Пост описывает шаги для автоматизации управления SSL сертификатами от Let's Encrypt CA используя DNS-01 challenge и AWS.
acme-dns-route53 — это инструмент, который позволит нам реализовать данную фичу. Он умеет работать с SSL сертификатами от Let's Encrypt, сохранять их в Amazon Certificate Manager, использовать Route53 API для реализации DNS-01 challenge, и, в конце, пушить уведомления в SNS. В acme-dns-route53 так же присутствует built-in функционал для использования внутри AWS Lambda, и это то, что нам нужно.
Данная статья разбита на 4 раздела:
- создание zip файла;
- создание IAM роли;
- создание лямбда функции которая запускает acme-dns-route53;
- создание CloudWatch таймера который триггерит функцию 2 раза в день;
Note: перед началом необходимо установить GoLang 1.9+ и AWS CLI
Создание zip файла
acme-dns-route53 написан на GoLang и поддерживает версию не ниже 1.9.
Нам нужно создать zip файл с бинарником acme-dns-route53 внутри. Для этого необходимо установить acme-dns-route53 из GitHub репозитория используя команду go install:
$ env GOOS=linux GOARCH=amd64 go install github.com/begmaroman/acme-dns-route53Бинарник установлен в $GOPATH/bin директорию. Обратите внимание на то, что при установке мы указали две переенные окружениея: GOOS=linux и GOARCH=amd64. Они дают понять Go компилятору об необходимости создания бинарника подходящего для Linux OS и amd64 архитектуры — это то, что запускается в AWS.
AWS пердполагает деплой нашей программы в zip файле, так что давайте создадим acme-dns-route53.zip архив который будет содержать только что установленный бинарник:
$ zip -j ~/acme-dns-route53.zip $GOPATH/bin/acme-dns-route53Note: бинарник должен быть в корне zip архива. Для этого мы используем -j флаг.
Теперь наш zip-ник готов к деплою, осталось только создать роль с необходимыми правами.
Создание IAM роли
Нам нужно засетапить IAM роль с правами, необходимыми нашей лямбде во время ее выполнения.
Давайте назовем эту policy lambda-acme-dns-route53-executor и сразу дадим ей базовую роль AWSLambdaBasicExecutionRole. Это позволит нашей лямбде запуститься и писать логи в AWS CloudWatch сервис.
Для начала создаем JSON файл в котором описаны наши права. Это, по сути, разрешит лямбда-сервисам использовать роль lambda-acme-dns-route53-executor:
$ touch ~/lambda-acme-dns-route53-executor-policy.jsonСодержимое нашего файла следующее:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup"
],
"Resource": "arn:aws:logs:<AWS_REGION>:<AWS_ACCOUNT_ID>:*"
},
{
"Effect": "Allow",
"Action": [
"logs:PutLogEvents",
"logs:CreateLogStream"
],
"Resource": "arn:aws:logs:<AWS_REGION>:<AWS_ACCOUNT_ID>:log-group:/aws/lambda/acme-dns-route53:*"
},
{
"Sid": "",
"Effect": "Allow",
"Action": [
"route53:ListHostedZones",
"cloudwatch:PutMetricData",
"acm:ImportCertificate",
"acm:ListCertificates"
],
"Resource": "*"
},
{
"Sid": "",
"Effect": "Allow",
"Action": [
"sns:Publish",
"route53:GetChange",
"route53:ChangeResourceRecordSets",
"acm:ImportCertificate",
"acm:DescribeCertificate"
],
"Resource": [
"arn:aws:sns:${var.region}:<AWS_ACCOUNT_ID>:<TOPIC_NAME>",
"arn:aws:route53:::hostedzone/*",
"arn:aws:route53:::change/*",
"arn:aws:acm:<AWS_REGION>:<AWS_ACCOUNT_ID>:certificate/*"
]
}
]
}Теперь выполним команду aws iam create-role для создания роли:
$ aws iam create-role --role-name lambda-acme-dns-route53-executor --assume-role-policy-document ~/lambda-acme-dns-route53-executor-policy.jsonNote: запомните policy ARN (Amazon Resource Name) — он нам понадобится на следующих этапах.
Роль lambda-acme-dns-route53-executor создана, теперь нам нужно указать разрешения для нее. Самый простой способ сделать это — использовать команду aws iam attach-role-policy, передав policy ARN AWSLambdaBasicExecutionRole следующим образом:
$ aws iam attach-role-policy --role-name lambda-acme-dns-route53-executor --policy-arn arn:aws:iam::aws:policy/service-role/AWSLambdaBasicExecutionRoleNote: список с остальными политиками можно найти здесь.
Создание лямбда функции которая запускает acme-dns-route53
Ура! Теперь можно и задеплоить нашу функцию на AWS с помощью команды aws lambda create-function. Лямбда должна быть сконфигурированна используя следующие переменные окружения:
AWS_LAMBDA— дает понять acme-dns-route53 о том, что выполнение происходить внутри AWS Lambda.DOMAINS— список доменов, разделенных запятыми.LETSENCRYPT_EMAIL— содержит Let’s Encrypt Email.NOTIFICATION_TOPIC— название SNS Notification Topic (опционально).STAGING— при значении1используется staging environment.RENEW_BEFORE— количество дней, определяющих период до истечения срока, в течение которого сертификат должен быть продлен.1024MB — лимит памяти, может быть изменен.900secs (15 min) — таймаут.acme-dns-route53— название нашего бинарника, который лежит в архиве.fileb://~/acme-dns-route53.zip— путь к архиву, который мы создали.
Теперь деплоим:
$ aws lambda create-function --function-name acme-dns-route53 --runtime go1.x --role arn:aws:iam::<AWS_ACCOUNT_ID>:role/lambda-acme-dns-route53-executor --environment Variables="{AWS_LAMBDA=1,DOMAINS=\"example1.com,example2.com\",LETSENCRYPT_EMAIL=begmaroman@gmail.com,STAGING=0,NOTIFICATION_TOPIC=acme-dns-route53-obtained,RENEW_BEFORE=7}" --memory-size 1024 --timeout 900 --handler acme-dns-route53 --zip-file fileb://~/acme-dns-route53.zip
{
"FunctionName": "acme-dns-route53",
"LastModified": "2019-05-03T19:07:09.325+0000",
"RevisionId": "e3fadec9-2180-4bff-bb9a-999b1b71a558",
"MemorySize": 1024,
"Environment": {
"Variables": {
"DOMAINS": "example1.com,example2.com",
"STAGING": "1",
"LETSENCRYPT_EMAIL": "your@email.com",
"NOTIFICATION_TOPIC": "acme-dns-route53-obtained",
"RENEW_BEFORE": "7",
"AWS_LAMBDA": "1"
}
},
"Version": "$LATEST",
"Role": "arn:aws:iam::<AWS_ACCOUNT_ID>:role/lambda-acme-dns-route53-executor",
"Timeout": 900,
"Runtime": "go1.x",
"TracingConfig": {
"Mode": "PassThrough"
},
"CodeSha256": "+2KgE5mh5LGaOsni36pdmPP9O35wgZ6TbddspyaIXXw=",
"Description": "",
"CodeSize": 8456317,
"FunctionArn": "arn:aws:lambda:us-east-1:<AWS_ACCOUNT_ID>:function:acme-dns-route53",
"Handler": "acme-dns-route53"
}Создание CloudWatch таймера который триггерит функцию 2 раза в день
Последний шаг — это настроить крон, который вызывает нашу функцию дважды в день:
- создать правило CloudWatch со значением
schedule_expression. - создать цель правила (что должно выполняться), указав ARN лямбда-функции.
- дать разрешение правилу вызов лямбда-функции.
Ниже я прикрепил свой Terraform конфиг, но на самом деле это делается очень просто с помощью AWS консоль или AWS CLI.
# Cloudwatch event rule that runs acme-dns-route53 lambda every 12 hours
resource "aws_cloudwatch_event_rule" "acme_dns_route53_sheduler" {
name = "acme-dns-route53-issuer-scheduler"
schedule_expression = "cron(0 */12 * * ? *)"
}
# Specify the lambda function to run
resource "aws_cloudwatch_event_target" "acme_dns_route53_sheduler_target" {
rule = "${aws_cloudwatch_event_rule.acme_dns_route53_sheduler.name}"
arn = "${aws_lambda_function.acme_dns_route53.arn}"
}
# Give CloudWatch permission to invoke the function
resource "aws_lambda_permission" "permission" {
action = "lambda:InvokeFunction"
function_name = "${aws_lambda_function.acme_dns_route53.function_name}"
principal = "events.amazonaws.com"
source_arn = "${aws_cloudwatch_event_rule.acme_dns_route53_sheduler.arn}"
}Теперь и у вас настроено автоматическое создание и обновление SSL сертификатов
Комментарии (11)
Sly_tom_cat
14.05.2019 22:50А зачем 2 раза в день сертификат обновлять?
LE же на 3 месяца выдается…behmaroman Автор
15.05.2019 08:48Вы правы, забыл указать, что функция запускается 2 раза в сутки для того, чтобы проверять нужно ли обновлять сертификаты или нет. Но фактически сертификат будет обновлен если срок истечения наступит через n дней. Добавлю этот пункт в пост.
yvm
15.05.2019 00:40AWS_REGION=us-east-1 \
AWS_ACCESS_KEY_ID=my_id \
AWS_SECRET_ACCESS_KEY=my_key \
lego --email="foo@bar.com" --domains="example.com" --dns="route53" run
Теперь и у вас настроено автоматическое создание и обновление SSL сертификатовbehmaroman Автор
15.05.2019 08:471. lego не использует ACM в качестве хранилища сертификатов. Этот момент описан в посте.
2. lego не пушит сообщение в SNS по указанному топику.
3. В рамках одного запроса можно выпустить только 1 сертификат. Пост описывает возможность выпуска множества сертификатов в рамках одного запроса (согласен что можно просто несколько раз запустить этот скрипт)
FCron
15.05.2019 09:06Чисто для справки. AWS бесплатно генерит сертификаты
begemoth3663
15.05.2019 10:26Чисто для справки: из ACM хрен как вытянешь секретный ключ.
И, да: он нужен ещё где.
2 behmaroman: статья зачётная. даже несмотря на то, что всё можно было затерраформить, а не только "финальный аккорд". Спасибо!
darken99
Вы забыли написать зачем весь этот велосипед если ACM и так умеет выпускать сертификаты, причем совершенно бесплатно
behmaroman Автор
1. Что если нам нужно в случае успешного обновления сертификата паблишить сообщение в SNS? Это можно сделать стандартными средствами AWS?
2. Нужно использовать сертификаты именно Let's Encrypt
3. Домены (а-ля gateways) создаются и удаляются динамически самимы пользователями системы
Этот «велосипед» помогает в конкретной задачи при определенных требованиях.
darken99
Я же и спрашиваю вас о том какая задача решается, потому что без описания задачи это выглядит как ненужный велосипед
ACM выпускает абсолютно валидные сертификаты и требование Let's Encrypt непонятно