Unraid基于Acme与NginxProxyManager申请免费证书且自动更新并配合内网穿透实现Https安全访问

最新推荐文章于 2024-08-14 12:04:56 发布
最新推荐文章于 2024-08-14 12:04:56 发布
阅读量6.7k 收藏 13
点赞数 1
分类专栏: UnRaid 内网穿透 SSL证书 文章标签: https docker 自动更新
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/engineerlzk/article/details/120248413
版权
UnRaid 同时被 3 个专栏收录
21 篇文章 12 订阅
订阅专栏
内网穿透
7 篇文章 1 订阅
订阅专栏
SSL证书
2 篇文章 0 订阅
订阅专栏

       标题虽然有点拗口,但确实是很多爱折腾的朋友需要实现的功能,通过我无数次的构思与实验,终于探索出了一条可行路径,当然,如果你本身已经拥备公网ip,则远远没有如此麻烦,可以看看网上的其它文章,但本文对你依然有帮助,只是不需要其中的一些步骤罢了。好了,言归正传,开启折腾实录之旅——大佬勿喷,我只是希望和我一样的小白能够搞清楚而已。

  • 我的配置和打算:

      最近中毒组了1台N1机箱的Nas小主机,华擎Z490m-itx/ac主板,qtb0-10900T处理器,16G+8G的DDR4内存条,硬盘若干,还购买了Unraid专业版正版授权,想着不折腾点实用功能都对不起这些高档(囧)的配件和软件。于是就想在该Unraid系统上安装自己的私有密码管理器(告别在线密码的隐私风险)、自己的图书管理系统、自己的邮件系统、自己的office系统……,而其中的密码管理系统等是需要https才能正常访问和部署的,于是就有了这篇折腾实录。

  • 需要安装的docker应用和插件:

  • Acme(用于申请ssl免费证书)
  • NginxProxyManager(反向代理)
  • Vaultwarden(密码管理系统)
  • User Scripts(添加用户自定义脚本,本文中用于自动申请、拷贝、安装、更新ssl证书)

  • Vaultwarden安装:

        其它很多地方都是关于bitwarden的教程,在unraid中只有vaultawarden,在应用市场中搜索Vaultwarden按模板填写参数安装即可,只需规划好webui的端口即可(在unraid的docker页面查看docker应用也是可以找到这个端口数字的

  • Acme应用安装

        以申请mydomain.cf及其所有子域名的ssl证书为例,且是以在godaddy中解析的域名为例的,如果你是在其它dns解析商,可参考说明文档将其中一些参数修改为你自己的):

  • 创建容器:

 docker run --rm -itd -v /mnt/user/appdata/ssl/mydomain-cf:/acme.sh \

-e GD_Key=***** \

-e GD_Secret=***** \

--net=host --entrypoint /bin/sh --name=acme.sh neilpang/acme.sh

注意:】其中Key和Secret需要你自己在godaddy解析的核实页面自行创建并第一时间记录,之后不再显示。

  • 申请证书:

        更改默认证书为letsencrypt,否则报错,需要邮箱注册(因为acme将默认证书设置成了ZeroSSL)

docker exec acme.sh --set-default-ca  --server  letsencrypt

         正式申请证书:(我的是由godaddy负责域名解析,其它的情参考acme的说明)

docker exec acme.sh --issue --dns dns_gd -d mydomain.cf -d *.mydomain.cf

        安装证书:(执行后将在创建容器那1步设置的路径中生成privkey.pem和fullchain.pem这两个证书文件)--这一步只需要更改-d后的域名,其它都不能动,否则会出错!(你可以先将这2个证书文件下载到本地备用——一会儿需要上传到NginxProxyManager中

docker exec acme.sh --install-cert -d mydomain.cf \

--key-file /acme.sh/privkey.pem \

--fullchain-file /acme.sh/fullchain.pem

        将证书拷贝到NginxProxyManager应用中(在NginxProxyManager应用安装后再进行,请参照NginxProxyManager应用安装步骤)

  • NginxProxyManager应用安装:

  • 安装:

        NginxProxyManager是一款专门提供反向代理的软件(应该还有其他功能,我还没有研究,爱折腾的朋友请自行摸索)。可在unraid的app商店中直接搜索NginxProxyManager进行安装,我是全部缺省确认安装的。它的安装界面大致如下:

        记住图中的3个端口:7818是程序的管理端口,NginxProxyManager的管理界面从这个端口进行访问;1880是程序的http端口,你反代到程序的http页面通过这个端口访问;18443是程序的https端口,你反代到程序的https页面通过这个端口访问。你可以把这3个端口改成你想要的或喜欢的数字,只要不和其他端口重合就行。

  • 登录:安装后我们就可以用unrai的ip:7818登录管理页面:

默认的登录账户和密码是:

Email address: admin@example.com

Password: changeme

登录进去后,会弹出一个窗口,让你修改登录账户和密码(自己把它记录好,以后都要用这个账户和密码登录)。

  • 导入ssl证书:

        在NginxProxyManager中导入一次custom证书(否则在下一步拷贝证书文件时是找不到证书目录npm-*的——我导入后增加了一个子目录npm-1),其中key是私钥即privkey.pem,certificates是域名证书即fullchain.pem(这2个文件是Acme安装证书那一步生成并下载到本地的

  • 拷贝证书:

将证书文件拷贝到NginxProxyManager证书目录下(到底是npm-*可以在上一步导入证书后自行到custom_ssl目录下去查看)

cp /mnt/user/appdata/ssl/5inas-cf/*.pem /mnt/user/appdata/NginxProxyManager/custom_ssl/npm-1/

  • 重启NginxProxyManager:

在unraid网页管理docker页面重启或输入如下命令重启

docker exec NginxProxyManager reboot

  • 添加反向代理:

Dashboard】→【Add Proxy Host】按提示填写(一定要对照欲代理的应用的ip和端口对应——比如我的密码库域名是mima.mydomain.cf,docker地址是http://192.168.18.109:1080)→域名填写mima.mydomain.cf,Scheme就用缺省的http,Forward hostname/ip就填写192.168.18.109(我曾尝试填写127.0.0.1,因为我认为我的docker应用npm与vaultwardens是在同一个主机上,仅是端口不一样而已,结果不成功!),forwar port填写1080,一切ok!

 

如此设置后,我们把mima.mydomain.cf解析到https://192.168.18.109:18443,然后通过npm再反向代理到http://192.168.18.109:1080,以实现https加密访问(下面分公网和大内网分别进行说明——这部分只作简要说明,不懂的朋友自行爬网恶补这方面的知识)。

——对于公网,将域名解析到你的路由器公网ip(或者通过动态dns方式),在你的路由器上将18443端口映射到你的unraid主机ip192.168.18.109,这样通过mima.mydomain.cf:18443可以成功访问。

——对于大内网,可以通过frp等内网穿透方式将域名mima.mydomain.cf指向https://192.168.18.109:18443,这样看直接通过https://mima.mydomain.cf不带端口方式访问。

按理到这一步就已经大功告成了,但是由于Acme申请的免费ssl证书的有效期只有90天,所以我们必须在其失效之前再次申请并将其拷贝到docker应用npm中,于是请出下一步的User Scripts插件。

  • User Scripts安装和设置:

在应用市场中搜索User Scripts并安装即可,然后在插件中找到User Scripts插件,添加代码,并将其设定为用户自定义计划任务(custom),输入0 0 0 1 9/2(从9月开始每隔2个月的1日 执行一次,可以到【在线cron表达式生成器】按条件生成

代码如下:

docker run --rm -itd -v /mnt/user/appdata/ssl/mydomain-cf:/acme.sh -e GD_Key=***** -e GD_Secret=***** --net=host --entrypoint /bin/sh --name=acme.sh neilpang/acme.sh;

docker exec acme.sh --set-default-ca  --server  letsencrypt;

docker exec acme.sh --issue --dns dns_gd -d mydomain.cf -d *.mydomain.cf --force;

docker exec acme.sh --install-cert -d mydomain.cf --key-file /acme.sh/privkey.pem --fullchain-file /acme.sh/fullchain.pem;

cp -rf /mnt/user/appdata/ssl/mydomain-cf/*.pem /mnt/user/appdata/NginxProxyManager/custom_ssl/npm-1/;

docker exec NginxProxyManager reboot

  • 成功安全访问vaultwarden应用

.

 

  • 结语

最后再来捋一下实现的思路:

1.AcmeSSL申请免费SSL证书(并通过用户自定义脚本2月定时更新)

2.添加用户docker应用

3.npm调用免费SSL证书,并根据用户需求添加反向代理指向docker应用的ip和端口

4.开启折腾模式……

提醒:全部测试OK后记得开启npm和vaultwarden及你想运行的应用的自启动功能。

engineerlzk
关注
专栏目录
nginx-proxy-manager:Docker容器,用于通过简单,强大的界面管理Nginx代理主机
04-27
该项目是一个预先构建的docker映像,使您可以轻松转发到在家中或其他情况下运行的网站,包括免费的SSL,而无需对Nginx或Letsencrypt有所了解。 项目目标 我创建此项目是为了满足个人需要,即为用户提供一种轻松的方法来实现具有SSL终止的反向代理主机,并且它必须非常容易,猴子才能做到。 这个目标没有改变。 尽管可能有高级选项,但它们是可选的,并且项目应尽可能简单,以使进入此处的障碍很低。 特征 基于美观安全的管理界面 无需了解Nginx即可轻松创建转发域,重定向,流和404主机 使用“让我们加密”或提供您自己的自定义SSL证书免费SSL 主机的访问列表和基本HTTP身份验证 高级Nginx配置可用于超级用户 用户管理,权限和审核日志 托管您的家庭网络 在这里,我将不做过多介绍,但这里是一些新人的基本知识。 您的家用路由器将在某处具有“端口转发”部分。 登录并找到它 将端口
NginxProxyManager实现unraid反向代理
weixin_43435790的博客
07-20 1万+
NginxProxyManager实现unraid反响代理
docker 部署 vaultwarden 配置https
pantain的博客
08-14 335
安装插件后选择自托管,并配置服务器URL(域名)双击浏览器插件 将当前标签的url添加到项目。5. 手动添加密码到vaultwarden。刷新浏览器就会自动提示填充密码。4. 安装浏览器插件。
【傻呱呱】nginx反向代理 | 可视化操作 | 一键申请SSL证书 | 自动续期 | Nginx Proxy Manager
qq_29064203的博客
02-02 1897
如果返回了像下面这样的结果,说明端口被占用,具体被哪个程序占用,可以在每一行的最后的字段找到,像下面这个就是被进程ID为 “797” ,程序名称为 “nps” 的程序占用。如果结果没有任何返回,则说明端口没有被占用,进一步说明不是端口被占用的原因导致无法访问,那可能是上一步创建容器出了问题。1、在电脑上新建一个文本文档并重命名为 “docker-compose.yml” ,端口占用的原因导致的无法访问,请仔细检查之前创建容器的步骤是否有疏漏。可以运行下面的命令检查容器是否在正常运行,3、 在Mac系统上。
轻松上手:Unraid 安装与配置指南
kiingking的博客
07-24 1354
Unraid 的安装和配置过程相对直观,下面是一个基本的步骤指南,帮助您完成 Unraid 的安装和基础配置。
群晖如何使用反向代理,让docker服务(vaultwarden)可以使用https
qq_34034975的博客
08-22 4428
这个时候你会发现访问不了,设置下证书,如何申请证书,这个自己百度吧,我是用的宝塔一键申请免费证书证书有很多种方式,阿里云也有免费的等等设置你哪个服务,用哪个证书即可(这点就是为啥用群晖的原因,点几下就好了,其他服务器弄本地弄证书略微复杂)
win-acme 网站https 证书免费申请工具
08-15
该工具支持ACME(Automatic Certificate Management Environment)协议,允许用户获取并自动更新Let's Encrypt提供的免费SSL/TLS证书。Let's Encrypt是一个非营利组织,致力于提供免费、自动化且开放的数字证书,以...
基于ACME协议的自动化SSL证书申请操作平台设计源码
最新发布
09-25
该平台为基于ACME协议的SSL证书自动化申请系统,源码包含1006个文件,涵盖737个Python脚本、76个GIF图像、27个JavaScript文件、24个文本文件、11个PNG图像、11个HTML文件、11个CSS文件以及各类配置和安装文件。...
acme.sh 实现acme 协议,可以从 Let's Encrypt 生成免费证书,内含完整源代码
02-22
acme.sh 实现acme 协议,可以从 Let's Encrypt 生成免费证书,内含完整源代码 生成证书 acme.sh 实现acme 协议支持的所有验证协议,有两种方式验证: http 验证 和 dns 验证。 1. http 方式 http 方式需要...
威联通qnap使用acme自动更新证书 qnap-acme.sh
01-29
配合neilepang/acme.sh容器,QTS 5.x可用脚本
基于 acme.sh 自动申请域名证书(群晖 Docker
自留地
05-30 5136
本文介绍如何使用 Docker 镜像 acme.sh,实现证书自动申请和续签功能。 acme.sh 可以从 letsencrypt 生成免费证书,支持 Docker 部署,支持 http 和 DNS 两种域名验证方式,其中包括手动,自动 DNS 及 DNS alias 模式方便各种环境和需求。可同时申请合并多张单域名,泛域名证书,并自动续签证书和部署到项目。 准备 DNS API 本文以腾讯云为例申请 DNS API,其他解析平台请参考官方文档 dnsapi。 首先,打开 DNSPOD,点击右上角头像
vaultwarden:用Rust编写的非官方的Bitwarden兼容服务器,以前称为bitwarden_rs
05-11
用Rust编写并与*兼容的Bitwarden服务器API的替代实现,非常适合于可能不太适合运行官方资源的自托管部署。 :loudspeaker: 注意:该项目被称为Bitwarden_RS,并已重命名为与官方的Bitwarden服务器分离,以免造成混淆和商标/品牌问题。 有关更多说明,请参见 。 图像基于。 该项目与项目或8bit Solutions LLC没有关联。 :warning: 重要的 :warning: :使用此服务器时,无论您使用的是什么客户端(移动,台式机,浏览器...),请直接向我们报告任何错误或建议(请参阅本页底部的联系方式)。 请勿使用官方支持渠道。 特征 基本上提供了Bitwarden API的完整实现,包括: 组织支持 附件 保管箱API支持 为Vault界面提供静态文件 网站图标API 身份验证器和U2F支持 YubiKey和Duo支持 安装 拉docker映像并从主机挂载卷以进行持久存储: doc
bitwarden (vaultwarden) docker搭建
dyq94310的博客
09-12 8659
bitwarden 搭建 背景 免费用户LastPass目前只能在一个设备上登陆,所以迁移到bitwarden。bitwarden是开源的跨平台密码管理软件。搭建后可以有全部功能 具体流传步骤 前置条件: 安装docker bitwarden只支持Https,所以VPS需要有域名、开放80 、443端口 Lastpass导出的密码:我选择的CSV格式 bitwardenr: 密码管理程序 下载镜像 sudo docker pull bitwardenrs/server:latest 创建密
UnraidNginxProxyManager新安装以后出现初始账号登录失败502问题 gateway
Yourset的博客
05-10 8063
新安装以后出现初始账号登录失败502问题 gateway,怎么可能登录都没得登录呢 这个问题情况大概如下 si突然没找到图,大概演示一下吧 反正就是一种502错误 查了日志和各种东西都没什么用 重装也重装了好几次 (这个图里的错误代码是我自己画的,反正大概那个意思,就是莫名其妙报502错误(登录失败)) 后面我是通过查看gayhub中的issue 中的情况,发现这么一段文字,具体图没了,但是我留下了翻译 也就是说可能你之前有装过nginx相关的应用,所以出问题了 解..
docker部署Vaultwarden密码共享管理系统
weixin_51697917的博客
10-07 5221
Vaultwarden是一个开源的密码管理器,它是Bitwarden密码管理器的自托管版本。它提供了类似于Bitwarden的功能,允许用户安全地存储和管理密码、敏感数据和身份信息。Vaultwarden使用加密算法对用户的数据进行加密,并将其存储在数据库中。用户的数据只能通过唯一的加密密钥进行解密,确保数据的机密性。Vaultwarden可以用作独立的Web应用程序或与桌面客户端、浏览器插件等配合使用,以满足不同平台和设备上的需求。
Nginx网页配置工具nginxWebUI
热门推荐
wbsu2004的博客
12-30 1万+
nginxWebUI 是一款方便实用的 nginx 网页可视化配置工具。
使用1panel面板 超简单方式 通过docker安装本地Vaultwarden密码管理器,用nginx反向代理端口使用https(本地搭建,动态域名,端口映射)
qq_34034975的博客
09-04 2713
服务器系统:ubuntu server 22.04 面板:1panel (自带docker,功能基本都是docker) 路由器:爱快(端口映射,动态域名解析) 反向代理服务器:1panel下的openResty(就是nginx,没什么大区别) 安装 安装openResty 一键安装 安装bitwarden 一键安装 反向代理 bitwarden 访问是需要https 才可以的,这个需要一个域名,并且域名申请证书 解析动态域名 这个有很多方式,我这里用的是阿里
如何在群晖NAS搭建bitwarden密码管理软件并实现无公网IP远程访问
weixin_58070962的博客
03-28 2550
如何在群晖NAS搭建bitwarden密码管理软件并实现无公网IP远程访问
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

engineerlzk

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值