使用 Docker + Nginx + Certbot 实现自动化管理 SSL 证书
使用 Docker + Nginx + Certbot 实现自动化管理 SSL 证书
在互联网安全环境日益重要的今天,为站点或应用部署 HTTPS 已经成为一种常态。然而,手动申请并续期证书既繁琐又容易出错。本文将以 Nginx + Certbot 为示例,基于 Docker 容器来搭建一个可以自动申请、自动续期的 SSL 证书服务,帮助你更轻松地管理多域名的 HTTPS。
一、方案简介
在这个方案中,我们使用官方 Nginx 镜像作为基础镜像,并在其中安装 Python3、Certbot 及阿里云 DNS 插件。通过以下几个关键脚本来实现自动部署及管理:
- start.sh:容器启动时执行,初始化阿里云 DNS 配置并启动 Nginx。
- add-domain.sh:添加新域名并为其申请证书,自动生成 Nginx 配置文件,最后重载 Nginx。
- deploy-certbot.sh:读取域名列表,一键申请或续期证书。
- domains.txt:存放所有需要申请 SSL 证书的域名列表。
同时,通过挂载相应目录,可以将证书、日志、Nginx 配置文件全部持久化到宿主机,不会因为容器的更新或重启而丢失。
二、准备工作
-
服务器已经安装 Docker(版本建议 >= 19.03)。
-
你拥有阿里云账号,并且已经开通了 AliyunDNSFullAccess 权限的 Access Key:
- ALIYUN_ACCESS_KEY_ID
- ALIYUN_ACCESS_KEY_SECRET
-
确保服务器安全组或本地防火墙已允许 HTTP(80) 和 HTTPS(443)。
三、获取配置文件
以下操作假设我们把部署目录统一放在 /data/nginx-certbot 下。
# 1. 创建部署目录
mkdir -p /data/nginx-certbot
cd /data/nginx-certbot
# 2. 通过临时容器获取镜像内的 Nginx 配置
docker run -d --name nginx_conf -it registry.cn-hangzhou.aliyuncs.com/hbteck/nginx-certbot:1.20.2
# 3. 拷贝 Nginx 配置文件到本地 conf 目录
docker cp nginx_conf:/etc/nginx/ ./conf
# 4. 删除临时容器
docker rm -f nginx_conf
此时,/data/nginx-certbot/conf 目录下已包含镜像内的默认 Nginx 配置文件(包括 nginx.conf、vhost 目录等),可根据需求进行调整和定制。
四、主要文件和脚本说明
下面列举一些在本方案中常见或关键的文件结构与作用,仅供参考:
-
Dockerfile
这是我们自定义镜像的核心文件。可自行修改或参考原始镜像中的配置。示例:# 使用官方nginx镜像作为基础镜像 FROM nginx:stable # 替换为国内源 RUN sed -i 's/deb.debian.org/mirrors.ustc.edu.cn/g' /etc/apt/sources.list && \ sed -i 's/security.debian.org/mirrors.ustc.edu.cn/g' /etc/apt/sources.list # 安装必要的软件包 RUN apt-get update && \ apt-get install -y \ python3 \ python3-pip \ cron \ && rm -rf /var/lib/apt/lists/* # 配置pip国内源 RUN pip3 config set global.index-url https://mirrors.aliyun.com/pypi/simple/ && \ pip3 config set install.trusted-host mirrors.aliyun.com # 安装certbot和阿里云DNS插件 RUN pip3 install certbot certbot-dns-aliyun # 创建必要的目录 RUN mkdir -p /etc/nginx/conf.d && \ mkdir -p /etc/letsencrypt && \ mkdir -p /etc/nginx/vhost && \ mkdir -p /var/log/certbot # 复制配置文件 COPY ./nginx.conf /etc/nginx/nginx.conf COPY ./deploy-certbot.sh /usr/local/bin/deploy-certbot.sh COPY ./add-domain.sh /usr/local/bin/add-domain.sh COPY ./start.sh /usr/local/bin/start.sh COPY ./domains.txt /etc/letsencrypt/domains.txt # 设置脚本权限 RUN chmod +x /usr/local/bin/deploy-certbot.sh && \ chmod +x /usr/local/bin/start.sh && \ chmod +x /usr/local/bin/add-domain.sh # 设置环境变量默认值 ENV RENEW_CRON_SCHEDULE="0 0 1 * * ?" ENV CERTBOT_EMAIL="admin@example.com" ENV DNS_PROPAGATION_SECONDS=60 VOLUME ["/etc/letsencrypt", "/var/log/certbot"] CMD ["/usr/local/bin/start.sh"] -
add-domain.sh
在容器内用于添加新域名并申请证书的核心脚本:#!/bin/bash new_domain=$1 backend_url=${2:-"http://localhost:8080"} # 默认后端地址 local_ip=$3 # 第三参数: 本地IP地址 # 检查参数 if [ -z "$new_domain" ]; then echo "用法: add-domain.sh <domain> [backend_url] [local_ip]" echo "示例: add-domain.sh example.com http://localhost:8080 192.168.1.1" exit 1 fi # 验证域名格式 if ! echo "$new_domain" | grep -P '(?=^.{4,253}$)(^(?:[a-zA-Z0-9](?:(?:[a-zA-Z0-9\-]){0,61}[a-zA-Z0-9])?\.)+[a-zA-Z]{2,}$)' > /dev/null; then echo "错误: 无效的域名格式" exit 1 fi # 检查域名是否已存在 if grep -q "^${new_domain}$" /etc/letsencrypt/domains.txt; then echo "域名 ${new_domain} 已存在" exit 0 fi # 添加新域名 echo "$new_domain" >> /etc/letsencrypt/domains.txt echo "已添加域名: $new_domain" # 为新域名获取证书 if ! /usr/local/bin/deploy-certbot.sh; then echo "证书获取失败,移除域名配置" sed -i "\|^${new_domain}$|d" /etc/letsencrypt/domains.txt exit 1 fi # 创建nginx配置 if [ -z "$local_ip" ]; then cat <<EOT > /etc/nginx/vhost/${new_domain}.conf # upstream配置 upstream ${new_domain}_backend { server ${backend_url#http://}; keepalive 32; } server { listen 443 ssl http2; server_name ${new_domain}; ssl_certificate /etc/letsencrypt/live/${new_domain}/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/${new_domain}/privkey.pem; ssl_trusted_certificate /etc/letsencrypt/live/${new_domain}/chain.pem; # SSL配置 ssl_session_timeout 1d; ssl_session_cache shared:SSL:50m; ssl_session_tickets off; ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384; ssl_prefer_server_ciphers off; # HSTS配置 add_header Strict-Transport-Security "max-age=63072000" always; location / { proxy_pass ${backend_url}; proxy_http_version 1.1; proxy_set_header Connection ""; proxy_set_header Host \$host; proxy_set_header X-Real-IP \$remote_addr; proxy_set_header X-Forwarded-For \$proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto \$scheme; } } server { listen 80; server_name ${new_domain}; return 301 https://\$server_name\$request_uri; } EOT else cat <<EOT > /etc/nginx/vhost/${new_domain}.conf server { listen 443 ssl http2; server_name ${new_domain}; ssl_certificate /etc/letsencrypt/live/${new_domain}/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/${new_domain}/privkey.pem; ssl_trusted_certificate /etc/letsencrypt/live/${new_domain}/chain.pem; # SSL配置 ssl_session_timeout 1d; ssl_session_cache shared:SSL:50m; ssl_session_tickets off; ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384; ssl_prefer_server_ciphers off; # HSTS配置 add_header Strict-Transport-Security "max-age=63072000" always; location / { proxy_pass ${backend_url}; proxy_http_version 1.1; proxy_set_header Connection ""; proxy_set_header Host \$host; proxy_set_header X-Real-IP \$remote_addr; proxy_set_header X-Forwarded-For \$proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto \$scheme; } error_page 500 502 503 504 /50x.html; location = /50x.html { root /usr/share/nginx/html; } location /api/ { proxy_pass http://${local_ip}:18500/; proxy_set_header Host \$http_host; proxy_set_header X-Real-IP \$remote_addr; proxy_set_header X-Forwarded-For \$proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto \$scheme; proxy_set_header X-NginX-Proxy true; # 传递所有原始请求头信息 proxy_pass_request_headers on; } location /nacos/ { proxy_pass http://${local_ip}:8848/nacos/; proxy_set_header Host \$http_host; proxy_set_header X-Real-IP \$remote_addr; proxy_set_header X-Forwarded-For \$proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto \$scheme; proxy_set_header X-NginX-Proxy true; } location /kafka/ { proxy_pass http://${local_ip}:9000/kafka/; proxy_set_header Host \$http_host; proxy_set_header X-Real-IP \$remote_addr; proxy_set_header X-Forwarded-For \$proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto \$scheme; proxy_set_header X-NginX-Proxy true; } } server { listen 80; server_name ${new_domain}; return 301 https://\$server_name\$request_uri; } EOT fi # 检查nginx配置 if ! nginx -t; then echo "Nginx配置检查失败,移除配置文件" rm -f /etc/nginx/vhost/${new_domain}.conf sed -i "\|^${new_domain}$|d" /etc/letsencrypt/domains.txt exit 1 fi # 重新加载nginx配置 nginx -s reload echo "域名 ${new_domain} 配置完成" -
deploy-certbot.sh
该脚本读取 /etc/letsencrypt/domains.txt 里的域名,通过 DNS-01 方式批量申请或更新证书。#!/bin/bash # 检查aliyun配置文件 if [ ! -f "/etc/letsencrypt/aliyun.ini" ]; then echo "错误: 未找到阿里云DNS凭证文件" exit 1 fi # 检查domains.txt是否存在且不为空 if [ ! -s "/etc/letsencrypt/domains.txt" ]; then echo "警告: domains.txt为空或不存在" exit 0 fi # 设置默认值 : ${DNS_PROPAGATION_SECONDS:="60"} : ${CERTBOT_EMAIL:="admin@example.com"} # 处理每个域名 while IFS= read -r domain || [ -n "$domain" ]; do # 跳过空行和注释 [[ -z "$domain" || "${domain:0:1}" == "#" ]] && continue echo "正在处理域名: $domain" certbot certonly \ --authenticator dns-aliyun \ --dns-aliyun-credentials /etc/letsencrypt/aliyun.ini \ --dns-aliyun-propagation-seconds "$DNS_PROPAGATION_SECONDS" \ --non-interactive \ --agree-tos \ --email "$CERTBOT_EMAIL" \ -d "$domain" \ --expand \ --keep-until-expiring \ --preferred-challenges dns-01 \ --config-dir /etc/letsencrypt \ --logs-dir /var/log/certbot \ --work-dir /var/lib/certbot if [ $? -eq 0 ]; then echo "成功为 $domain 获取/更新证书" else echo "为 $domain 获取/更新证书失败" # 如果获取证书失败,则退出脚本 exit 1 fi done < "/etc/letsencrypt/domains.txt" # 检查nginx配置并重新加载 nginx -t && nginx -s reload -
start.sh
容器启动时自动执行的脚本:#!/bin/bash # 检查必要的环境变量 if [ -z "$ALIYUN_ACCESS_KEY_ID" ] || [ -z "$ALIYUN_ACCESS_KEY_SECRET" ]; then echo "错误: 未设置阿里云访问密钥环境变量" exit 1 fi # 创建 Aliyun 配置文件 mkdir -p /etc/letsencrypt cat <<EOT > /etc/letsencrypt/aliyun.ini dns_aliyun_access_key = $ALIYUN_ACCESS_KEY_ID dns_aliyun_access_key_secret = $ALIYUN_ACCESS_KEY_SECRET EOT # 设置严格的权限 chmod 600 /etc/letsencrypt/aliyun.ini # 设置默认值 : ${RENEW_CRON_SCHEDULE:="0 0 1 * *"} : ${CERTBOT_EMAIL:="admin@example.com"} : ${DNS_PROPAGATION_SECONDS:="60"} # 确保domains.txt存在 touch /etc/letsencrypt/domains.txt # 初始获取或更新 SSL 证书 /usr/local/bin/deploy-certbot.sh # 配置证书自动续期 echo "$RENEW_CRON_SCHEDULE /usr/local/bin/deploy-certbot.sh >> /var/log/certbot/renew.log 2>&1" > /etc/cron.d/certbot-renew chmod 0644 /etc/cron.d/certbot-renew # 创建日志目录 mkdir -p /var/log/certbot touch /var/log/certbot/renew.log # 启动 cron 服务 service cron start # 启动 nginx exec nginx -g "daemon off;" -
/etc/nginx/
-
nginx.conf:Nginx 的主配置文件
#=============================================start 全局块================================================================== #运行用户 #user nobody; #worker进程数量,通常设置为cpu核数相等 worker_processes 4; #全局错误文件 #error_log logs/error.log; #error_log logs/error.log notice; #error_log logs/error.log info; #pid位置 #pid logs/nginx.pid; #=============================================end 全局块===================================================================== #=============================================start events块================================================================ events { # 单个worker进程最大并发连接数 worker_connections 1024; } #=============================================end events块================================================================== #=============================================start http块================================================================== http { #引入mime类型的定义文件 include mime.types; default_type application/octet-stream; #设置日志格式 #log_format main ' - [] "" ' # ' "" ' # '"" ""'; #access_log logs/access.log main; sendfile on; #tcp_nopush on; #连接超时时间 #keepalive_timeout 0; keepalive_timeout 65; #开启gzip压缩 #gzip on; #上传大小限制 client_max_body_size 512m; #自定义变量 $connection_upgrade map $http_upgrade $connection_upgrade { default keep-alive; #默认为keep-alive 可以支持 一般http请求 'websocket' upgrade; #如果为websocket 则为 upgrade 可升级的。 #default upgrade; #'' close; } #引入配置文件 include vhost/*.conf; } #=============================================end http块================================================================= -
vhost 目录:根据域名生成的各子配置文件
-
-
domains.txt
- 存放所有需要申请证书的域名,每行一个。
五、运行容器
准备就绪后,可以执行以下命令来启动容器:
docker run -d \
-p 80:80 \
-p 443:443 \
--name nginx-certbot \
-e ALIYUN_ACCESS_KEY_ID=<你的阿里云AccessKeyId> \
-e ALIYUN_ACCESS_KEY_SECRET=<你的阿里云AccessKeySecret> \
-e CERTBOT_EMAIL=<你的邮箱> \
-e RENEW_CRON_SCHEDULE="0 0 1 * *" \
-v /data/nginx-certbot/certs:/etc/letsencrypt \
-v /data/nginx-certbot/log-certbot:/var/log/certbot \
-v /data/nginx-certbot/log:/var/log/nginx \
-v /data/nginx-certbot/conf:/etc/nginx \
-v /data/nginx-certbot/html:/usr/share/nginx/html \
registry.cn-hangzhou.aliyuncs.com/hbteck/nginx-certbot:1.20.2
参数说明:
- -p 80:80 和 -p 443:443:将宿主机的 80/443 端口映射给容器,用于 HTTP/HTTPS。
- -e ALIYUN_ACCESS_KEY_ID / ALIYUN_ACCESS_KEY_SECRET:阿里云 DNS 插件需要的密钥。
- -e CERTBOT_EMAIL:用于跟证书签发相关的提示信息接收。
- -e RENEW_CRON_SCHEDULE:设置证书自动续期的 cron 表达式(默认为每月1日00:00 点执行 certbot renew)。
- -v /data/nginx-certbot/conf:/etc/nginx:持久化 Nginx 配置文件,方便宿主机直接修改。
- -v /data/nginx-certbot/certs:/etc/letsencrypt:持久化证书文件,让重启或更新不会丢失证书。
- 其他挂载可根据自身需求调整。
成功运行后,容器会自动加载已有 Nginx 配置并尝试运行部署脚本(如果 domains.txt 里已有域名)。
六、添加域名及证书
当容器正常运行后,通过以下命令添加新域名并生成对应的 HTTPS 配置:
docker exec nginx-certbot /usr/local/bin/add-domain.sh <domain> [backend_url] [local_ip]
示例:
docker exec nginx-certbot /usr/local/bin/add-domain.sh hbteck.com \
http://172.19.160.13:17111/ 172.19.160.13
- :必填,目标域名。
- [backend_url]:可选,域名后端服务的转发地址,默认 http://localhost:8080。
- [local_ip]:可选,用于特定场景自动生成更多配置规则。
该脚本会完成以下操作:
- 将新域名写入 /etc/letsencrypt/domains.txt。
- 调用 /usr/local/bin/deploy-certbot.sh 进行 DNS-01 方式的证书申请。
- 成功后在 /etc/nginx/vhost/ 下写入对应的 vhost 配置文件,再重载 Nginx。
如果一切正常,可以在浏览器访问 https://hbteck.com 测试效果。
七、查看与管理证书
-
查看证书详情:
docker exec nginx-certbot certbot certificates如果成功,会列出每个域名证书所在路径及过期时间。
-
手动重载 Nginx 配置:
docker exec -it nginx-certbot /usr/sbin/nginx -s reload -
手动执行续期:
docker exec -it nginx-certbot certbot renew --deploy-hook 'nginx -s reload'一般不需要手动运行,脚本中已经配置了 cron 任务每天检查并每月1日00:00自动续期。
八、常见问题及解决方案
-
申请证书失败:
- 请确认域名的 DNS 解析在阿里云上,并且 AccessKey 拥有 AliyunDNSFullAccess 权限。
- 检查是不是填写了错误的 Access Key 信息。
- 域名是否在 /etc/letsencrypt/domains.txt 中已存在,如果有问题可删除后重试。
-
80 和 443 端口冲突:
- 如果宿主机已占用 80/443 端口,可修改映射端口,如 -p 8080:80 -p 8443:443,但需要相应修改 nginx.conf。
-
自定义 Nginx 配置:
- 直接修改宿主机 /data/nginx-certbot/conf/nginx.conf 或 vhost/文件,完成后执行 docker exec nginx-certbot nginx -s reload。
-
脚本执行权限:
- 如果提示权限不足,可在宿主机手动 chmod +x /data/nginx-certbot/conf/*.sh 等路径,或在 Dockerfile 中确保脚本均可执行。
九、总结
通过在 Docker 中整合 Nginx + Certbot + 阿里云 DNS 插件,我们可以轻松实现多域名自动化申请及续期 SSL 证书的流程。该方案具有以下优点:
- DNS-01 验证方式无需对外暴露除 80/443 以外的端口,也不影响原有服务。
- 对多域名、多环境非常灵活,可以快速添加新域名。
- 证书续期完全自动化,无需人工干预。
只要按照上述步骤,下载配置,将 Access Key 写入环境变量,启动容器并执行 add-domain.sh 脚本,即可轻松接入新的 HTTPS 域名。祝你在实际生产环境中使用顺利,助力网站与应用更安全、稳定地运行!