Docker环境下自动更新Let’s Encrypt SSL证书

最新推荐文章于 2024-06-01 17:47:53 发布
最新推荐文章于 2024-06-01 17:47:53 发布
阅读量2k 收藏
点赞数
文章标签: 运维 操作系统 json
原文链接:http://www.cnblogs.com/gao88/p/10596143.html
版权

说明:以下脚本在Ubuntu 18.04运行通过,大部分脚本执行需要管理员权限。

1. 准备docker环境

# 安装必备工具包
apt-get -y install apt-transport-https ca-certificates curl software-properties-common

# 添加docker阿里云源,相对官方源速度更快
curl -fsSL http://mirrors.aliyun.com/docker-ce/linux/ubuntu/gpg | sudo apt-key add -
add-apt-repository "deb [arch=amd64] http://mirrors.aliyun.com/docker-ce/linux/ubuntu $(lsb_release -cs) stable"

# 安装最新版社区版docker apt update -y apt install -y docker-ce # 如果想要安装指定版本的docker-ce,如下: # 查看有哪些版本 apt-cache madison docker-ce # 安装指定版本 apt install -y docker-ce=[版本] # 设置阿里云docker源 mkdir -p /etc/docker tee /etc/docker/daemon.json <<-'EOF' { "registry-mirrors": ["https://uon07it7.mirror.aliyuncs.com"] } EOF systemctl daemon-reload systemctl restart docker # 下载安装docker-compose curl -L https://github.com/docker/compose/releases/download/1.21.2/docker-compose-$(uname -s)-$(uname -m) -o /usr/local/bin/docker-compose chmod +x /usr/local/bin/docker-compose

2. Let's Encrypt免费证书签发过程简介

Let's Encrypt免费证书签发过程包含以下三个阶段:

  1. 在本地服务器上安装CertbotCertbot是签发/更新证书的客户端程序;
  2. 运行Certbot获取SSL/TLS证书,证书有效期为3个月
  3. 设置定时脚本每周运行一次Certbot更新证书。如果证书有效期小于30天,Certbot会更新证书;

3. Certbot工作原理简介

不论是第一次申请证书,还是更新证书,Certbot都会发起一次ACME请求,来验证你是否拥有该域名。如果验证通过,Certbot就会将新证书安装到本地服务,其实就是将证书保存在一个目录中。证书一般包含两个文件(包含公钥、私钥以及证书等信息),web服务器需要配置使用这两个证书文件,来实现HTTPS访问。

ACME验证过程如下:

  1. 假设你有一个域名:example.com,和一个公网IP:xxx.xxx.xxx.xxx,并设置好了DNS解析;
  2. 配置好一台web服务器,在80端口和443端口接受examle.com的请求;
  3. CertbotLet's Encrypt发起证书申请;
  4. Let's Encrypt返回Certbot一个唯一的token
  5. Certbot配置web服务器,使token可以通过url:http://example.com/.well-known/acme-challenge/{token}访问;
  6. Let's Encrypt CA访问上述url,如果获取到的token和它发送给Certbottoken一致,就可以证明你拥有该域名;

注意:Certbot需要配置web服务器的相应权限。以nginx为例,Certbot需要权限将token写入.well-known/acme-challenge目录。

4. 通过docker来运行Certbot

为了方便维护、升级,推荐使用docker来运行Certbot。整个过程可以分为两部分:首次申请证书和更新证书。

4.1 首次申请证书

  1. 创建web服务目录: mkdir -p /letsencrypt/site。这里以静态网页为例,也可以设为反向代理。
  2. 创建docker-compose文件:nano /letsencrypt/docker-compose.yml
version: '3.1'

services:
  demo-site:
    container_name: 'demo-site'
    image: nginx:alpine
    ports:
      - "80:80"
    volumes:
      - ./nginx.conf:/etc/nginx/conf.d/default.conf - ./site:/usr/share/nginx/html networks: - docker-network networks: docker-network: driver: bridge
  1. 创建nginx配置文件:nano /letsencrypt/nginx.conf
server {
    listen 80;
    server_name example.com www.example.com;

    location ~ /.well-known/acme-challenge {
        allow all;
        root /usr/share/nginx/html;
    }

    root /usr/share/nginx/html;
    index index.html;
}
  1. 启动web服务器:cd /letsencrypt && docker-compose up -d
  2. 运行Certbot申请证书
docker run --rm -it \
-v /letsencrypt/certbot/etc/letsencrypt:/etc/letsencrypt \             # 证书申请工作目录
-v /letsencrypt/certbot/var/log/letsencrypt:/var/log/letsencrypt \     # 日志记录
-v /letsencrypt/site:/data/letsencrypt \                               # ACME验证token目录,与nginx服务器共享 certbot/certbot \ certonly --webroot \ # 指定ACME验证方式:token文件验证 --email youremail@domain.com --agree-tos --no-eff-email \ # 申请者邮件 --webroot-path=/data/letsencrypt \ # ACME验证token文件放置目录 -d example.com -d www.example.com # 指定要申请证书的域名列表

如果脚本正常运行,可以在/letsencrypt/certbot/etc/letsencrypt/live下找到example.com文件夹,其中包含申请成功的证书文件:fullchain.pemprivkey.pem

  1. 停止web服务器:cd /letsencrypt && docker-compose down
  2. 更新docker-compose配置
version: '3.1'

services:
  demo-site:
    container_name: 'demo-site'
    image: nginx:alpine
    ports:
      - "80:80"     # 保留80端口,用于证书更新 - "443:443" volumes: - ./nginx.conf:/etc/nginx/conf.d/default.conf - ./site:/usr/share/nginx/html - ./certbot/etc/letsencrypt/live:/letsencrypt/live # 当前证书目录 - ./certbot/etc/letsencrypt/archive:/letsencrypt/archive # 历史证书目录 - ./dhparam-2048.pem:/letsencrypt/dhparam-2048.pem # 使用2048位DH(Diffie-Hellman)参数 networks: - docker-network networks: docker-network: driver: bridge

生成2048位的DH参数文件命令如下:

openssl dhparam -out /letsencrypt/dhparam-2048.pem 2048

live目录的证书会soft link到archive目录,而docker对soft link支持不好,因此需要同时映射live和archive目录。

  1. 更新nginx配置,启用HTTPS

处理http:

server {
    listen      80;
    server_name example.com www.example.com;

    # 重定向到https
    location / {
        rewrite ^ https://$host$request_uri? permanent;
    }

    # 高优先级,仅用于更新证书
    location ~ /.well-known/acme-challenge {
        allow all;
        root /data/letsencrypt;
    }
}

处理https:

server {
    listen 443 ssl http2;
    server_name example.com www.example.com;

    server_tokens off;

    ssl on;

    ssl_certificate /letsencrypt/live/example.com/fullchain.pem;
    ssl_certificate_key /letsencrypt/live/example.com/privkey.pem;

    ssl_buffer_size 8k;

    ssl_dhparam /letsencrypt/dhparam-2048.pem; # 使用2048位DH参数,加强安全

    ssl_protocols TLSv1.2 TLSv1.1 TLSv1;
    ssl_prefer_server_ciphers on;
    ssl_ciphers ECDH+AESGCM:ECDH+AES256:ECDH+AES128:DH+3DES:!ADH:!AECDH:!MD5;

    ssl_ecdh_curve secp384r1;
    ssl_session_tickets off;

    # OCSP stapling
    ssl_stapling on;
    ssl_stapling_verify on;
    resolver 8.8.8.8;

    root /usr/share/nginx/html;
    index index.html;
}

DH以及OCSP内容请参考:Strong SSL Security On nginx

  1. 重新启动web服务器:cd /letsencrypt && docker-compose up -d

4.2 更新证书

  1. 设置更新脚本
    touch /letsencrypt/renew.sh && chmod +x /letsencrypt/renew.sh
    nano /letsencrypt/renew.sh

renew.sh脚本内容如下:

#!/bin/bash

docker run -it --rm \
-v /letsencrypt/certbot/etc/letsencrypt:/etc/letsencrypt \
-v /letsencrypt/certbot/var/lib/letsencrypt:/var/lib/letsencrypt \
-v /letsencrypt/certbot/var/log/letsencrypt:/var/log/letsencrypt \
-v /letsencrypt/site:/data/letsencrypt \
certbot/certbot \
renew --webroot -w /data/letsencrypt --quiet && docker kill --signal=HUP demo-site

最后一行脚本说明:在更新完证书后,通知nginx重新加载配置。

  1. 设置定时任务
    通过crontab设置定时任务:
    crontab -e
    添加一行,每周执行一次更新脚本:
    0 1 * * 0 /letsencrypt/renew.sh

5. 安全加强

可以通过ssllabs.com验证证书,如果按照上述配置,应该可以获得A+评价。
当然,还可以进一步通过securityheaders.io校验网站安全性,对于nginx可以添加以下配置:

server {
    # ....

    location / {
        #security headers
        add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload";
        add_header X-XSS-Protection "1; mode=block" always;
        add_header X-Content-Type-Options "nosniff" always; add_header X-Frame-Options "DENY" always; #CSP add_header Content-Security-Policy "frame-src 'self'; default-src 'self'; script-src 'self' 'unsafe-inline' https://maxcdn.bootstrapcdn.com https://ajax.googleapis.com; img-src 'self'; style-src 'self' https://maxcdn.bootstrapcdn.com; font-src 'self' data: https://maxcdn.bootstrapcdn.com; form-action 'self'; upgrade-insecure-requests;" always; add_header Referrer-Policy "strict-origin-when-cross-origin" always; } # .... }

6. 小结

本文参考How to Set Up Free SSL Certificates from Let's Encrypt using Docker and Nginx,对Docker环境下如何使用Let's Encrypt自动获取/更新SSL证书做了一个简明攻略。
如果你正在使用K8S,ingress nginxtraefik都对let‘s encrypt提供了很好的支持,配合helm来安装部署,也更为简单方便。



作者:freefishz2
链接:https://www.jianshu.com/p/ea090833f766
来源:简书
简书著作权归作者所有,任何形式的转载都请联系作者获得授权并注明出处。

转载于:https://www.cnblogs.com/gao88/p/10596143.html

ahyz9638
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Docker中部署Nginx服务并配置Let’s Encrypt免费SSL证书(1)
tehcon的专栏
02-28 797
软硬件环境: 阿里云ECS Debian GNU/Linux 9.5 (stretch)Debian GNU/Linux 9.5 (stretch) Docker version 18.06.0-ce, build 0ffa825 docker-compose version 1.21.0, build 5920eb0 Nginx image: nginx:alpine 创建并运行Nginx容...
使用 Docker 生成 Let’s Encrypt 证书
生活在底层的低级码农
08-25 2091
概念 什么是 Container ? https://www.docker.com/resources/what-container https://www.docker.com/why-docker 什么是 Let’s EncryptLet’s Encrypt is a free, automated, and open Certificate Authority. 安装...
Docker 容器中运行Certbot获取和管理 SSL 证书
最新发布
别忘了微笑
06-01 865
如果你在 Docker 容器中运行 Nginx 并希望使用 Certbot 获取和管理 SSL 证书,可以使用 Certbot 的官方 Docker 镜像来完成这项工作。
Letsencrypt SSL免费证书申请(Docker
anqianxi8142的博客
02-27 314
最近需要SSL证书,又不想花钱买,正好看到linux基金会去年底上线了新的开源项目,免费推广SSL遂尝试。 Let's Encrypt 介绍 Let’s Encrypt is a free, automated, and open certificate authority (CA), run for the public’s benefit. It is a service ...
Docker搭建Let‘s Encrypt
StackSurfer的博客
04-15 694
Let’s Encrypt是一个免费、开放和自动化的证书颁发机构(CA),它提供了一种简单、无需重复的机制来获取和更新SSL/TLS证书Let’s Encrypt Docker镜像允许用户在容器化环境中轻松部署和使用Let’s Encrypt的服务。
使用Docker创建Let‘s Encrypt SSL证书
baidu_39340547的博客
03-21 2597
如果你的网站还在非https下裸奔,那你肯定out了,过去SSL证书价格昂贵,但今天我们很幸运Let‘s Encrypt为我们提供了免费的证书服务,本文主要介绍如何利用docker-compose运行certbot免污染主机环境的申请SSL证书、Nginx下证书的安装以及证书更新
docker-nginx-auto-ssl:使用Let's Encrypt和Open Resty自动生成SSL证书Docker映像
02-03
docker-nginx-auto-ssl:使用Let's Encrypt和Open Resty自动生成SSL证书Docker映像
docker-haproxy-certbot:带有Let's Encrypt证书Dockerized HAProxy自动续订
04-13
具有Let's Encrypt自动证书续订功能的Dockerized HAProxy 此容器为HAProxy实例提供启动时生成的“让我们加密”证书,并通过内部cron作业每周更新一次(如有必要)。 用法 从Docker Hub中提取: docker pull ...
gitlab-docker-letsencrypt:Gitlab CE + Docker Compose + Let's Encrypt(自动生成更新
05-31
Gitlab CE + Docker Compose 运行自动生成/更新让我们加密证书使用此存储库,您将能够将自托管的 Gitlab CE 设置为通过 SSL 自动生成并由 Web 代理自动更新的容器。先决条件为了使用这个撰写文件(docker-compose....
certbot-dns-cloudflare:Docker镜像可使用DNS挑战自动从Let's Encrypt检索通配符证书
04-10
一个Docker映像,可使用DNS挑战自动从Let's Encrypt检索通配符证书。 入门 复制的内容,将image替换为的最新版本( docker.pkg.github.com/runarsf/certbot-dns-cloudflare/certbot-dns-cloudflare:1.0.0 ),然后...
docker-apache-letsencrypt:该docker-image包含一个简单的Apache网络服务器,并通过出色的Let's Encrypt证书支持https-encryption!
05-07
Docker-让我们加密的Apache 这是一个基于debian的映像,该映像运行apache并从Let's Encrypt自动获取SSL证书。指示准备你的apache-config 如果要与certbot一起使用,则必须在apache-config中注意一些事项: 对于...
syno-acme:通过acme协议更新群晖HTTPS泛域名证书的自动脚本
05-29
syno-acme 通过acme协议更新群晖HTTPS泛域名证书的自动脚本 使用方法参见:
linux-使用LetsEncryptSSL进行保护的私人Docker注册表
08-13
使用Let's Encrypt SSL进行保护的私人Docker注册表
nginx-certbot:Nginx和certbot与docker-compose的样板配置
05-04
docker-compose上让我们加密的Nginx样板 该存储库随附。 init-letsencrypt.sh在使用nginx的docker-compose设置中获取并确保为一个或多个域续订Let's Encrypt证书。 当您需要将nginx设置为应用程序的反向代理时,这很有用。 安装 。 克隆此存储库: git clone https://github.com/wmnnd/nginx-certbot.git . 修改配置: 将域和电子邮件地址添加到init-letsencrypt.sh 将所有出现的example.org替换为data / nginx / app.conf中的主域(您添加到init-letsencrypt.sh中的第一个域) 运行初始化脚本: ./init-letsencrypt.sh 运行服务器: docker-compose up 有问题吗?
docker-compose配置Let‘s Encrypt证书
Huifeng Tang 的博客
06-15 1337
Let’s Encrypt 在 2017 年 4 月引入的一个新的频次限制 https://www.v2ex.com/t/408134 有时候手残也是一种过错,调试太多遇到频次限制的Error警告 /etc/nginx/certs/www.99kies.club /app Creating/renewal www.99kies.club certificates... (www.99kies.cl...
Let's Encrypt证书自动更新
热门推荐
沙沙罗曼的专栏
07-04 1万+
Let’s Encrypt证书自动更新 Let’s Encrypt免费SSL证书用起来非常方便,但每次申请只有三个月有效期,在每次到期之前都需要重新申请,不过重新申请并不麻烦,只需要一行命令就完事:certbot renew。 即便是一条命令就OK,也不想每隔三个月就需要登录到机器上执行更新命令,所以我在第一次申请之后就配置了crontab每隔两个月重新申请一次。 愿景是美好的,但过了一段时...
使用Docker容器签发和自动续期Let‘s Encrypt证书
D的博客
03-05 5180
1、docker下载镜像 docker pullcertbot/certbot 2、certbot 启动配置 docker run -it --rm --name certbot \ -v "/root/docker/certbot/ssl/:/etc/letsencrypt/" \ -v "/root/docker/nginx/www/:/var/www/html/" \ -v "/root/docker/certbot/letsencrypt/:/var..
获取Let‘s Encrypt https 证书自动更新
qq_22783587的博客
08-18 438
参考官方文档 环境: CentOS/RHEL 7 1. 安装snap,如果已安装,确保是最新版 sudo snap install core; sudo snap refresh core 2. 删除 certbot-auto 以及任何 Certbot OS 安装包 根据你安装时使用的工具执行不同的命令 sudo apt-get remove certbot, sudo dnf remove certbot sudo yum remove certbot. 3. 安装 Certbot sudo snap
群晖 Let's Encrypt 泛域名证书自动更新
qq_15004391的博客
10-20 6634
本文转载自:http://www.up4dev.com/2018/05/29/synology-ssl-wildcard-cert-update/,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有。 去年曾经写过一篇文章介绍如 何在群晖的 NAS 通过 acme 协议更新 Let’s Encrypt 的 HTTPS 证书 。最近突然发现acme协议版本更新,开始支持泛域名(wildca...
docker 私有仓库
09-07
这通常涉及到使用自签名证书、购买第三方证书或使用免费的证书颁发机构(如Let's Encrypt)来获得SSL证书。 3. 配置访问权限:您可以根据需要配置私有仓库的访问权限。这包括添加用户认证、设置访问控制列表(ACL)...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值