Автоматизация управления Let's Encrypt SSL сертификатами используя DNS-01 challenge и AWS

  • Tutorial

Пост описывает шаги для автоматизации управления SSL сертификатами от Let's Encrypt CA используя DNS-01 challenge и AWS.


acme-dns-route53 — это инструмент, который позволит нам реализовать данную фичу. Он умеет работать с SSL сертификатами от Let's Encrypt, сохранять их в Amazon Certificate Manager, использовать Route53 API для реализации DNS-01 challenge, и, в конце, пушить уведомления в SNS. В acme-dns-route53 так же присутствует built-in функционал для использования внутри AWS Lambda, и это то, что нам нужно.


Данная статья разбита на 4 раздела:


  • создание zip файла;
  • создание IAM роли;
  • создание лямбда функции которая запускает acme-dns-route53;
  • создание CloudWatch таймера который триггерит функцию 2 раза в день;

Note: перед началом необходимо установить GoLang 1.9+ и AWS CLI


Создание zip файла


acme-dns-route53 написан на GoLang и поддерживает версию не ниже 1.9.


Нам нужно создать zip файл с бинарником acme-dns-route53 внутри. Для этого необходимо установить acme-dns-route53 из GitHub репозитория используя команду go install:


$ env GOOS=linux GOARCH=amd64 go install github.com/begmaroman/acme-dns-route53

Бинарник установлен в $GOPATH/bin директорию. Обратите внимание на то, что при установке мы указали две переенные окружениея: GOOS=linux и GOARCH=amd64. Они дают понять Go компилятору об необходимости создания бинарника подходящего для Linux OS и amd64 архитектуры — это то, что запускается в AWS.
AWS пердполагает деплой нашей программы в zip файле, так что давайте создадим acme-dns-route53.zip архив который будет содержать только что установленный бинарник:


$ zip -j ~/acme-dns-route53.zip $GOPATH/bin/acme-dns-route53

Note: бинарник должен быть в корне zip архива. Для этого мы используем -j флаг.


Теперь наш zip-ник готов к деплою, осталось только создать роль с необходимыми правами.


Создание IAM роли


Нам нужно засетапить IAM роль с правами, необходимыми нашей лямбде во время ее выполнения.
Давайте назовем эту policy lambda-acme-dns-route53-executor и сразу дадим ей базовую роль AWSLambdaBasicExecutionRole. Это позволит нашей лямбде запуститься и писать логи в AWS CloudWatch сервис.
Для начала создаем JSON файл в котором описаны наши права. Это, по сути, разрешит лямбда-сервисам использовать роль lambda-acme-dns-route53-executor:


$ touch ~/lambda-acme-dns-route53-executor-policy.json

Содержимое нашего файла следующее:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogGroup"
            ],
            "Resource": "arn:aws:logs:<AWS_REGION>:<AWS_ACCOUNT_ID>:*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "logs:PutLogEvents",
                "logs:CreateLogStream"
            ],
            "Resource": "arn:aws:logs:<AWS_REGION>:<AWS_ACCOUNT_ID>:log-group:/aws/lambda/acme-dns-route53:*"
        },
        {
            "Sid": "",
            "Effect": "Allow",
            "Action": [
                "route53:ListHostedZones",
                "cloudwatch:PutMetricData",
                "acm:ImportCertificate",
                "acm:ListCertificates"
            ],
            "Resource": "*"
        },
        {
            "Sid": "",
            "Effect": "Allow",
            "Action": [
                "sns:Publish",
                "route53:GetChange",
                "route53:ChangeResourceRecordSets",
                "acm:ImportCertificate",
                "acm:DescribeCertificate"
            ],
            "Resource": [
                "arn:aws:sns:<AWS_REGION>:<AWS_ACCOUNT_ID>:<TOPIC_NAME>",
                "arn:aws:route53:::hostedzone/*",
                "arn:aws:route53:::change/*",
                "arn:aws:acm:<AWS_REGION>:<AWS_ACCOUNT_ID>:certificate/*"
            ]
        }
    ]
}

Теперь выполним команду aws iam create-role для создания роли:


$ aws iam create-role --role-name lambda-acme-dns-route53-executor \
 --assume-role-policy-document ~/lambda-acme-dns-route53-executor-policy.json

Note: запомните policy ARN (Amazon Resource Name) — он нам понадобится на следующих этапах.


Роль lambda-acme-dns-route53-executor создана, теперь нам нужно указать разрешения для нее. Самый простой способ сделать это — использовать команду aws iam attach-role-policy, передав policy ARN AWSLambdaBasicExecutionRole следующим образом:


$ aws iam attach-role-policy --role-name lambda-acme-dns-route53-executor \
--policy-arn arn:aws:iam::aws:policy/service-role/AWSLambdaBasicExecutionRole

Note: список с остальными политиками можно найти здесь.


Создание лямбда функции которая запускает acme-dns-route53


Ура! Теперь можно и задеплоить нашу функцию на AWS с помощью команды aws lambda create-function. Лямбда должна быть сконфигурированна используя следующие переменные окружения:


  • AWS_LAMBDA — дает понять acme-dns-route53 о том, что выполнение происходить внутри AWS Lambda.
  • DOMAINS — список доменов, разделенных запятыми.
  • LETSENCRYPT_EMAIL — содержит Let’s Encrypt Email.
  • NOTIFICATION_TOPIC — название SNS Notification Topic (опционально).
  • STAGING — при значении 1 используется staging environment.
  • RENEW_BEFORE — количество дней, определяющих период до истечения срока, в течение которого сертификат должен быть продлен.
  • 1024 MB — лимит памяти, может быть изменен.
  • 900 secs (15 min) — таймаут.
  • acme-dns-route53 — название нашего бинарника, который лежит в архиве.
  • fileb://~/acme-dns-route53.zip — путь к архиву, который мы создали.

Теперь деплоим:


$ aws lambda create-function \
 --function-name acme-dns-route53 \
 --runtime go1.x \
 --role arn:aws:iam::<AWS_ACCOUNT_ID>:role/lambda-acme-dns-route53-executor \
 --environment Variables="{AWS_LAMBDA=1,DOMAINS=\"example1.com,example2.com\",LETSENCRYPT_EMAIL=begmaroman@gmail.com,STAGING=0,NOTIFICATION_TOPIC=acme-dns-route53-obtained,RENEW_BEFORE=7}" \
 --memory-size 1024 \
 --timeout 900 \
 --handler acme-dns-route53 \
 --zip-file fileb://~/acme-dns-route53.zip

 {
     "FunctionName": "acme-dns-route53", 
     "LastModified": "2019-05-03T19:07:09.325+0000", 
     "RevisionId": "e3fadec9-2180-4bff-bb9a-999b1b71a558", 
     "MemorySize": 1024, 
     "Environment": {
         "Variables": {
            "DOMAINS": "example1.com,example2.com", 
            "STAGING": "1", 
            "LETSENCRYPT_EMAIL": "your@email.com", 
            "NOTIFICATION_TOPIC": "acme-dns-route53-obtained", 
            "RENEW_BEFORE": "7",
            "AWS_LAMBDA": "1"
         }
     }, 
     "Version": "$LATEST", 
     "Role": "arn:aws:iam::<AWS_ACCOUNT_ID>:role/lambda-acme-dns-route53-executor", 
     "Timeout": 900, 
     "Runtime": "go1.x", 
     "TracingConfig": {
         "Mode": "PassThrough"
     }, 
     "CodeSha256": "+2KgE5mh5LGaOsni36pdmPP9O35wgZ6TbddspyaIXXw=", 
     "Description": "", 
     "CodeSize": 8456317,
"FunctionArn": "arn:aws:lambda:us-east-1:<AWS_ACCOUNT_ID>:function:acme-dns-route53", 
     "Handler": "acme-dns-route53"
 }

Создание CloudWatch таймера который триггерит функцию 2 раза в день


Последний шаг — это настроить крон, который вызывает нашу функцию дважды в день:


  • создать правило CloudWatch со значением schedule_expression.
  • создать цель правила (что должно выполняться), указав ARN лямбда-функции.
  • дать разрешение правилу вызов лямбда-функции.

Ниже я прикрепил свой Terraform конфиг, но на самом деле это делается очень просто с помощью AWS консоль или AWS CLI.


# Cloudwatch event rule that runs acme-dns-route53 lambda every 12 hours
resource "aws_cloudwatch_event_rule" "acme_dns_route53_sheduler" {
  name                = "acme-dns-route53-issuer-scheduler"
  schedule_expression = "cron(0 */12 * * ? *)"
}

# Specify the lambda function to run
resource "aws_cloudwatch_event_target" "acme_dns_route53_sheduler_target" {
  rule = "${aws_cloudwatch_event_rule.acme_dns_route53_sheduler.name}"
  arn  = "${aws_lambda_function.acme_dns_route53.arn}"
}

# Give CloudWatch permission to invoke the function
resource "aws_lambda_permission" "permission" {
  action        = "lambda:InvokeFunction"
  function_name = "${aws_lambda_function.acme_dns_route53.function_name}"
  principal     = "events.amazonaws.com"
  source_arn    = "${aws_cloudwatch_event_rule.acme_dns_route53_sheduler.arn}"
}

Теперь и у вас настроено автоматическое создание и обновление SSL сертификатов

Поделиться публикацией

Похожие публикации

AdBlock похитил этот баннер, но баннеры не зубы — отрастут

Подробнее
Реклама

Комментарии 11

    0

    Вы забыли написать зачем весь этот велосипед если ACM и так умеет выпускать сертификаты, причем совершенно бесплатно

      0
      1. Что если нам нужно в случае успешного обновления сертификата паблишить сообщение в SNS? Это можно сделать стандартными средствами AWS?
      2. Нужно использовать сертификаты именно Let's Encrypt
      3. Домены (а-ля gateways) создаются и удаляются динамически самимы пользователями системы

      Этот «велосипед» помогает в конкретной задачи при определенных требованиях.
        0

        Я же и спрашиваю вас о том какая задача решается, потому что без описания задачи это выглядит как ненужный велосипед
        ACM выпускает абсолютно валидные сертификаты и требование Let's Encrypt непонятно

      0
      А зачем 2 раза в день сертификат обновлять?
      LE же на 3 месяца выдается…
        0
        Вы правы, забыл указать, что функция запускается 2 раза в сутки для того, чтобы проверять нужно ли обновлять сертификаты или нет. Но фактически сертификат будет обновлен если срок истечения наступит через n дней. Добавлю этот пункт в пост.
        –1
        AWS_REGION=us-east-1 \
        AWS_ACCESS_KEY_ID=my_id \
        AWS_SECRET_ACCESS_KEY=my_key \
        lego --email="foo@bar.com" --domains="example.com" --dns="route53" run

        Теперь и у вас настроено автоматическое создание и обновление SSL сертификатов
          0
          1. lego не использует ACM в качестве хранилища сертификатов. Этот момент описан в посте.
          2. lego не пушит сообщение в SNS по указанному топику.
          3. В рамках одного запроса можно выпустить только 1 сертификат. Пост описывает возможность выпуска множества сертификатов в рамках одного запроса (согласен что можно просто несколько раз запустить этот скрипт)
          0

          Чисто для справки. AWS бесплатно генерит сертификаты

            0
            Да знаю, но пост описывает работу именно с LE CA, не AWS.
              0

              Чисто для справки: из ACM хрен как вытянешь секретный ключ.
              И, да: он нужен ещё где.


              2 behmaroman: статья зачётная. даже несмотря на то, что всё можно было затерраформить, а не только "финальный аккорд". Спасибо!

                0
                Спасибо. Есть терраформ для всего этого. Приаттачу немного позже.

            Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

            Самое читаемое