Certbot实现SSL免费证书自动续签(CentOS 7版 + Docker部署的nginx)

devtools/2025/3/16 7:35:15/

前置安装,可参考Certbot实现SSL免费证书自动续签(CentOS 7 + nginx/apache)

如果是通过 Docker 运行 Nginx, certbot 无法直接检测到本地的 Nginx 配置。解决方案是 使用 standalone 模式挂载 Webroot 方式获取 SSL 证书,并手动配置 Nginx。


方案 1:Standalone 模式(临时关闭 Nginx 获取证书)

如果你的服务器 不支持 Webroot(或 Nginx 配置不方便修改),可以使用 Standalone 模式,但需要 短暂关闭 Nginx

1. 停止 Nginx 容器

先找到 Nginx 容器 ID:

docker ps | grep nginx

然后停止容器:

docker stop <nginx-container-id>

2. 申请 SSL 证书

运行 Certbot,使用 standalone 模式:

certbot certonly --standalone -d youdomain.com -d www.youdomain.com

说明

  • certonly:只获取证书,不修改配置
  • --standalone:使用 Certbot 内置的 web 服务器进行验证(需要 80 端口)
  • -d 指定域名

3. 启动 Nginx

docker start <nginx-container-id>

方案 2:Webroot 模式(不停止 Nginx)

适用于 Nginx 容器可挂载 /var/www/html 或有 root 目录

1. 确定 Nginx 容器的 Webroot 路径

进入容器:

docker exec -it <nginx-container-id> sh

查找 root 路径(通常是 /usr/share/nginx/html):

grep -r "root" /etc/nginx/nginx.conf

假设 Webroot 是 /usr/share/nginx/html,退出容器。

2. 申请 SSL 证书

在宿主机运行:

certbot certonly --webroot -w /usr/share/nginx/html -d youdomain.com -d www.youdomain.com

输入邮箱后按enter
协议输入Y后按enter
是否接收来自官方的新闻等邮件通知,可以选择Y/N,不影响使用

3. 配置 Nginx 使用 SSL

编辑 nginx.conf(在 server 配置中添加 SSL):

server {listen 443 ssl;server_name youdomain.com www.youdomain.com;ssl_certificate /etc/letsencrypt/live/youdomain.com/fullchain.pem;ssl_certificate_key /etc/letsencrypt/live/youdomain.com/privkey.pem;location / {root /usr/share/nginx/html;index index.html;}
}

注意:容器要挂载/etc/letsencrypt目录 :ro表示只读

-v /etc/letsencrypt:/etc/letsencrypt:ro

然后重启 Nginx:

docker restart <nginx-container-id>

配置 SSL 证书自动续约

Let’s Encrypt 证书 90 天 后过期,因此需要自动续约。

1. 测试续约

certbot renew --dry-run

如果显示 Congratulations,说明续约正常。

2. 设置自动续约

添加 crontab 任务,每天检查证书并重启 Nginx:

crontab -e

添加:

0 2 * * * certbot renew --quiet --deploy-hook "docker restart <nginx-container-id>"

解释

  • 0 2 * * *:每天凌晨 2 点运行
  • certbot renew --quiet:静默续约
  • delopy-hook:只有成功续期后才执行后面的命令
  • docker restart nginx:续约后重启 Nginx 使新证书生效

验证证书是否生效

certbot certificates
或者
openssl s_client -connect yourdomain.com:443 -servername yourdomain.com | openssl x509 -noout -dates

如果 Not After 日期已更新,说明证书续约成功!✅


总结

  • Docker 运行 Nginx 不能直接用 certbot --nginx
  • 推荐 standalone 模式(需临时关闭 Nginx)
  • 或者 webroot 模式(需手动修改 Nginx 配置)
  • 自动续约通过 cron 计划任务完成

这样,你的 SSL 证书会自动更新,无需手动操作!🚀


http://www.ppmy.cn/devtools/167495.html

相关文章

设计模式--单例模式(Singleton)【Go】

引言 在设计模式中&#xff0c;单例模式&#xff08;Singleton Pattern&#xff09;是一种非常常见且实用的模式。它的核心思想是确保一个类只有一个实例&#xff0c;并提供一个全局访问点。这种模式在需要全局唯一对象的场景中非常有用&#xff0c;比如配置管理、日志记录、数…

浅谈AI落地之-加速训练

前言 曾在游戏世界挥洒创意&#xff0c;也曾在前端和后端的浪潮间穿梭&#xff0c;如今&#xff0c;而立的我仰望AI的璀璨星空&#xff0c;心潮澎湃&#xff0c;步履不停&#xff01;愿你我皆乘风破浪&#xff0c;逐梦星辰&#xff01; 混合精度&#xff1a; FL32是目前模型存…

MCU的工作原理:嵌入式系统的控制核心

MCU的工作原理可以概括为以下几个步骤&#xff1a; 1. 初始化 上电后&#xff0c;MCU从Flash存储器中加载程序代码&#xff0c;并初始化外设和寄存器。 2. 任务执行 根据程序逻辑&#xff0c;MCU执行数据处理、外设控制和通信等任务。通过中断系统实时响应外部事件。 3. 低…

免费高质量贴图(Textures) 网站推荐

以下是一些提供 免费或高质量贴图&#xff08;Textures&#xff09; 的网站&#xff0c;包括 PBR 贴图、HDRI 贴图、材质等&#xff0c;适用于 Three.js、Blender、Unity、Unreal Engine 等软件。 &#x1f30d; 1. Poly Haven&#xff08;https://polyhaven.com/&#xff09;⭐…

Java 8 + Tomcat 9.0.102 的稳定环境搭建方案,适用于生产环境

一、安装 Java 8 安装 OpenJDK 8 bash sudo apt update sudo apt install openjdk-8-jdk -y 验证安装 bash java -version 应输出类似: openjdk version “1.8.0_412” OpenJDK Runtime Environment (build 1.8.0_412-8u412-ga-1~22.04-b08) OpenJDK 64-Bit Server VM (bui…

【Linux内核系列】:文件系统收尾以及软硬链接详解

&#x1f525; 本文专栏&#xff1a;Linux &#x1f338;作者主页&#xff1a;努力努力再努力wz &#x1f4aa; 今日博客励志语录&#xff1a; 世界上只有一种个人英雄主义&#xff0c;那么就是面对生活的种种失败却依然热爱着生活 内容回顾 那么在之前的学习中&#xff0c;我们…

基于yolo11+flask打造一个精美登录界面和检测系统

这个是使用flask实现好看登录界面和友好的检测界面实现yolov11推理和展示&#xff0c;代码仅仅有2个html文件和一个python文件&#xff0c;真正做到了用最简洁的代码实现复杂功能。 测试通过环境&#xff1a; windows x64 anaconda3python3.8 ultralytics8.3.81 flask1.1.…

PDF文件里到底有什么?

PDF 文档结构由多个组件组成&#xff0c;这些组件决定了文本、图像和其他元素的存储和显示方式。PDF 是一种二进制文件格式&#xff0c;这意味着您无法在文本编辑器中直接编辑 PDF 文件。添加或删除一个字符都可能导致整个文件损坏&#xff01; PDF 文件结构 理解 PDF 文档结…