一 起因
官方的cerbot太煩了,不建議使用
還不如野蠻生長的acme.sh,而這裡介紹docker執行cerbot獲取Let's Encrypt永久免費SSL證照
二 選型
cerbot的證照不會自動重新整理日期,但是acme.sh自帶這功能,每天凌晨0:00自動檢測過期域名並且自動續期
選擇docker執行cerbot,是為了讓伺服器裡儘量少配置和無意義的程式,方便管理。例如Let's Encrypt需要的Python2.7,git,pip我們都不需要裝在宿主機內,容器就自己配置好了
原文 https://github.com/acmesh-official/acme.sh/wiki/Run-acme.sh-in-docker
三
拉取映象
$ docker pull neilpang/acme.sh
以dns mode執行docker命令
$ docker run --rm -it \ -v "$(pwd)/out":/acme.sh \ -e Ali_Key="xxxxxx" \ -e Ali_Secret="xxxx" \ neilpang/acme.sh --issue --dns dns_ali -d domain.cn -d *.domain.cn
成功之後,證照會儲存在out資料夾,也可以指定路徑,修改上面第一行 "$(pwd)/out",改為你想要儲存的路徑即可
四 注意
--dns dns_ali
要根據你域名的dns模式選擇,顯然這裡是阿里。所以前面的兩項配置才是Ali_Key,Ali_Secret
Ali_Key,Ali_Secret
需要從阿里雲後臺獲取
不知道自己域名的dns模式可以去這裡查詢 https://github.com/acmesh-official/acme.sh/wiki/dnsapi
如何獲取域名的dns模式及相關配置,可以直接找你域名的客服
用騰訊做例子
$ docker run --rm -it \ -v "$(pwd)/out":/acme.sh \ -e DP_Id="xxxxxx" \ -e DP_Key="xxxx" \ neilpang/acme.sh --issue --dns dns_dp -d domain.cn -d *.domain.cn
ps.
騰訊這坑爹收購了DNSPod,所以是dns_dp
我一開始還以為是TX_Id,TX_Key,dns_tx之類的
找了一圈,發現自己的阿里伺服器正常使用,但就是步驟沒問題
於是問公司拿到域名賬戶,問騰訊客服才知道這事
當然,這跟騰訊無關,坑爹公司的鍋更大
老子幹這個啥都沒有
五
docker run --rm 的命令懂得都懂,執行完就退出,這樣能執行個錘子自動更新ssh證照
方法一
不docker run --rm,直接docker run就好了
優點簡單,缺點一個容器專門跑這個,太浪費資源了
方法二
定時任務跑docker run --rm,原文的例子就有了
#run cron job docker run --rm -it \ -v "$(pwd)/out":/acme.sh \ --net=host \ neilpang/acme.sh --cron
其實--cron是linux的crontab引數,具體用法不累贅了
喜歡用crontab的用crontab
不喜歡的看看 博文裡的二
方法三
把這玩意和docker守護程式綁一起,畢竟守護程式必須開,不算浪費資源
這是acme.sh的推薦做法
同樣帶原文的例子
$ docker run --rm -itd \ -v "$(pwd)/out":/acme.sh \ --net=host \ --name=acme.sh \ neilpang/acme.sh daemon
六 最終結果
$ docker run --rm -itd \ -v "$(pwd)/out":/acme.sh \ -e DP_Id="xxxxxx" \ -e DP_Key="xxxx" \ neilpang/acme.sh --issue --dns dns_dp -d domain.cn -d *.domain.cn daemon