当前位置：首页 > news >正文

docker环境下配置cerbot获取免费ssl证书并自动续期

news 文章来源：https://blog.csdn.net/baidu_21349635/article/details/142636425 2025/5/6 16:07:18

文章目录

- 实践场景
- 了解certbot
- 查看nginx的映射情况
- 操作目标
- 配置nginx配置的ssl证书
- 设置自动续签

实践场景

本人使用docker部署了一个nginx容器，通过容器卷，实现本地html，ssl，conf和ngiinx容器映射的，经常需要手动部署免费证书，但是现在的证书免费期3个月太短了。
研究发现: 使用certbot,L可以通过脚本的形式来完成证书的颁发，通过设置定时任务在过期前重新申请和替换，就可以曲线救国的形式来完成ssl证书自动续期，解放双手。

了解certbot

Certbot 是一个免费、开源的软件工具，用于从 Let’s Encrypt 等证书颁发机构获取和自动更新 SSL/TLS 证书。

Certbot 实现颁发证书的原理

生成密钥对和 CSR（证书签名请求）：

Certbot 首先在服务器上生成一个密钥对，包括私钥和公钥。私钥将被严格保密，存放在服务器上，用于对数据进行加密和解密。公钥则包含在 CSR 中。
CSR 是一个包含服务器信息（如域名、组织名称等）的文件，它是向证书颁发机构申请证书的请求。Certbot 会根据服务器的配置和用户提供的信息生成 CSR。
验证域名所有权：
证书颁发机构需要确保申请证书的人拥有该域名的所有权。Certbot 会通过多种方式来验证域名所有权，常见的方法有：
HTTP 验证：Certbot 在服务器上放置一个特定的文件，证书颁发机构会通过访问该文件来验证服务器是否对该域名有控制权。
DNS 验证：在域名的 DNS 记录中添加特定的 TXT 记录，证书颁发机构通过查询 DNS 记录来验证所有权。

提交 CSR 并获取证书：
一旦域名所有权验证通过，Certbot 会将 CSR 提交给证书颁发机构，如 Let’s Encrypt。
证书颁发机构会对 CSR 进行审核，如果一切符合要求，就会颁发一个数字证书。这个证书包含了服务器的公钥、域名信息、颁发机构的数字签名等。

安装证书：
Certbot 将获取到的证书安装到服务器上的适当位置，通常是与服务器软件（如 Nginx、Apache 等）相关的配置文件目录中。
服务器软件在启动时会读取证书文件，并使用其中的公钥来建立安全的 HTTPS 连接。

自动更新：
Certbot 可以设置为定期自动更新证书，以确保证书在有效期内始终有效。通常，Let’s Encrypt 颁发的证书有效期为 90 天，Certbot 会在证书即将过期之前自动执行更新流程，无需人工干预。

查看nginx的映射情况

确认已经对外映射了容器卷（生成的证书要放在本地目录，便于映射给nginx容器）

docker inspect nginx
在这里插入图片描述

确认开放了80和443端口

操作目标

在这里插入图片描述
先不着急执行此命令，需要先去nginx的域名下面配置验证文件：
在nginx.conf下配置

在这里插入图片描述
对应关系如下:
宿主机和nginx容器对应文件目录

文件名称	文件拥有者
/my/nginx/html	宿主机目录位置
/usr/share/nginx/html	nginx容器

宿主机和certbot容器对应文件目录

文件名称	文件拥有者
/my/nginx/html/certbot	宿主机目录位置
/data/letsencrypt	cerbot

执行上面的命令后, 验证文件会放在cerbot 容器的 /data/letsencrypt /.well-known/acme-challenge/，对应着宿主机的 /my/nginx/html/certbot/.well-known/acme-challenge/ ，也就是对应nginx容器对应的 /usr/share/nginx/html/certbot/.well-known/acme-challenge/
。通过这对应关系，后面才能执行成功。

  # 处理特定后缀的请求location  ~/.well-known/acme-challenge/ {root /usr/share/nginx/html/certbot;           
}

执行命令:

 docker run -it --rm --name certbot \-v /my/nginx/ssl/wiseinsightai/certbot/etc/letsencrypt:/etc/letsencrypt \-v /my/nginx/ssl/wiseinsightai/certbot/var/lib/letsencrpt:/var/lib/letsencrypt \-v /my/nginx/ssl/wiseinsightai/certbot/var/log/letsencrpt:/var/log/letsencrypt \-v /my/nginx/html/certbot:/data/letsencrypt \certbot/certbot certonly  \--webroot  \--webroot-path=/data/letsencrypt \--agree-tos -d XXX.com

正常情况下，执行成功，会生成证书，在/etc/letsencrypt/live/域名/live下，对应的宿主机目录下: 在这里插入图片描述

再根据对nginx容器的容器卷映射，转成nginx的目录:
即: # 对应 /my/nginx/ssl/wiseinsightai/certbot/etc/letsencrypt/live/域名

配置nginx配置的ssl证书

   server {listen 80;listen [::]:80;server_name www.XXX.com  XXX.com;server_tokens off;# 处理特定后缀的请求location  ~/.well-known/acme-challenge/ {root /usr/share/nginx/html/certbot;           }# http跳转到httpslocation / {return 301 https://XXX.com$request_uri;}# location / {#     proxy_pass  http://172.22.251.52:3000;# }}# 处理https请求server {listen 443 ssl;server_name  XXX.com www.XXX.com;server_tokens off;# 对应 /my/nginx/ssl/wiseinsightai/certbot/etc/letsencrypt/live/XXX.com目录ssl_certificate /etc/nginx/ssl/wiseinsightai/certbot/etc/letsencrypt/live/XXX.com/fullchain.pem;ssl_certificate_key /etc/nginx/ssl/wiseinsightai/certbot/etc/letsencrypt/live/XXX.com/privkey.pem;ssl_session_timeout 5m;ssl_protocols TLSv1 TLSv1.1 TLSv1.2;ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;ssl_prefer_server_ciphers on;# root /usr/share/nginx/html;# index index.html;location / {//  自己的服务或者静态文件html地址proxy_pass  http://172.22.251.52:3000;}}

配置好后，重启nginx容器，ssl证书就正式生效了!!!
在这里插入图片描述

设置自动续签

因为证书3个月就到期，我们可以设置一个定时任务，自动生成即可，cerbot的续签命令是renew关键字，
命令如下:

docker run -it --rm --name certbot \-v /my/nginx/ssl/wiseinsightai/certbot/etc/letsencrypt:/etc/letsencrypt \-v /my/nginx/ssl/wiseinsightai/certbot/var/lib/letsencrpt:/var/lib/letsencrypt \-v /my/nginx/ssl/wiseinsightai/certbot/var/log/letsencrpt:/var/log/letsencrypt \-v /my/nginx/html/certbot:/data/letsencrypt \certbot/certbot  renew

将此命令写成放在脚本里面。
在这里插入图片描述
通过crontab -e设置定时执行该脚本:内容如下:
根据自己的需求设置定时时间，我这里设置12小时一次。

# 自动续签证书
0 */12 * * * /root/renew_cert.sh

注意: 只有到期30天内才能执行成功，否则，脚本会提示没过期，不需要续签，直接跳过

在这里插入图片描述

以上便是，使用docker版的cerbot在已经安装nginx容器的情况下，获取免费ssl证书和设置自动续签的全部内容，
人无完人，如有错误，欢迎提出交流意见或者指正!!!

大功告成!!!

docker环境下配置cerbot获取免费ssl证书并自动续期

文章目录

实践场景

了解certbot

查看nginx的映射情况

操作目标

配置nginx配置的ssl证书

设置自动续签

相关文章：

docker环境下配置cerbot获取免费ssl证书并自动续期

Studying-多线程学习Part1-线程库的基本使用、线程函数中的数据未定义错误、互斥量解决多线程数据共享问题

Flink 03 | 数据流基本操作

在 TS 的 class 中，如何防止外部实例化

HTML详解

记录｜Modbus-TCP产品使用记录【德克威尔】

基于深度学习的视频生成

TB6612电机驱动模块（STM32）

webpack信息泄露

启动服务并登录MySQL9数据库

微服务_3.微服务保护

【设计模式】软件设计原则——依赖倒置合成复用

vue中如何实现组件通信

C/C++：内存管理

jmeter学习（4）提取器

移动端的每日任务，golang后端数据库应该怎么设计

1、Spring Boot 3.x 集成 Eureka Server/Client

Vue根实例、实例总结

微服务架构：Spring Cloud的服务注册与发现、配置管理、服务网关、熔断器、分布式追踪

Spring Boot实现的大学生就业市场解决方案

Ubuntu上安装Git：简单步骤指南

新闻推荐系统：Spring Boot的架构优势

谷歌收录批量查询，谷歌收录批量查询的简单方法

HarmonyOS NEXT应用开发(一、打造最好用的网络通信模块组件)

Windows Ubuntu下搭建深度学习Pytorch训练框架与转换环境TensorRT

如何选择合适的BI工具及集成

STM32的串行外设接口SPI

函数重载

单例模式：Python中的“独一无二”模式

C++和OpenGL实现3D游戏编程【连载12】——游戏中音效的使用