docker使用certbot与acme生成SSL证书

于 2024-08-09 12:36:39 发布
阅读量1.4k 收藏 24
点赞数 33
文章标签: docker ssl 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_30261927/article/details/141057621
版权

本文将介绍两种好用的自动化生成SSL证书的方式(certbot、acme)

一、certbot

步骤1:先做好域名dns解析到服务器ip上

步骤2:nginx必须添加的配置

server {
	listen 80;
	server_name xxxxx;#此处改为自己的域名
	
	#配置http验证可访问
    location /.well-known/acme-challenge/ {
        #此目录都是nginx容器内的目录,对应宿主机volumes中的http验证目录,而宿主机的又与certbot容器中命令--webroot-path指定目录一致,从而就整个串起来了,解决了http验证问题
        root /etc/nginx/cert/certbot/www/;
    }
}

 步骤3:启动nginx以及certbot,docker-compose.yml代码如下:

version: '3'
services:
  nginx:
    image: nginx:latest
    container_name: nginx
    restart: always
    ports:
      - "80:80"
      - "443:443"
    volumes:
      - ./nginx/nginx.conf:/etc/nginx/nginx.conf
      - ./nginx/cert:/etc/nginx/cert
      - ./nginx/conf.d:/etc/nginx/conf.d
      - ./nginx/logs:/var/log/nginx
      - ./nginx/html:/etc/nginx/html
    networks:
      - basic_net
  certbot:
    container_name: certbot
    image: certbot/certbot
    volumes:
          - ./nginx/cert/certbot/www:/usr/share/certbot/www #http验证目录,可设置rw可写,与nginx容器对应的宿主机目录时一致的
          - ./nginx/cert/certbot/ssl:/etc/letsencrypt #证书位置,同上,注意不要只映射到live,而是它的上一级
networks:
  basic_net:
    driver: bridge

certbot必须要和nginx搭配,因为在申请证书前会进行域名验证,就需要在你的站点下放一个/.well-known/acme-challenge,这种方式就是官网的Webroot的方式。

步骤4:证书申请

命令如下:

docker compose -f docker-compose-app.yml run --rm  certbot certonly --webroot --webroot-path /usr/share/certbot/www/ -d xxx.com

其中:xxx.com替换成你的域名。第一次运行会提示你填写邮箱地址,随便填。

执行完之后,将会在./nginx/cert/certbot/ssl目录下看到五个文件夹:accounts、archive、live、renewal、renewal-hooks,我们nginx需要用到的是live目录下的文件。主要关注以下两个:|
1、live/xxx.com/fullchain.pem对应着nginx的ssl_certificate配置 
2、live/xxx.com/privkey.pem对应着nginx的ssl_certificate_key配置

以上是申请证书的全部过程。

证书有效期为三个月,如何自动续签?

步骤1、新建一个certbot-crontab.sh

#!/bin/bash

echo "certbot检查:start"
docker compose -f docker-compose-app.yml run --rm certbot renew
echo "certbot检查:end"

sleep 10

echo "重新加载nginx:start"
docker exec nginx nginx -s reload
echo "重新加载nginx:end"

步骤2:增加certbot-crontab.sh的权限为可执行

步骤3:使用linux的crontab,指令如下:

crontab -e

将以下内容复制上去,其中certbot-crontab.sh、crontab-log.txt的路径替换成你自己的

0 0 1,15 * * /home/docker/workspace/basic/certbot/certbot-crontab.sh > /home/docker/workspace/basic/certbot/log/crontab-log.txt 2>&1 &

二、acme

步骤1、需要在云服务厂商获取到key和secret(此处以阿里云厂商为例)

步骤2:docker-compose.yml代码如下

version: '3'
services:
  acme:
    image: neilpang/acme.sh:latest
    container_name: acme
    restart: always
    command: daemon
    volumes:
      - ./nginx/cert/acme:/acme.sh
    environment:
      - Ali_Key=xxx        #此处替换成自己的key,阿里云的是Ali_Key,其他云的请查看官方文档
      - Ali_Secret=xxx     #此处替换成自己的secret,阿里云的是Ali_Secret,其他云的请查看官方文档
    networks:
      - basic_net
networks:
  basic_net:
    driver: bridge

步骤3:证书申请

命令如下:

docker exec acme --register-account -m xxx@qq.com --issue --dns dns_ali -d xxx.com --force --dnssleep

其中:xxx.com替换成你的域名。

执行完之后,将会在./nginx/cert/acme目录下看到xxx.com开头的目录,里面就是我们这次申请的证书。主要关注以下两个:|
1、fullchain.cer对应着nginx的ssl_certificate配置 
2、xxx.com.key对应着nginx的ssl_certificate_key配置

以上是申请证书的全部过程。

证书有效期为三个月,如何自动续签?

步骤1、新建一个certbot-crontab.sh

#!/bin/bash

echo "acme检查:start"
docker exec acme --cron
echo "acme检查:end"

sleep 5

echo "重新加载nginx:start"
docker exec nginx nginx -s reload
echo "重新加载nginx:end"

步骤2:增加certbot-crontab.sh的权限为可执行

步骤3:使用linux的crontab,指令如下:

crontab -e

将以下内容复制上去,其中certbot-crontab.sh、crontab-log.txt的路径替换成你自己的

0 0 1,15 * * /home/docker/workspace/basic/certbot/certbot-crontab.sh > /home/docker/workspace/basic/certbot/log/crontab-log.txt 2>&1 &

总结:certbot与acme各有所长。

certbot不需要云厂商的key和secret,比较方便,但是需要校验域名,生成的证书有权限问题,可能某些容器(如:registry)就因为文件权限问题没办法读取到文件。

而acme生成的文件,目前没遇到过其他容器读取的权限问题,但是它需要云厂商的key和secret,目前也就支持一些大厂,例如:腾讯云、阿里云、AWS等。

牛不柱
关注
使用Docker创建Let‘s Encrypt SSL证书
baidu_39340547的博客
03-21 2902
如果你的网站还在非https下裸奔,那你肯定out了,过去SSL证书价格昂贵,但今天我们很幸运Let‘s Encrypt为我们提供了免费的证书服务,本文主要介绍如何利用docker-compose运行certbot免污染主机环境的申请SSL证书、Nginx下证书的安装以及证书更新。
docker-nginx-certbot
04-27
docker-certbot-ningx-triad 介绍 使用此存储库,您无需购买证书即可使网站在Internet上可用。 证书certbot自动提供。 到达到期日期后,证书将自动更新。 建筑学 该架构的结构如下图所示。 代理服务从Internet(端口80、443)接收所有传入请求,并将它们相应地转发到Web服务。 一旦certbot服务尝试续订证书,所需的文件(ACME-Challenge)就会由certbot Web服务提供,并可以通过/.well-known/acme-challenge/上的端口80进行访问。 证书更新后,将立即通知Web服务(代理,Web)证书已更新。 然后,他们重新加载设置,包括证书。 通常的流量通过端口443路由到Web服务,该服务是承载您的网站的服务。 没有证书的安装 如果您没有来自Let's Encrypt的任何证书,则需要执行以下步骤: 注释掉其
Docker 容器中运行Certbot获取和管理 SSL 证书
最新发布
别忘了微笑
06-01 1205
如果你在 Docker 容器中运行 Nginx 并希望使用 Certbot 获取和管理 SSL 证书,可以使用 Certbot 的官方 Docker 镜像来完成这项工作。
使用 Docker CertBot 获取 SSL 证书
测试
08-30 616
Let‘s Encrypt 在很久之前就开始了证书的免费申请,但是随着 API 的升级、功能的增加,之前使用acme.sh 脚本就能够轻松获取证书的操作,变得越来越麻烦,而且随着配置项越来越多,浏览文档很难快速了解到什么才是当前的最佳实践。原来的方案在更新服务器操作系统之后,原本一直使用acme.sh 出现了问题:读取不到我配置的 DNS 账户名称,不管我是否直接将账号写入了执行脚本中。考虑到...
certbotdocker实践
weixin_34077371的博客
04-14 1906
2019独角兽企业重金招聘Python工程师标准>>> ...
docker certbot颁发letsencrypt证书
zoeou的博客
06-15 1956
webroot方式配置https证书,定时执行续期 执行certbot certonly webroot方式 nginx被访问 查询结果 查询帮助信息 执行续期证书命令 定时任务自动续期 手动更新证书-日志 问题: 报了以下错误: 解决: 需要把.well-known配置加以443端口里
centos 获取ssl 证书_使用 Docker CertBot 获取 SSL 证书
weixin_28677903的博客
01-30 192
本站使用「署名 4.0 国际 (CC BY 4.0)」许可协议,欢迎转载、或重新修改使用,但需要注明来源。 署名 4.0 国际 (CC BY 4.0)本文作者: 苏洋创建时间: 2018年08月30日 统计字数: 2671字 阅读时间: 6分钟阅读 本文链接: https://soulteary.com/2018/08/30/use-docker-certbot-to-obtain-ssl-cer...
acme云服务器生成证书_Certbot-免费的HTTPS证书
weixin_35600369的博客
01-01 529
书接上文,会了Nginx,也配了网站了,但是总觉得少了点什么,今天来说说https的证书配置关于什么是https,以及http和https的区别,这些问题我就不跟你多bb了,自己百度搜去。。。https_百度百科​baike.baidu.com直接说正事,Certbot的免费证书配置。获取SSL证书 理论上,我们自己也可以手动制作一个 SSL 安全证书,但是我们自己签发的安全证书浏览器信任,所以我...
docker-letsencrypt-certgen:Docker映像,以自动方式使用certbotacme.sh客户端从LetsEncrypt CA生成,更新,吊销RSA和ECDSA SSL证书
02-05
docker-letsencrypt-certgen:Docker映像,以自动方式使用certbotacme.sh客户端从LetsEncrypt CA生成,更新,吊销RSA和ECDSA SSL证书
使用Let's-Encrypt配置SSL证书
风破
05-18 2081
1. 安装 Certbot Let’s Encrypt 证书生成不需要手动进行,官方推荐 certbot 这套自动化工具来实现。 Nginx on CentOS/RHEL 7 Certbot is packaged in EPEL (Extra Packages for Enterprise Linux). To use Certbot, you must first enable the...
certbot-nginx-docker:包含certbot的nginx docker多重
02-14
certbot-nginx-docker 我在网站,灵感来自 克隆此存储库: git clone https://github.com/holmofy/certbot-nginx-docker 运行init html脚本: ./init-html.sh 运行init certbot脚本: ./init-certbot.sh 我的网站来源: www.hufeifei.cn : blog.hufeifei.cn :
docker中的nginx配置https的方法步骤
09-30
这里,`.well-known/acme-challenge/` 目录用于 Let's Encrypt 的 certbot生成证书时验证域名所有权。 创建 `nginx/html/index.html` 文件,提供一个简单的网页: ```html <!DOCTYPE html> <title>Let's ...
7、ThingsBoard使用docker compose集群部署
AldrichEugene
04-14 855
Thingsboard使用docker compose集群部署
ecdsa 和rsa_具有LetsEncrypt证书的RSA和ECDSA混合Nginx设置
编程故事的地方
01-04 859
ecdsa 和rsa RSA与ECC比较。 使用包裹在Docker映像中的certbotacme.sh客户端颁发LetsEncrypt证书。 Nginx设置 目录 RSA与ECC比较。 为什么您可能需要ECDSA证书? 如何使用openssl生成RSA和EC密钥/ CSR。 什么是LetsEncrypt CA ? 如何以自动方式颁发免费的域验证证书? 如何通过Doc...
docker基本certbot自动更新openresty网站ssl证书
zhouhaibo08的博客
07-04 500
openresty nginx domain 申请ssl验证配置。运行docker certbot申请ssh证书docker运行openresty。证书自动续期脚本renew.sh。
docker certbot 一键申请https证书证书过期续订、续订成功自动重启服务
Logan的博客
11-30 3092
前言 基于**certbot-letencrypt-wildcardcertificates-alydns-au**项目封装为docker镜像, 感谢 ywdblog 的源码 镜像支持一键生成证书证书到期续订、证书更新后自动重启用到证书的服务等功能。 如不想使用docker方式申请可使用原作者脚本生成。 镜像简介 镜像名:loganjindev/certbot:v1.0.0 基础镜像:ubuntu:20.04 用户:root 时区:Asia/Shanghai 字符集:LANG=C.UTF-
c#获取ssl证书有效性_使用 Docker CertBot 获取 SSL 证书
weixin_39684228的博客
12-04 194
本站使用「署名 4.0 国际 (CC BY 4.0)」许可协议,欢迎转载、或重新修改使用,但需要注明来源。 署名 4.0 国际 (CC BY 4.0)本文作者: 苏洋创建时间: 2018年08月30日 统计字数: 2671字 阅读时间: 6分钟阅读 本文链接: https://soulteary.com/2018/08/30/use-docker-certbot-to-obtain-ssl-cer...
docker生成ssl证书
04-15
关于docker生成ssl证书,我可以为您提供以下信息:docker可以通过使用openssl生成ssl证书。您可以使用以下命令创建自签名的ssl证书: ``` openssl req -newkey rsa:2048 -nodes -keyout domain.key -x509 -days 365 -out domain.crt ``` 其中,domain.key是您的私钥文件名,domain.crt是您的证书文件名。您需要将这两个文件放置在容器内的适当位置,并在容器的配置中指定它们的路径。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值