docker环境下配置cerbot获取免费ssl证书并自动续期

文章目录

    • 实践场景
    • 了解certbot
    • 查看nginx的映射情况
    • 操作目标
    • 配置nginx配置的ssl证书
    • 设置自动续签

实践场景

本人使用docker部署了一个nginx容器,通过容器卷,实现本地html,ssl,conf和ngiinx容器映射的, 经常需要手动部署免费证书,但是现在的证书免费期3个月太短了。
研究发现: 使用certbot,L可以通过脚本的形式来完成证书的颁发,通过设置定时任务在过期前重新申请和替换,就可以曲线救国的形式来完成ssl证书自动续期,解放双手。

了解certbot

Certbot 是一个免费、开源的软件工具,用于从 Let’s Encrypt 等证书颁发机构获取和自动更新 SSL/TLS 证书。

Certbot 实现颁发证书的原理

生成密钥对和 CSR(证书签名请求):

  • Certbot 首先在服务器上生成一个密钥对,包括私钥和公钥。私钥将被严格保密,存放在服务器上,用于对数据进行加密和解密。公钥则包含在 CSR 中。
  • CSR 是一个包含服务器信息(如域名、组织名称等)的文件,它是向证书颁发机构申请证书的请求。Certbot 会根据服务器的配置和用户提供的信息生成 CSR。
    验证域名所有权:
    证书颁发机构需要确保申请证书的人拥有该域名的所有权。Certbot 会通过多种方式来验证域名所有权,常见的方法有:
  • HTTP 验证:Certbot 在服务器上放置一个特定的文件,证书颁发机构会通过访问该文件来验证服务器是否对该域名有控制权。
  • DNS 验证:在域名的 DNS 记录中添加特定的 TXT 记录,证书颁发机构通过查询 DNS 记录来验证所有权。

提交 CSR 并获取证书:
一旦域名所有权验证通过,Certbot 会将 CSR 提交给证书颁发机构,如 Let’s Encrypt。
证书颁发机构会对 CSR 进行审核,如果一切符合要求,就会颁发一个数字证书。这个证书包含了服务器的公钥、域名信息、颁发机构的数字签名等。

安装证书:
Certbot 将获取到的证书安装到服务器上的适当位置,通常是与服务器软件(如 Nginx、Apache 等)相关的配置文件目录中。
服务器软件在启动时会读取证书文件,并使用其中的公钥来建立安全的 HTTPS 连接。

自动更新:
Certbot 可以设置为定期自动更新证书,以确保证书在有效期内始终有效。通常,Let’s Encrypt 颁发的证书有效期为 90 天,Certbot 会在证书即将过期之前自动执行更新流程,无需人工干预。

查看nginx的映射情况

确认已经对外映射了容器卷(生成的证书要放在本地目录,便于映射给nginx容器)

docker inspect nginx
在这里插入图片描述

确认开放了80和443端口
在这里插入图片描述

操作目标

在这里插入图片描述
先不着急执行此命令,需要先去nginx的域名下面配置验证文件:
在nginx.conf下配置

在这里插入图片描述
对应关系如下:
宿主机和nginx容器对应文件目录

文件名称文件拥有者
/my/nginx/html宿主机目录位置
/usr/share/nginx/htmlnginx容器

宿主机和certbot容器对应文件目录

文件名称文件拥有者
/my/nginx/html/certbot宿主机目录位置
/data/letsencryptcerbot

执行上面的命令后, 验证文件会放在cerbot 容器的 /data/letsencrypt /.well-known/acme-challenge/,对应着 宿主机的 /my/nginx/html/certbot/.well-known/acme-challenge/ ,也就是对应nginx容器对应的 /usr/share/nginx/html/certbot/.well-known/acme-challenge/
。 通过这对应关系,后面才能执行成功。

  # 处理特定后缀的请求location  ~/.well-known/acme-challenge/ {root /usr/share/nginx/html/certbot;           
}

执行命令:

 docker run -it --rm --name certbot \-v /my/nginx/ssl/wiseinsightai/certbot/etc/letsencrypt:/etc/letsencrypt \-v /my/nginx/ssl/wiseinsightai/certbot/var/lib/letsencrpt:/var/lib/letsencrypt \-v /my/nginx/ssl/wiseinsightai/certbot/var/log/letsencrpt:/var/log/letsencrypt \-v /my/nginx/html/certbot:/data/letsencrypt \certbot/certbot certonly  \--webroot  \--webroot-path=/data/letsencrypt \--agree-tos -d XXX.com

正常情况下,执行成功,会生成证书,在/etc/letsencrypt/live/域名/live下,对应的宿主机目录下:在这里插入图片描述

再根据对nginx容器的容器卷映射,转成nginx的目录:
即: # 对应 /my/nginx/ssl/wiseinsightai/certbot/etc/letsencrypt/live/域名

配置nginx配置的ssl证书

   server {listen 80;listen [::]:80;server_name www.XXX.com  XXX.com;server_tokens off;# 处理特定后缀的请求location  ~/.well-known/acme-challenge/ {root /usr/share/nginx/html/certbot;           }# http跳转到httpslocation / {return 301 https://XXX.com$request_uri;}# location / {#     proxy_pass  http://172.22.251.52:3000;# }}# 处理https请求server {listen 443 ssl;server_name  XXX.com www.XXX.com;server_tokens off;# 对应 /my/nginx/ssl/wiseinsightai/certbot/etc/letsencrypt/live/XXX.com目录ssl_certificate /etc/nginx/ssl/wiseinsightai/certbot/etc/letsencrypt/live/XXX.com/fullchain.pem;ssl_certificate_key /etc/nginx/ssl/wiseinsightai/certbot/etc/letsencrypt/live/XXX.com/privkey.pem;ssl_session_timeout 5m;ssl_protocols TLSv1 TLSv1.1 TLSv1.2;ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;ssl_prefer_server_ciphers on;# root /usr/share/nginx/html;# index index.html;location / {//  自己的服务或者静态文件html地址proxy_pass  http://172.22.251.52:3000;}}

配置好后,重启nginx容器,ssl证书就正式生效了!!!
在这里插入图片描述

设置自动续签

因为证书3个月就到期,我们可以设置一个定时任务,自动生成即可,cerbot的续签命令是renew关键字,
命令如下:

docker run -it --rm --name certbot \-v /my/nginx/ssl/wiseinsightai/certbot/etc/letsencrypt:/etc/letsencrypt \-v /my/nginx/ssl/wiseinsightai/certbot/var/lib/letsencrpt:/var/lib/letsencrypt \-v /my/nginx/ssl/wiseinsightai/certbot/var/log/letsencrpt:/var/log/letsencrypt \-v /my/nginx/html/certbot:/data/letsencrypt \certbot/certbot  renew

将此命令写成放在脚本里面。
在这里插入图片描述
通过crontab -e设置定时执行该脚本:内容如下:
根据自己的需求设置定时时间,我这里设置12小时一次。

# 自动续签证书
0 */12 * * * /root/renew_cert.sh

注意: 只有到期30天内才能执行成功,否则,脚本会提示没过期,不需要续签,直接跳过

在这里插入图片描述


以上便是,使用docker版的cerbot在 已经安装nginx容器的情况下,获取免费ssl证书和设置自动续签的全部内容,
人无完人,如有错误,欢迎提出交流意见或者指正!!!


大功告成!!!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/881159.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

适合跑步的开放式耳机哪个品牌好?怎么选?可入的蓝牙耳机推荐

想必很多爱晨跑的朋友,一定都有过这般令人困扰的经历。耳机戴久了总觉得不舒适,或是尺寸不合,或是材质欠佳,反正无论怎样调整,都很难找到最舒适的佩戴方式。而且,有时候戴的时间久了,还很容易掉…

FLUX的ID保持项目也来了! 字节开源PuLID-FLUX-v0.9.0,开启一致性风格写真新纪元!

之前的文章已经和大家介绍过字节开源的ID保持项目PuLID。随着FLUX模型的发布,PuLID也开源了 FLUX 版本的模型,不得不说FLUX的强大,两个月生态就赶上了SDXL。这次新发布PuLID-FLUX-v0.9.0模型,它为FLUX.1-dev提供了无需调整的ID定制…

4S店4S店客户管理系统小程序(lw+演示+源码+运行)

社会的发展和科学技术的进步,互联网技术越来越受欢迎。手机也逐渐受到广大人民群众的喜爱,也逐渐进入了每个用户的使用。手机具有便利性,速度快,效率高,成本低等优点。 因此,构建符合自己要求的操作系统是非…

VirtulBOX Ubuntu22安装dpdk23.11

目录 依赖包安装 Python安装 numa安装 ​编辑Python pip3安装 ​编辑pyelftools安装 meson和ninja安装 ​编辑构建与编译 Meson构建DPDK ​编辑Ninja安装DPDK ​编辑VFIO-PCI驱动安装 大页内存和IOMMU配置 ​编辑VFIO-PCI加载 ​编辑VFIO-PCI驱动绑定 ​编辑dpdk…

Linux网络操作命令与函数全面总结

1. 引言 Linux作为服务器和开发平台,网络操作是其核心功能之一。本文旨在全面总结Linux系统中的网络操作方法,包括命令行工具和编程接口,帮助读者深入理解Linux网络管理的机制。 2. 命令行工具 2.1 ping 命令 ping 命令用于测试网络连接和…

【Linux】信号知识三把斧——信号的产生、保存和处理

目录​​​​​​​ 1、关于信号的前置知识 1.1.什么是信号? 1.2.为什么要学习信号? 1.3.如何学习信号? 1.4.一些常见的信号 1.5.信号的处理方式 1.6.为什么每一个进程都可以系统调用? 2.信号的产生 2.1.kill命令产生信号…

计算机前沿技术-人工智能算法-大语言模型-最新研究进展-2024-09-28

计算机前沿技术-人工智能算法-大语言模型-最新研究进展-2024-09-28 目录 文章目录 计算机前沿技术-人工智能算法-大语言模型-最新研究进展-2024-09-28目录前言1. Cognitive phantoms in LLMs through the lens of latent variables摘要研究背景问题与挑战创新点算法模型实验效果…

【C++】二叉搜索树+变身 = AVL树

🚀个人主页:小羊 🚀所属专栏:C 很荣幸您能阅读我的文章,诚请评论指点,欢迎欢迎 ~ 目录 前言一、AVL树二、AVL树的实现2.1 平衡因子2.2 旋转处理2.2.1 左单旋:插入新节点后单纯的右边高2.2.2 …

html5 + css3(上)

目录 HTML初识基础认知web标准vscode的简介和使用注释 HTML标签学习排版标签标题和段落换行和水平线标签 文本格式化标签媒体标签图片标签图片-基本使用图片-属性 路径绝对路径相对路径 音频标签视频标签链接标签 HTML基础列表标签列表-无序和有序列表-自定义 表格标签表格-使用…

【包教包会】2D图片实现3D透视效果(支持3.x、支持原生、可合批)

将去年写的SpriteFlipper从2.x升级到3.x。 如果需要2.x版本或需要了解算法思路,请移步:https://blog.csdn.net/weixin_42714632/article/details/136745051 优化功能:可同时绕X轴和Y轴旋转,两者效果会叠加。 完美适配Web、原生…

数据结构与算法篇(图)(持续更新迭代)

目录 一、引言 二、基本概念 三、图的定义 四、图的基本概念和术语 1. 有向图 2. 无向图 3. 简单图 4. 多重图 5. 完全图(也称简单完全图) 6. 子图 7. 连通、连通图和连通分量 8. 强连通图、强连通分量 9. 生成树、生成森林 10. 顶点的度、…

使用WPF实现一个快速切换JDK版本的客户端工具

发现网上一键切换JDK环境的方法都是在mac或Linux下的,本人主力电脑是Windows,于是看了一下WPF的文档,自己开发了一个客户端。 直接上代码吧: using JavaSwitch.Properties; using Newtonsoft.Json; using System; using System.…

【C++11】新特性

前言: C11 是C编程语言的一个重要版本,于2011年发布。它带来了数量可观的变化,包含约 140 个新特性,以及对 C03 标准中约600个缺陷的修正,更像是从 C98/03 中孕育出的新语言 列表初始化 C11 中的列表初始化&#xff0…

爬虫案例——爬取情话网数据

需求: 1.爬取情话网站中表白里面的所有句子(表白词_表白的话_表白句子情话大全_情话网) 2.利用XPath来进行解析 3.使用面向对象形发请求——创建一个类 4.将爬取下来的数据保存在数据库中 写出对应解析语法 //div[class"box labelbo…

vite学习教程03、vite+vue2打包配置

文章目录 前言一、修改vite.config.js二、配置文件资源/路径提示三、测试打包参考文章资料获取 前言 博主介绍:✌目前全网粉丝3W,csdn博客专家、Java领域优质创作者,博客之星、阿里云平台优质作者、专注于Java后端技术领域。 涵盖技术内容&…

云手机可以解决TikTok运营的哪些问题?

随着社交媒体的飞速发展,TikTok迅速崛起,成为个人和企业进行品牌宣传和内容创作的首选平台。然而,在运营TikTok账号的过程中,不少用户会遇到各种问题。本文将详细阐述云手机如何帮助解决这些问题。 1. 多账号管理的高效便捷 通过云…

外包功能测试干了4年,技术退步太明显了。。。。。​

先说一下自己的情况,本科生,18年通过校招进入武汉某软件公司,干了差不多4年的功能测试,今年中秋,感觉自己不能够在这样下去了,长时间呆在一个舒适的环境会让一个人堕落!而我已经在一个企业干了四年的功能测…

精准选择大模型:消费品行业的营销与体验创新之路

在消费品行业,大模型技术的引入正逐渐从一个新兴趋势转变为行业标配。随着人工智能的快速发展,特别是OpenAI等领军企业推出的创新技术,如Sora,大模型在市场营销、消费者行为分析、个性化推荐等方面展现出巨大潜力。然而&#xff0…

详解Java中的BIO、NIO、AIO

1、 详解Java中的BIO、AIO、NIO 1.1、引言 IO流是Java中比较难理解的一个知识点,但是IO流在实际的开发场景中经常会使用到,比如Dubbo底层就是NIO进行通讯。本文将介绍Java发展过程中出现的三种IO:BIO、NIO以及AIO,重点介绍NIO。…

动态桌面时钟 让时间在桌面舞动 发现生活中的美好瞬间!

在快节奏的现代生活中,时间是最宝贵的资源之一。无论是在工作还是生活中,我们都需要时刻关注时间,在桌面显示一个时钟,可以让你更方便的掌握时间。今天小编给大家推荐一个软件《芝麻时钟》(下载地址:https:…