使用 Docker + Nginx + Certbot 实现自动化管理 SSL 证书
在互联网安全环境日益重要的今天,为站点或应用部署 HTTPS 已经成为一种常态。然而,手动申请并续期证书既繁琐又容易出错。本文将以 Nginx + Certbot 为示例,基于 Docker 容器来搭建一个可以自动申请、自动续期的 SSL 证书服务,帮助你更轻松地管理多域名的 HTTPS。
一、方案简介
在这个方案中,我们使用官方 Nginx 镜像作为基础镜像,并在其中安装 Python3、Certbot 及阿里云 DNS 插件。通过以下几个关键脚本来实现自动部署及管理:
- start.sh:容器启动时执行,初始化阿里云 DNS 配置并启动 Nginx。
- add-domain.sh:添加新域名并为其申请证书,自动生成 Nginx 配置文件,最后重载 Nginx。
- deploy-certbot.sh:读取域名列表,一键申请或续期证书。
- domains.txt:存放所有需要申请 SSL 证书的域名列表。
同时,通过挂载相应目录,可以将证书、日志、Nginx 配置文件全部持久化到宿主机,不会因为容器的更新或重启而丢失。
二、准备工作
-
服务器已经安装 Docker(版本建议 >= 19.03)。
-
你拥有阿里云账号,并且已经开通了 AliyunDNSFullAccess 权限的 Access Key:
- ALIYUN_ACCESS_KEY_ID
- ALIYUN_ACCESS_KEY_SECRET
-
确保服务器安全组或本地防火墙已允许 HTTP(80) 和 HTTPS(443)。
三、获取配置文件
以下操作假设我们把部署目录统一放在 /data/nginx-certbot 下。
# 1. 创建部署目录
mkdir -p /data/nginx-certbot
cd /data/nginx-certbot# 2. 通过临时容器获取镜像内的 Nginx 配置
docker run -d --name nginx_conf -it registry.cn-hangzhou.aliyuncs.com/hbteck/nginx-certbot:1.20.2# 3. 拷贝 Nginx 配置文件到本地 conf 目录
docker cp nginx_conf:/etc/nginx/ ./conf# 4. 删除临时容器
docker rm -f nginx_conf
此时,/data/nginx-certbot/conf 目录下已包含镜像内的默认 Nginx 配置文件(包括 nginx.conf、vhost 目录等),可根据需求进行调整和定制。
四、主要文件和脚本说明
下面列举一些在本方案中常见或关键的文件结构与作用,仅供参考:
-
Dockerfile
这是我们自定义镜像的核心文件。可自行修改或参考原始镜像中的配置。示例:# 使用官方nginx镜像作为基础镜像 FROM nginx:stable# 替换为国内源 RUN sed -i 's/deb.debian.org/mirrors.ustc.edu.cn/g' /etc/apt/sources.list && \sed -i 's/security.debian.org/mirrors.ustc.edu.cn/g' /etc/apt/sources.list# 安装必要的软件包 RUN apt-get update && \apt-get install -y \python3 \python3-pip \cron \&& rm -rf /var/lib/apt/lists/*# 配置pip国内源 RUN pip3 config set global.index-url https://mirrors.aliyun.com/pypi/simple/ && \pip3 config set install.trusted-host mirrors.aliyun.com# 安装certbot和阿里云DNS插件 RUN pip3 install certbot certbot-dns-aliyun# 创建必要的目录 RUN mkdir -p /etc/nginx/conf.d && \mkdir -p /etc/letsencrypt && \mkdir -p /etc/nginx/vhost && \mkdir -p /var/log/certbot# 复制配置文件 COPY ./nginx.conf /etc/nginx/nginx.conf COPY ./deploy-certbot.sh /usr/local/bin/deploy-certbot.sh COPY ./add-domain.sh /usr/local/bin/add-domain.sh COPY ./start.sh /usr/local/bin/start.sh COPY ./domains.txt /etc/letsencrypt/domains.txt# 设置脚本权限 RUN chmod +x /usr/local/bin/deploy-certbot.sh && \chmod +x /usr/local/bin/start.sh && \chmod +x /usr/local/bin/add-domain.sh# 设置环境变量默认值 ENV RENEW_CRON_SCHEDULE="0 0 1 * * ?" ENV CERTBOT_EMAIL="admin@example.com" ENV DNS_PROPAGATION_SECONDS=60VOLUME ["/etc/letsencrypt", "/var/log/certbot"]CMD ["/usr/local/bin/start.sh"] -
add-domain.sh
在容器内用于添加新域名并申请证书的核心脚本:#!/bin/bashnew_domain=$1 backend_url=${2:-"http://localhost:8080"} # 默认后端地址 local_ip=$3 # 第三参数: 本地IP地址# 检查参数 if [ -z "$new_domain" ]; thenecho "用法: add-domain.sh <domain> [backend_url] [local_ip]"echo "示例: add-domain.sh example.com http://localhost:8080 192.168.1.1"exit 1 fi# 验证域名格式 if ! echo "$new_domain" | grep -P '(?=^.{4,253}$)(^(?:[a-zA-Z0-9](?:(?:[a-zA-Z0-9\-]){0,61}[a-zA-Z0-9])?\.)+[a-zA-Z]{2,}$)' > /dev/null; thenecho "错误: 无效的域名格式"exit 1 fi# 检查域名是否已存在 if grep -q "^${new_domain}$" /etc/letsencrypt/domains.txt; thenecho "域名 ${new_domain} 已存在"exit 0 fi# 添加新域名 echo "$new_domain" >> /etc/letsencrypt/domains.txt echo "已添加域名: $new_domain"# 为新域名获取证书 if ! /usr/local/bin/deploy-certbot.sh; thenecho "证书获取失败,移除域名配置"sed -i "\|^${new_domain}$|d" /etc/letsencrypt/domains.txtexit 1 fi# 创建nginx配置 if [ -z "$local_ip" ]; thencat <<EOT > /etc/nginx/vhost/${new_domain}.conf # upstream配置 upstream ${new_domain}_backend {server ${backend_url#http://};keepalive 32; }server {listen 443 ssl http2;server_name ${new_domain};ssl_certificate /etc/letsencrypt/live/${new_domain}/fullchain.pem;ssl_certificate_key /etc/letsencrypt/live/${new_domain}/privkey.pem;ssl_trusted_certificate /etc/letsencrypt/live/${new_domain}/chain.pem;# SSL配置ssl_session_timeout 1d;ssl_session_cache shared:SSL:50m;ssl_session_tickets off;ssl_protocols TLSv1.2 TLSv1.3;ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;ssl_prefer_server_ciphers off;# HSTS配置add_header Strict-Transport-Security "max-age=63072000" always;location / {proxy_pass ${backend_url};proxy_http_version 1.1;proxy_set_header Connection "";proxy_set_header Host \$host;proxy_set_header X-Real-IP \$remote_addr;proxy_set_header X-Forwarded-For \$proxy_add_x_forwarded_for;proxy_set_header X-Forwarded-Proto \$scheme;} }server {listen 80;server_name ${new_domain};return 301 https://\$server_name\$request_uri; } EOT elsecat <<EOT > /etc/nginx/vhost/${new_domain}.conf server {listen 443 ssl http2;server_name ${new_domain};ssl_certificate /etc/letsencrypt/live/${new_domain}/fullchain.pem;ssl_certificate_key /etc/letsencrypt/live/${new_domain}/privkey.pem;ssl_trusted_certificate /etc/letsencrypt/live/${new_domain}/chain.pem;# SSL配置ssl_session_timeout 1d;ssl_session_cache shared:SSL:50m;ssl_session_tickets off;ssl_protocols TLSv1.2 TLSv1.3;ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;ssl_prefer_server_ciphers off;# HSTS配置add_header Strict-Transport-Security "max-age=63072000" always;location / {proxy_pass ${backend_url};proxy_http_version 1.1;proxy_set_header Connection "";proxy_set_header Host \$host;proxy_set_header X-Real-IP \$remote_addr;proxy_set_header X-Forwarded-For \$proxy_add_x_forwarded_for;proxy_set_header X-Forwarded-Proto \$scheme;}error_page 500 502 503 504 /50x.html;location = /50x.html {root /usr/share/nginx/html;}location /api/ {proxy_pass http://${local_ip}:18500/;proxy_set_header Host \$http_host;proxy_set_header X-Real-IP \$remote_addr;proxy_set_header X-Forwarded-For \$proxy_add_x_forwarded_for;proxy_set_header X-Forwarded-Proto \$scheme;proxy_set_header X-NginX-Proxy true;# 传递所有原始请求头信息proxy_pass_request_headers on;}location /nacos/ {proxy_pass http://${local_ip}:8848/nacos/;proxy_set_header Host \$http_host;proxy_set_header X-Real-IP \$remote_addr;proxy_set_header X-Forwarded-For \$proxy_add_x_forwarded_for;proxy_set_header X-Forwarded-Proto \$scheme;proxy_set_header X-NginX-Proxy true;}location /kafka/ {proxy_pass http://${local_ip}:9000/kafka/;proxy_set_header Host \$http_host;proxy_set_header X-Real-IP \$remote_addr;proxy_set_header X-Forwarded-For \$proxy_add_x_forwarded_for;proxy_set_header X-Forwarded-Proto \$scheme;proxy_set_header X-NginX-Proxy true;} }server {listen 80;server_name ${new_domain};return 301 https://\$server_name\$request_uri; } EOT fi# 检查nginx配置 if ! nginx -t; thenecho "Nginx配置检查失败,移除配置文件"rm -f /etc/nginx/vhost/${new_domain}.confsed -i "\|^${new_domain}$|d" /etc/letsencrypt/domains.txtexit 1 fi# 重新加载nginx配置 nginx -s reloadecho "域名 ${new_domain} 配置完成" -
deploy-certbot.sh
该脚本读取 /etc/letsencrypt/domains.txt 里的域名,通过 DNS-01 方式批量申请或更新证书。#!/bin/bash# 检查aliyun配置文件 if [ ! -f "/etc/letsencrypt/aliyun.ini" ]; thenecho "错误: 未找到阿里云DNS凭证文件"exit 1 fi# 检查domains.txt是否存在且不为空 if [ ! -s "/etc/letsencrypt/domains.txt" ]; thenecho "警告: domains.txt为空或不存在"exit 0 fi# 设置默认值 : ${DNS_PROPAGATION_SECONDS:="60"} : ${CERTBOT_EMAIL:="admin@example.com"}# 处理每个域名 while IFS= read -r domain || [ -n "$domain" ]; do# 跳过空行和注释[[ -z "$domain" || "${domain:0:1}" == "#" ]] && continueecho "正在处理域名: $domain"certbot certonly \--authenticator dns-aliyun \--dns-aliyun-credentials /etc/letsencrypt/aliyun.ini \--dns-aliyun-propagation-seconds "$DNS_PROPAGATION_SECONDS" \--non-interactive \--agree-tos \--email "$CERTBOT_EMAIL" \-d "$domain" \--expand \--keep-until-expiring \--preferred-challenges dns-01 \--config-dir /etc/letsencrypt \--logs-dir /var/log/certbot \--work-dir /var/lib/certbotif [ $? -eq 0 ]; thenecho "成功为 $domain 获取/更新证书"elseecho "为 $domain 获取/更新证书失败"# 如果获取证书失败,则退出脚本exit 1fi done < "/etc/letsencrypt/domains.txt"# 检查nginx配置并重新加载 nginx -t && nginx -s reload -
start.sh
容器启动时自动执行的脚本:#!/bin/bash# 检查必要的环境变量 if [ -z "$ALIYUN_ACCESS_KEY_ID" ] || [ -z "$ALIYUN_ACCESS_KEY_SECRET" ]; thenecho "错误: 未设置阿里云访问密钥环境变量"exit 1 fi# 创建 Aliyun 配置文件 mkdir -p /etc/letsencrypt cat <<EOT > /etc/letsencrypt/aliyun.ini dns_aliyun_access_key = $ALIYUN_ACCESS_KEY_ID dns_aliyun_access_key_secret = $ALIYUN_ACCESS_KEY_SECRET EOT# 设置严格的权限 chmod 600 /etc/letsencrypt/aliyun.ini# 设置默认值 : ${RENEW_CRON_SCHEDULE:="0 0 1 * *"} : ${CERTBOT_EMAIL:="admin@example.com"} : ${DNS_PROPAGATION_SECONDS:="60"}# 确保domains.txt存在 touch /etc/letsencrypt/domains.txt# 初始获取或更新 SSL 证书 /usr/local/bin/deploy-certbot.sh# 配置证书自动续期 echo "$RENEW_CRON_SCHEDULE /usr/local/bin/deploy-certbot.sh >> /var/log/certbot/renew.log 2>&1" > /etc/cron.d/certbot-renew chmod 0644 /etc/cron.d/certbot-renew# 创建日志目录 mkdir -p /var/log/certbot touch /var/log/certbot/renew.log# 启动 cron 服务 service cron start# 启动 nginx exec nginx -g "daemon off;" -
/etc/nginx/
-
nginx.conf:Nginx 的主配置文件
#=============================================start 全局块==================================================================#运行用户 #user nobody; #worker进程数量,通常设置为cpu核数相等 worker_processes 4;#全局错误文件 #error_log logs/error.log; #error_log logs/error.log notice; #error_log logs/error.log info; #pid位置 #pid logs/nginx.pid; #=============================================end 全局块=====================================================================#=============================================start events块================================================================ events {# 单个worker进程最大并发连接数worker_connections 1024; } #=============================================end events块==================================================================#=============================================start http块==================================================================http {#引入mime类型的定义文件include mime.types;default_type application/octet-stream;#设置日志格式#log_format main ' - [] "" '# ' "" '# '"" ""';#access_log logs/access.log main;sendfile on;#tcp_nopush on;#连接超时时间#keepalive_timeout 0;keepalive_timeout 65;#开启gzip压缩#gzip on;#上传大小限制client_max_body_size 512m;#自定义变量 $connection_upgrademap $http_upgrade $connection_upgrade {default keep-alive; #默认为keep-alive 可以支持 一般http请求'websocket' upgrade; #如果为websocket 则为 upgrade 可升级的。#default upgrade;#'' close;}#引入配置文件include vhost/*.conf; }#=============================================end http块================================================================= -
vhost 目录:根据域名生成的各子配置文件
-
-
domains.txt
- 存放所有需要申请证书的域名,每行一个。
五、运行容器
准备就绪后,可以执行以下命令来启动容器:
docker run -d \-p 80:80 \-p 443:443 \--name nginx-certbot \-e ALIYUN_ACCESS_KEY_ID=<你的阿里云AccessKeyId> \-e ALIYUN_ACCESS_KEY_SECRET=<你的阿里云AccessKeySecret> \-e CERTBOT_EMAIL=<你的邮箱> \-e RENEW_CRON_SCHEDULE="0 0 1 * *" \-v /data/nginx-certbot/certs:/etc/letsencrypt \-v /data/nginx-certbot/log-certbot:/var/log/certbot \-v /data/nginx-certbot/log:/var/log/nginx \-v /data/nginx-certbot/conf:/etc/nginx \-v /data/nginx-certbot/html:/usr/share/nginx/html \registry.cn-hangzhou.aliyuncs.com/hbteck/nginx-certbot:1.20.2
参数说明:
- -p 80:80 和 -p 443:443:将宿主机的 80/443 端口映射给容器,用于 HTTP/HTTPS。
- -e ALIYUN_ACCESS_KEY_ID / ALIYUN_ACCESS_KEY_SECRET:阿里云 DNS 插件需要的密钥。
- -e CERTBOT_EMAIL:用于跟证书签发相关的提示信息接收。
- -e RENEW_CRON_SCHEDULE:设置证书自动续期的 cron 表达式(默认为每月1日00:00 点执行 certbot renew)。
- -v /data/nginx-certbot/conf:/etc/nginx:持久化 Nginx 配置文件,方便宿主机直接修改。
- -v /data/nginx-certbot/certs:/etc/letsencrypt:持久化证书文件,让重启或更新不会丢失证书。
- 其他挂载可根据自身需求调整。
成功运行后,容器会自动加载已有 Nginx 配置并尝试运行部署脚本(如果 domains.txt 里已有域名)。
六、添加域名及证书
当容器正常运行后,通过以下命令添加新域名并生成对应的 HTTPS 配置:
docker exec nginx-certbot /usr/local/bin/add-domain.sh <domain> [backend_url] [local_ip]
示例:
docker exec nginx-certbot /usr/local/bin/add-domain.sh hbteck.com \http://172.19.160.13:17111/ 172.19.160.13
- :必填,目标域名。
- [backend_url]:可选,域名后端服务的转发地址,默认 http://localhost:8080。
- [local_ip]:可选,用于特定场景自动生成更多配置规则。
该脚本会完成以下操作:
- 将新域名写入 /etc/letsencrypt/domains.txt。
- 调用 /usr/local/bin/deploy-certbot.sh 进行 DNS-01 方式的证书申请。
- 成功后在 /etc/nginx/vhost/ 下写入对应的 vhost 配置文件,再重载 Nginx。
如果一切正常,可以在浏览器访问 https://hbteck.com 测试效果。
七、查看与管理证书
-
查看证书详情:
docker exec nginx-certbot certbot certificates如果成功,会列出每个域名证书所在路径及过期时间。
-
手动重载 Nginx 配置:
docker exec -it nginx-certbot /usr/sbin/nginx -s reload -
手动执行续期:
docker exec -it nginx-certbot certbot renew --deploy-hook 'nginx -s reload'一般不需要手动运行,脚本中已经配置了 cron 任务每天检查并每月1日00:00自动续期。
八、常见问题及解决方案
-
申请证书失败:
- 请确认域名的 DNS 解析在阿里云上,并且 AccessKey 拥有 AliyunDNSFullAccess 权限。
- 检查是不是填写了错误的 Access Key 信息。
- 域名是否在 /etc/letsencrypt/domains.txt 中已存在,如果有问题可删除后重试。
-
80 和 443 端口冲突:
- 如果宿主机已占用 80/443 端口,可修改映射端口,如 -p 8080:80 -p 8443:443,但需要相应修改 nginx.conf。
-
自定义 Nginx 配置:
- 直接修改宿主机 /data/nginx-certbot/conf/nginx.conf 或 vhost/文件,完成后执行 docker exec nginx-certbot nginx -s reload。
-
脚本执行权限:
- 如果提示权限不足,可在宿主机手动 chmod +x /data/nginx-certbot/conf/*.sh 等路径,或在 Dockerfile 中确保脚本均可执行。
九、总结
通过在 Docker 中整合 Nginx + Certbot + 阿里云 DNS 插件,我们可以轻松实现多域名自动化申请及续期 SSL 证书的流程。该方案具有以下优点:
- DNS-01 验证方式无需对外暴露除 80/443 以外的端口,也不影响原有服务。
- 对多域名、多环境非常灵活,可以快速添加新域名。
- 证书续期完全自动化,无需人工干预。
只要按照上述步骤,下载配置,将 Access Key 写入环境变量,启动容器并执行 add-domain.sh 脚本,即可轻松接入新的 HTTPS 域名。祝你在实际生产环境中使用顺利,助力网站与应用更安全、稳定地运行!
