behmaroman May 14 2019 at 21:10

Автоматизация управления Let's Encrypt SSL сертификатами используя DNS-01 challenge и AWS

5 min

4.7K

Amazon Web Services*DNS*Go*

Tutorial

Comments 11

darken99 May 14 2019 at 21:15

Вы забыли написать зачем весь этот велосипед если ACM и так умеет выпускать сертификаты, причем совершенно бесплатно

behmaroman May 14 2019 at 22:01

1. Что если нам нужно в случае успешного обновления сертификата паблишить сообщение в SNS? Это можно сделать стандартными средствами AWS?
2. Нужно использовать сертификаты именно Let's Encrypt
3. Домены (а-ля gateways) создаются и удаляются динамически самимы пользователями системы

Этот «велосипед» помогает в конкретной задачи при определенных требованиях.

darken99 May 14 2019 at 23:16

Я же и спрашиваю вас о том какая задача решается, потому что без описания задачи это выглядит как ненужный велосипед
ACM выпускает абсолютно валидные сертификаты и требование Let's Encrypt непонятно

Sly_tom_cat May 14 2019 at 22:50

А зачем 2 раза в день сертификат обновлять?
LE же на 3 месяца выдается…

behmaroman May 15 2019 at 08:48

Вы правы, забыл указать, что функция запускается 2 раза в сутки для того, чтобы проверять нужно ли обновлять сертификаты или нет. Но фактически сертификат будет обновлен если срок истечения наступит через n дней. Добавлю этот пункт в пост.

yvm May 15 2019 at 00:40

AWS_REGION=us-east-1 \

AWS_ACCESS_KEY_ID=my_id \

AWS_SECRET_ACCESS_KEY=my_key \

lego --email="foo@bar.com" --domains="example.com" --dns="route53" run

Теперь и у вас настроено автоматическое создание и обновление SSL сертификатов

-1

behmaroman May 15 2019 at 08:47

1. lego не использует ACM в качестве хранилища сертификатов. Этот момент описан в посте.
2. lego не пушит сообщение в SNS по указанному топику.
3. В рамках одного запроса можно выпустить только 1 сертификат. Пост описывает возможность выпуска множества сертификатов в рамках одного запроса (согласен что можно просто несколько раз запустить этот скрипт)