docker獲取Let's Encrypt永久免費SSL證書

lgp20151222發表於2021-01-03
一 起因
官方的cerbot太煩了,不建議使用
還不如野蠻生長的acme.sh,而這裡介紹docker執行cerbot獲取Let's Encrypt永久免費SSL證照
二 選型
cerbot的證照不會自動重新整理日期,但是acme.sh自帶這功能,每天凌晨0:00自動檢測過期域名並且自動續期
選擇docker執行cerbot,是為了讓伺服器裡儘量少配置和無意義的程式,方便管理。例如Let's Encrypt需要的Python2.7,git,pip我們都不需要裝在宿主機內,容器就自己配置好了
 
原文 https://github.com/acmesh-official/acme.sh/wiki/Run-acme.sh-in-docker
拉取映象
$ docker pull neilpang/acme.sh

以dns mode執行docker命令

$ docker run --rm  -it  \
  -v "$(pwd)/out":/acme.sh  \
  -e Ali_Key="xxxxxx" \
  -e Ali_Secret="xxxx" \
  neilpang/acme.sh  --issue --dns dns_ali -d domain.cn -d *.domain.cn

成功之後,證照會儲存在out資料夾,也可以指定路徑,修改上面第一行 "$(pwd)/out",改為你想要儲存的路徑即可

四 注意

--dns dns_ali

要根據你域名的dns模式選擇,顯然這裡是阿里。所以前面的兩項配置才是Ali_Key,Ali_Secret

Ali_Key,Ali_Secret

需要從阿里雲後臺獲取

 

不知道自己域名的dns模式可以去這裡查詢 https://github.com/acmesh-official/acme.sh/wiki/dnsapi

如何獲取域名的dns模式及相關配置,可以直接找你域名的客服

 

用騰訊做例子

$ docker run --rm  -it  \
  -v "$(pwd)/out":/acme.sh  \
  -e DP_Id="xxxxxx" \
  -e DP_Key="xxxx" \
  neilpang/acme.sh  --issue --dns dns_dp -d domain.cn -d *.domain.cn

ps.

騰訊這坑爹收購了DNSPod,所以是dns_dp

我一開始還以為是TX_Id,TX_Key,dns_tx之類的

找了一圈,發現自己的阿里伺服器正常使用,但就是步驟沒問題

於是問公司拿到域名賬戶,問騰訊客服才知道這事

當然,這跟騰訊無關,坑爹公司的鍋更大

老子幹這個啥都沒有

五 

docker run --rm 的命令懂得都懂,執行完就退出,這樣能執行個錘子自動更新ssh證照

方法一

docker run --rm,直接docker run就好了

優點簡單,缺點一個容器專門跑這個,太浪費資源了

 

方法二

定時任務跑docker run --rm,原文的例子就有了

#run cron job
docker run --rm  -it  \
  -v "$(pwd)/out":/acme.sh  \
  --net=host \
  neilpang/acme.sh  --cron

其實--cron是linux的crontab引數,具體用法不累贅了

喜歡用crontab的用crontab

不喜歡的看看 博文裡的二

 

方法三

把這玩意和docker守護程式綁一起,畢竟守護程式必須開,不算浪費資源

這是acme.sh的推薦做法

同樣帶原文的例子

$ docker run --rm  -itd  \
  -v "$(pwd)/out":/acme.sh  \
  --net=host \
  --name=acme.sh \
  neilpang/acme.sh daemon

 

六 最終結果

$ docker run --rm  -itd  \
  -v "$(pwd)/out":/acme.sh  \
  -e DP_Id="xxxxxx" \
  -e DP_Key="xxxx" \
  neilpang/acme.sh --issue --dns dns_dp -d domain.cn -d *.domain.cn daemon

 

 

 

 

 

相關文章