализовать данную фичу. Он умеет работать с SSL сертификатами от Let's Encrypt, сохранять их в Amazon Certificate Manager, использовать Route53 API для реализации DNS-01 challenge, и, в конце, пушить уведомления в SNS. В acme-dns-route53 так же присутствует built-in функционал для использования внутри AWS Lambda, и это то, что нам нужно.
Данная статья разбита на 4 раздела:
- создание zip файла;
- создание IAM роли;
- создание лямбда функции которая запускает acme-dns-route53;
- создание CloudWatch таймера который триггерит функцию 2 раза в день;
Note: перед началом необходимо установить GoLang 1.9+ и AWS CLI
Создание zip файла
acme-dns-route53 написан на GoLang и поддерживает версию не ниже 1.9.
Нам нужно создать zip файл с бинарником acme-dns-route53 внутри. Для этого необходимо установить acme-dns-route53 из GitHub репозитория используя команду go install:
$ env GOOS=linux GOARCH=amd64 go install github.com/begmaroman/acme-dns-route53
Бинарник установлен в $GOPATH/bin директорию. Обратите внимание на то, что при установке мы указали две переенные окружениея: GOOS=linux и GOARCH=amd64. Они дают понять Go компилятору об необходимости создания бинарника подходящего для Linux OS и amd64 архитектуры — это то, что запускается в AWS.
AWS пердполагает деплой нашей программы в zip файле, так что давайте создадим acme-dns-route53.zip архив который будет содержать только что установленный бинарник:
$ zip -j ~/acme-dns-route53.zip $GOPATH/bin/acme-dns-route53
Note: бинарник должен быть в корне zip архива. Для этого мы используем -j флаг.
Теперь наш zip-ник готов к деплою, осталось только создать роль с необходимыми правами.
Создание IAM роли
Нам нужно засетапить IAM роль с правами, необходимыми нашей лямбде во время ее выполнения.
Давайте назовем эту policy lambda-acme-dns-route53-executor и сразу дадим ей базовую роль AWSLambdaBasicExecutionRole. Это позволит нашей лямбде запуститься и писать логи в AWS CloudWatch сервис.
Для начала создаем JSON файл в котором описаны наши права. Это, по сути, разрешит лямбда-сервисам использовать роль lambda-acme-dns-route53-executor:
$ touch ~/lambda-acme-dns-route53-executor-policy.json
Содержимое нашего файла следующее:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "logs:CreateLogGroup" ], "Resource": "arn:aws:logs:<AWS_REGION>:<AWS_ACCOUNT_ID>:*" }, { "Effect": "Allow", "Action": [ "logs:PutLogEvents", "logs:CreateLogStream" ], "Resource": "arn:aws:logs:<AWS_REGION>:<AWS_ACCOUNT_ID>:log-group:/aws/lambda/acme-dns-route53:*" }, { "Sid": "", "Effect": "Allow", "Action": [ "route53:ListHostedZones", "cloudwatch:PutMetricData", "acm:ImportCertificate", "acm:ListCertificates" ], "Resource": "*" }, { "Sid": "", "Effect": "Allow", "Action": [ "sns:Publish", "route53:GetChange", "route53:ChangeResourceRecordSets", "acm:ImportCertificate", "acm:DescribeCertificate" ], "Resource": [ "arn:aws:sns:<AWS_REGION>:<AWS_ACCOUNT_ID>:<TOPIC_NAME>", "arn:aws:route53:::hostedzone/*", "arn:aws:route53:::change/*", "arn:aws:acm:<AWS_REGION>:<AWS_ACCOUNT_ID>:certificate/*" ] } ] }
Теперь выполним команду aws iam create-role для создания роли:
$ aws iam create-role --role-name lambda-acme-dns-route53-executor \ --assume-role-policy-document ~/lambda-acme-dns-route53-executor-policy.json
Note: запомните policy ARN (Amazon Resource Name) — он нам понадобится на следующих этапах.
Роль lambda-acme-dns-route53-executor создана, теперь нам нужно указать разрешения для нее. Самый простой способ сделать это — использовать команду aws iam attach-role-policy, передав policy ARN AWSLambdaBasicExecutionRole следующим образом:
$ aws iam attach-role-policy --role-name lambda-acme-dns-route53-executor \ --policy-arn arn:aws:iam::aws:policy/service-role/AWSLambdaBasicExecutionRole
Note: список с остальными политиками можно найти здесь.
Создание лямбда функции которая запускает acme-dns-route53
Ура! Теперь можно и задеплоить нашу функцию на AWS с помощью команды aws lambda create-function. Лямбда должна быть сконфигурированна используя следующие переменные окружения:
AWS_LAMBDA— дает понять acme-dns-route53 о том, что выполнение происходить внутри AWS Lambda.DOMAINS— список доменов, разделенных запятыми.LETSENCRYPT_EMAIL— содержит Let’s Encrypt Email.NOTIFICATION_TOPIC— название SNS Notification Topic (опционально).STAGING— при значении1используется staging environment.RENEW_BEFORE— количество дней, определяющих период до истечения срока, в течение которого сертификат должен быть продлен.1024MB — лимит памяти, может быть изменен.900secs (15 min) — таймаут.acme-dns-route53— название нашего бинарника, который лежит в архиве.fileb://~/acme-dns-route53.zip— путь к архиву, который мы создали.
Теперь деплоим:
$ aws lambda create-function \ --function-name acme-dns-route53 \ --runtime go1.x \ --role arn:aws:iam::<AWS_ACCOUNT_ID>:role/lambda-acme-dns-route53-executor \ --environment Variables="{AWS_LAMBDA=1,DOMAINS=\"example1.com,example2.com\",LETSENCRYPT_EMAIL=begmaroman@gmail.com,STAGING=0,NOTIFICATION_TOPIC=acme-dns-route53-obtained,RENEW_BEFORE=7}" \ --memory-size 1024 \ --timeout 900 \ --handler acme-dns-route53 \ --zip-file fileb://~/acme-dns-route53.zip { "FunctionName": "acme-dns-route53", "LastModified": "2019-05-03T19:07:09.325+0000", "RevisionId": "e3fadec9-2180-4bff-bb9a-999b1b71a558", "MemorySize": 1024, "Environment": { "Variables": { "DOMAINS": "example1.com,example2.com", "STAGING": "1", "LETSENCRYPT_EMAIL": "your@email.com", "NOTIFICATION_TOPIC": "acme-dns-route53-obtained", "RENEW_BEFORE": "7", "AWS_LAMBDA": "1" } }, "Version": "$LATEST", "Role": "arn:aws:iam::<AWS_ACCOUNT_ID>:role/lambda-acme-dns-route53-executor", "Timeout": 900, "Runtime": "go1.x", "TracingConfig": { "Mode": "PassThrough" }, "CodeSha256": "+2KgE5mh5LGaOsni36pdmPP9O35wgZ6TbddspyaIXXw=", "Description": "", "CodeSize": 8456317, "FunctionArn": "arn:aws:lambda:us-east-1:<AWS_ACCOUNT_ID>:function:acme-dns-route53", "Handler": "acme-dns-route53" }
Создание CloudWatch таймера который триггерит функцию 2 раза в день
Последний шаг — это настроить крон, который вызывает нашу функцию дважды в день:
- создать правило CloudWatch со значением
schedule_expression. - создать цель правила (что должно выполняться), указав ARN лямбда-функции.
- дать разрешение правилу вызов лямбда-функции.
Ниже я прикрепил свой Terraform конфиг, но на самом деле это делается очень просто с помощью AWS консоль или AWS CLI.
# Cloudwatch event rule that runs acme-dns-route53 lambda every 12 hours resource "aws_cloudwatch_event_rule" "acme_dns_route53_sheduler" { name = "acme-dns-route53-issuer-scheduler" schedule_expression = "cron(0 */12 * * ? *)" } # Specify the lambda function to run resource "aws_cloudwatch_event_target" "acme_dns_route53_sheduler_target" { rule = "${aws_cloudwatch_event_rule.acme_dns_route53_sheduler.name}" arn = "${aws_lambda_function.acme_dns_route53.arn}" } # Give CloudWatch permission to invoke the function resource "aws_lambda_permission" "permission" { action = "lambda:InvokeFunction" function_name = "${aws_lambda_function.acme_dns_route53.function_name}" principal = "events.amazonaws.com" source_arn = "${aws_cloudwatch_event_rule.acme_dns_route53_sheduler.arn}" }
Теперь и у вас настроено автоматическое создание и обновление SSL сертификатов
