使用 Docker + Nginx + Certbot 实现自动化管理 SSL 证书

在互联网安全环境日益重要的今天，为站点或应用部署 HTTPS 已经成为一种常态。然而，手动申请并续期证书既繁琐又容易出错。本文将以 Nginx + Certbot 为示例，基于 Docker 容器来搭建一个可以自动申请、自动续期的 SSL 证书服务，帮助你更轻松地管理多域名的 HTTPS。

---

一、方案简介

在这个方案中，我们使用官方 Nginx 镜像作为基础镜像，并在其中安装 Python3、Certbot 及阿里云 DNS 插件。通过以下几个关键脚本来实现自动部署及管理：

1. start.sh：容器启动时执行，初始化阿里云 DNS 配置并启动 Nginx。
2. add-domain.sh：添加新域名并为其申请证书，自动生成 Nginx 配置文件，最后重载 Nginx。
3. deploy-certbot.sh：读取域名列表，一键申请或续期证书。
4. domains.txt：存放所有需要申请 SSL 证书的域名列表。

同时，通过挂载相应目录，可以将证书、日志、Nginx 配置文件全部持久化到宿主机，不会因为容器的更新或重启而丢失。

---

二、准备工作

1. 服务器已经安装 Docker（版本建议 >= 19.03）。

2. 你拥有阿里云账号，并且已经开通了 AliyunDNSFullAccess 权限的 Access Key：

   • ALIYUN_ACCESS_KEY_ID
   • ALIYUN_ACCESS_KEY_SECRET

3. 确保服务器安全组或本地防火墙已允许 HTTP(80) 和 HTTPS(443)。

---

三、获取配置文件

以下操作假设我们把部署目录统一放在 /data/nginx-certbot 下。

# 1. 创建部署目录
mkdir -p /data/nginx-certbot
cd /data/nginx-certbot# 2. 通过临时容器获取镜像内的 Nginx 配置
docker run -d --name nginx_conf -it registry.cn-hangzhou.aliyuncs.com/hbteck/nginx-certbot:1.20.2# 3. 拷贝 Nginx 配置文件到本地 conf 目录
docker cp nginx_conf:/etc/nginx/ ./conf# 4. 删除临时容器
docker rm -f nginx_conf

此时，/data/nginx-certbot/conf 目录下已包含镜像内的默认 Nginx 配置文件（包括 nginx.conf、vhost 目录等），可根据需求进行调整和定制。

---

四、主要文件和脚本说明

下面列举一些在本方案中常见或关键的文件结构与作用，仅供参考：

1. Dockerfile
   这是我们自定义镜像的核心文件。可自行修改或参考原始镜像中的配置。示例：

   # 使用官方nginx镜像作为基础镜像
   FROM nginx:stable# 替换为国内源
   RUN sed -i 's/deb.debian.org/mirrors.ustc.edu.cn/g' /etc/apt/sources.list && \sed -i 's/security.debian.org/mirrors.ustc.edu.cn/g' /etc/apt/sources.list# 安装必要的软件包
   RUN apt-get update && \apt-get install -y \python3 \python3-pip \cron \&& rm -rf /var/lib/apt/lists/*# 配置pip国内源
   RUN pip3 config set global.index-url https://mirrors.aliyun.com/pypi/simple/ && \pip3 config set install.trusted-host mirrors.aliyun.com# 安装certbot和阿里云DNS插件
   RUN pip3 install certbot certbot-dns-aliyun# 创建必要的目录
   RUN mkdir -p /etc/nginx/conf.d && \mkdir -p /etc/letsencrypt && \mkdir -p /etc/nginx/vhost && \mkdir -p /var/log/certbot# 复制配置文件
   COPY ./nginx.conf /etc/nginx/nginx.conf
   COPY ./deploy-certbot.sh /usr/local/bin/deploy-certbot.sh
   COPY ./add-domain.sh /usr/local/bin/add-domain.sh
   COPY ./start.sh /usr/local/bin/start.sh
   COPY ./domains.txt /etc/letsencrypt/domains.txt# 设置脚本权限
   RUN chmod +x /usr/local/bin/deploy-certbot.sh && \chmod +x /usr/local/bin/start.sh && \chmod +x /usr/local/bin/add-domain.sh# 设置环境变量默认值
   ENV RENEW_CRON_SCHEDULE="0 0 1 * * ?"
   ENV CERTBOT_EMAIL="admin@example.com"
   ENV DNS_PROPAGATION_SECONDS=60VOLUME ["/etc/letsencrypt", "/var/log/certbot"]CMD ["/usr/local/bin/start.sh"]

2. add-domain.sh
   在容器内用于添加新域名并申请证书的核心脚本：

   #!/bin/bashnew_domain=$1
   backend_url=${2:-"http://localhost:8080"}  # 默认后端地址
   local_ip=$3  # 第三参数: 本地IP地址# 检查参数
   if [ -z "$new_domain" ]; thenecho "用法: add-domain.sh <domain> [backend_url] [local_ip]"echo "示例: add-domain.sh example.com http://localhost:8080 192.168.1.1"exit 1
   fi# 验证域名格式
   if ! echo "$new_domain" | grep -P '(?=^.{4,253}$)(^(?:[a-zA-Z0-9](?:(?:[a-zA-Z0-9\-]){0,61}[a-zA-Z0-9])?\.)+[a-zA-Z]{2,}$)' > /dev/null; thenecho "错误: 无效的域名格式"exit 1
   fi# 检查域名是否已存在
   if grep -q "^${new_domain}$" /etc/letsencrypt/domains.txt; thenecho "域名 ${new_domain} 已存在"exit 0
   fi# 添加新域名
   echo "$new_domain" >> /etc/letsencrypt/domains.txt
   echo "已添加域名: $new_domain"# 为新域名获取证书
   if ! /usr/local/bin/deploy-certbot.sh; thenecho "证书获取失败，移除域名配置"sed -i "\|^${new_domain}$|d" /etc/letsencrypt/domains.txtexit 1
   fi# 创建nginx配置
   if [ -z "$local_ip" ]; thencat <<EOT > /etc/nginx/vhost/${new_domain}.conf
   # upstream配置
   upstream ${new_domain}_backend {server ${backend_url#http://};keepalive 32;
   }server {listen 443 ssl http2;server_name ${new_domain};ssl_certificate /etc/letsencrypt/live/${new_domain}/fullchain.pem;ssl_certificate_key /etc/letsencrypt/live/${new_domain}/privkey.pem;ssl_trusted_certificate /etc/letsencrypt/live/${new_domain}/chain.pem;# SSL配置ssl_session_timeout 1d;ssl_session_cache shared:SSL:50m;ssl_session_tickets off;ssl_protocols TLSv1.2 TLSv1.3;ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;ssl_prefer_server_ciphers off;# HSTS配置add_header Strict-Transport-Security "max-age=63072000" always;location / {proxy_pass ${backend_url};proxy_http_version 1.1;proxy_set_header Connection "";proxy_set_header Host \$host;proxy_set_header X-Real-IP \$remote_addr;proxy_set_header X-Forwarded-For \$proxy_add_x_forwarded_for;proxy_set_header X-Forwarded-Proto \$scheme;}
   }server {listen 80;server_name ${new_domain};return 301 https://\$server_name\$request_uri;
   }
   EOT
   elsecat <<EOT > /etc/nginx/vhost/${new_domain}.conf
   server {listen 443 ssl http2;server_name ${new_domain};ssl_certificate /etc/letsencrypt/live/${new_domain}/fullchain.pem;ssl_certificate_key /etc/letsencrypt/live/${new_domain}/privkey.pem;ssl_trusted_certificate /etc/letsencrypt/live/${new_domain}/chain.pem;# SSL配置ssl_session_timeout 1d;ssl_session_cache shared:SSL:50m;ssl_session_tickets off;ssl_protocols TLSv1.2 TLSv1.3;ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;ssl_prefer_server_ciphers off;# HSTS配置add_header Strict-Transport-Security "max-age=63072000" always;location / {proxy_pass ${backend_url};proxy_http_version 1.1;proxy_set_header Connection "";proxy_set_header Host \$host;proxy_set_header X-Real-IP \$remote_addr;proxy_set_header X-Forwarded-For \$proxy_add_x_forwarded_for;proxy_set_header X-Forwarded-Proto \$scheme;}error_page 500 502 503 504 /50x.html;location = /50x.html {root /usr/share/nginx/html;}location /api/ {proxy_pass http://${local_ip}:18500/;proxy_set_header Host \$http_host;proxy_set_header X-Real-IP \$remote_addr;proxy_set_header X-Forwarded-For \$proxy_add_x_forwarded_for;proxy_set_header X-Forwarded-Proto \$scheme;proxy_set_header X-NginX-Proxy true;# 传递所有原始请求头信息proxy_pass_request_headers on;}location /nacos/ {proxy_pass http://${local_ip}:8848/nacos/;proxy_set_header Host \$http_host;proxy_set_header X-Real-IP \$remote_addr;proxy_set_header X-Forwarded-For \$proxy_add_x_forwarded_for;proxy_set_header X-Forwarded-Proto \$scheme;proxy_set_header X-NginX-Proxy true;}location /kafka/ {proxy_pass http://${local_ip}:9000/kafka/;proxy_set_header Host \$http_host;proxy_set_header X-Real-IP \$remote_addr;proxy_set_header X-Forwarded-For \$proxy_add_x_forwarded_for;proxy_set_header X-Forwarded-Proto \$scheme;proxy_set_header X-NginX-Proxy true;}
   }server {listen 80;server_name ${new_domain};return 301 https://\$server_name\$request_uri;
   }
   EOT
   fi# 检查nginx配置
   if ! nginx -t; thenecho "Nginx配置检查失败，移除配置文件"rm -f /etc/nginx/vhost/${new_domain}.confsed -i "\|^${new_domain}$|d" /etc/letsencrypt/domains.txtexit 1
   fi# 重新加载nginx配置
   nginx -s reloadecho "域名 ${new_domain} 配置完成"

3. deploy-certbot.sh
   该脚本读取 /etc/letsencrypt/domains.txt 里的域名，通过 DNS-01 方式批量申请或更新证书。

   #!/bin/bash# 检查aliyun配置文件
   if [ ! -f "/etc/letsencrypt/aliyun.ini" ]; thenecho "错误: 未找到阿里云DNS凭证文件"exit 1
   fi# 检查domains.txt是否存在且不为空
   if [ ! -s "/etc/letsencrypt/domains.txt" ]; thenecho "警告: domains.txt为空或不存在"exit 0
   fi# 设置默认值
   : ${DNS_PROPAGATION_SECONDS:="60"}
   : ${CERTBOT_EMAIL:="admin@example.com"}# 处理每个域名
   while IFS= read -r domain || [ -n "$domain" ]; do# 跳过空行和注释[[ -z "$domain" || "${domain:0:1}" == "#" ]] && continueecho "正在处理域名: $domain"certbot certonly \--authenticator dns-aliyun \--dns-aliyun-credentials /etc/letsencrypt/aliyun.ini \--dns-aliyun-propagation-seconds "$DNS_PROPAGATION_SECONDS" \--non-interactive \--agree-tos \--email "$CERTBOT_EMAIL" \-d "$domain" \--expand \--keep-until-expiring \--preferred-challenges dns-01 \--config-dir /etc/letsencrypt \--logs-dir /var/log/certbot \--work-dir /var/lib/certbotif [ $? -eq 0 ]; thenecho "成功为 $domain 获取/更新证书"elseecho "为 $domain 获取/更新证书失败"# 如果获取证书失败，则退出脚本exit 1fi
   done < "/etc/letsencrypt/domains.txt"# 检查nginx配置并重新加载
   nginx -t && nginx -s reload

4. start.sh
   容器启动时自动执行的脚本：

   #!/bin/bash# 检查必要的环境变量
   if [ -z "$ALIYUN_ACCESS_KEY_ID" ] || [ -z "$ALIYUN_ACCESS_KEY_SECRET" ]; thenecho "错误: 未设置阿里云访问密钥环境变量"exit 1
   fi# 创建 Aliyun 配置文件
   mkdir -p /etc/letsencrypt
   cat <<EOT > /etc/letsencrypt/aliyun.ini
   dns_aliyun_access_key = $ALIYUN_ACCESS_KEY_ID
   dns_aliyun_access_key_secret = $ALIYUN_ACCESS_KEY_SECRET
   EOT# 设置严格的权限
   chmod 600 /etc/letsencrypt/aliyun.ini# 设置默认值
   : ${RENEW_CRON_SCHEDULE:="0 0 1 * *"}
   : ${CERTBOT_EMAIL:="admin@example.com"}
   : ${DNS_PROPAGATION_SECONDS:="60"}# 确保domains.txt存在
   touch /etc/letsencrypt/domains.txt# 初始获取或更新 SSL 证书
   /usr/local/bin/deploy-certbot.sh# 配置证书自动续期
   echo "$RENEW_CRON_SCHEDULE /usr/local/bin/deploy-certbot.sh >> /var/log/certbot/renew.log 2>&1" > /etc/cron.d/certbot-renew
   chmod 0644 /etc/cron.d/certbot-renew# 创建日志目录
   mkdir -p /var/log/certbot
   touch /var/log/certbot/renew.log# 启动 cron 服务
   service cron start# 启动 nginx
   exec nginx -g "daemon off;"
   

5. /etc/nginx/

   • nginx.conf：Nginx 的主配置文件

     	
     #=============================================start 全局块==================================================================#运行用户
     #user  nobody;
     #worker进程数量,通常设置为cpu核数相等
     worker_processes  4;#全局错误文件
     #error_log  logs/error.log;
     #error_log  logs/error.log  notice;
     #error_log  logs/error.log  info;
     #pid位置
     #pid        logs/nginx.pid;
     #=============================================end 全局块=====================================================================#=============================================start events块================================================================
     events {# 单个worker进程最大并发连接数worker_connections  1024;
     }
     #=============================================end events块==================================================================#=============================================start http块==================================================================http {#引入mime类型的定义文件include       mime.types;default_type  application/octet-stream;#设置日志格式#log_format  main  ' -  [] "" '#                  '  "" '#                  '"" ""';#access_log  logs/access.log  main;sendfile        on;#tcp_nopush     on;#连接超时时间#keepalive_timeout  0;keepalive_timeout  65;#开启gzip压缩#gzip  on;#上传大小限制client_max_body_size 512m;#自定义变量 $connection_upgrademap $http_upgrade $connection_upgrade {default          keep-alive;  #默认为keep-alive 可以支持 一般http请求'websocket'      upgrade;     #如果为websocket 则为 upgrade 可升级的。#default upgrade;#''      close;}#引入配置文件include  vhost/*.conf;
     }#=============================================end http块=================================================================
     

   • vhost 目录：根据域名生成的各子配置文件

6. domains.txt

   • 存放所有需要申请证书的域名，每行一个。

---

五、运行容器

准备就绪后，可以执行以下命令来启动容器：

docker run -d \-p 80:80 \-p 443:443 \--name nginx-certbot \-e ALIYUN_ACCESS_KEY_ID=<你的阿里云AccessKeyId> \-e ALIYUN_ACCESS_KEY_SECRET=<你的阿里云AccessKeySecret> \-e CERTBOT_EMAIL=<你的邮箱> \-e RENEW_CRON_SCHEDULE="0 0 1 * *" \-v /data/nginx-certbot/certs:/etc/letsencrypt \-v /data/nginx-certbot/log-certbot:/var/log/certbot \-v /data/nginx-certbot/log:/var/log/nginx \-v /data/nginx-certbot/conf:/etc/nginx \-v /data/nginx-certbot/html:/usr/share/nginx/html \registry.cn-hangzhou.aliyuncs.com/hbteck/nginx-certbot:1.20.2

参数说明：

1. -p 80:80 和 -p 443:443：将宿主机的 80/443 端口映射给容器，用于 HTTP/HTTPS。
2. -e ALIYUN_ACCESS_KEY_ID / ALIYUN_ACCESS_KEY_SECRET：阿里云 DNS 插件需要的密钥。
3. -e CERTBOT_EMAIL：用于跟证书签发相关的提示信息接收。
4. -e RENEW_CRON_SCHEDULE：设置证书自动续期的 cron 表达式（默认为每月1日00:00 点执行 certbot renew）。
5. -v /data/nginx-certbot/conf:/etc/nginx：持久化 Nginx 配置文件，方便宿主机直接修改。
6. -v /data/nginx-certbot/certs:/etc/letsencrypt：持久化证书文件，让重启或更新不会丢失证书。
7. 其他挂载可根据自身需求调整。

成功运行后，容器会自动加载已有 Nginx 配置并尝试运行部署脚本(如果 domains.txt 里已有域名)。

---

六、添加域名及证书

当容器正常运行后，通过以下命令添加新域名并生成对应的 HTTPS 配置：

docker exec nginx-certbot /usr/local/bin/add-domain.sh <domain> [backend_url] [local_ip]

示例：

docker exec nginx-certbot /usr/local/bin/add-domain.sh hbteck.com \http://172.19.160.13:17111/ 172.19.160.13

• ：必填，目标域名。
• [backend_url]：可选，域名后端服务的转发地址，默认 http://localhost:8080。
• [local_ip]：可选，用于特定场景自动生成更多配置规则。

该脚本会完成以下操作：

1. 将新域名写入 /etc/letsencrypt/domains.txt。
2. 调用 /usr/local/bin/deploy-certbot.sh 进行 DNS-01 方式的证书申请。
3. 成功后在 /etc/nginx/vhost/ 下写入对应的 vhost 配置文件，再重载 Nginx。

如果一切正常，可以在浏览器访问 https://hbteck.com 测试效果。

---

七、查看与管理证书

1. 查看证书详情：

   docker exec nginx-certbot certbot certificates
   

   如果成功，会列出每个域名证书所在路径及过期时间。

2. 手动重载 Nginx 配置：

   docker exec -it nginx-certbot /usr/sbin/nginx -s reload
   

3. 手动执行续期：

   docker exec -it nginx-certbot certbot renew --deploy-hook 'nginx -s reload'
   

   一般不需要手动运行，脚本中已经配置了 cron 任务每天检查并每月1日00:00自动续期。

---

八、常见问题及解决方案

1. 申请证书失败：

   • 请确认域名的 DNS 解析在阿里云上，并且 AccessKey 拥有 AliyunDNSFullAccess 权限。
   • 检查是不是填写了错误的 Access Key 信息。
   • 域名是否在 /etc/letsencrypt/domains.txt 中已存在，如果有问题可删除后重试。

2. 80 和 443 端口冲突：

   • 如果宿主机已占用 80/443 端口，可修改映射端口，如 -p 8080:80 -p 8443:443，但需要相应修改 nginx.conf。

3. 自定义 Nginx 配置：

   • 直接修改宿主机 /data/nginx-certbot/conf/nginx.conf 或 vhost/文件，完成后执行 docker exec nginx-certbot nginx -s reload。

4. 脚本执行权限：

   • 如果提示权限不足，可在宿主机手动 chmod +x /data/nginx-certbot/conf/*.sh 等路径，或在 Dockerfile 中确保脚本均可执行。

---

九、总结

通过在 Docker 中整合 Nginx + Certbot + 阿里云 DNS 插件，我们可以轻松实现多域名自动化申请及续期 SSL 证书的流程。该方案具有以下优点：

• DNS-01 验证方式无需对外暴露除 80/443 以外的端口，也不影响原有服务。
• 对多域名、多环境非常灵活，可以快速添加新域名。
• 证书续期完全自动化，无需人工干预。

只要按照上述步骤，下载配置，将 Access Key 写入环境变量，启动容器并执行 add-domain.sh 脚本，即可轻松接入新的 HTTPS 域名。祝你在实际生产环境中使用顺利，助力网站与应用更安全、稳定地运行!