概念

  1. 什么是 Container ?

    https://www.docker.com/resources/what-container

    https://www.docker.com/why-docker
  2. 什么是 Let’s Encrypt ?

    Let’s Encrypt is a free, automated, and open Certificate Authority.

安装

  1. 安装Docker

    https://docs.docker.com/install/linux/docker-ce/ubuntu/

  2. 获取 images

    docker pull linuxserver/letsencrypt

主角

详细介绍及使用方法:

hub.docker.com/r/linuxserver/letsencrypt

github.com/linuxserver/docker-letsencrypt

简要中文阐述

此镜像包含了Nginx服务器、反向代理、PHP和用于生成或续签证书的letsencrypt client,也包含了用于防御入侵的fail2ban。

本文使用的是http的方式请求的证书,故使用tls-snidns方式的读者,请参考【详细介绍及使用方法】链接里的原文

使用方法

<>中加入合适的值即可。

docker run \
--cap-add=NET_ADMIN \
--name=letsencrypt \
-v <path to data>:/config \
-e PGID=<gid> -e PUID=<uid> \
-e EMAIL=<email> \
-e URL=<url> \
-e SUBDOMAINS=<subdomains> \
-e VALIDATION=http \
-p 80:80 -p 443:443 \
-e TZ=Asia/Shanghai \
linuxserver/letsencrypt

参数介绍

参考来自github.com,有修改。

  • -p 80 -p 443 - 端口号
  • -v /config - 所有的配置文件及网站根目录路径(笔者:只需指定可读写路径即可,容器生成时会在此路径生成一堆文件),下文<your-path>指的就是这个。
  • -e URL - 顶级域名,比如 test.com
  • -e SUBDOMAINS - 二级域名 比如 www,ftp,cloud 多个二级域名用“,”隔开, http方式不支持泛域名,如想使用,请使用dns方式,本文不做介绍。
  • -e VALIDATION - letsencrypt 验证所使用的方法
  • -e PGID for GroupID - 详情见下面说明, 不可使用root的GID
  • -e PUID for UserID - 详情见下面说明, 不可使用root的UID
  • -e TZ - timezone ie. Asia/Shanghai

User / Group 标识

有时在使用数据卷( -v标志)时,主机操作系统和容器之间可能会出现权限问题。 我们通过允许您指定用户PUID和组PGID来避免此问题。 确保主机上的数据卷目录由您指定的同一用户拥有并且它能“正常工作”。

在这种情况下, PUID=1001并且PGID=1001 。 要找到你的id user ,请使用id user ,如下所示:

id <dockeruser>

运行

敲入上面的命令(docker run ....)后,首次使用需要生成DH参数,需要耐心等待啦。

查看状态

docker logs -f letsencrypt

如果看到如下所示就大功告成啦。

......
......
......
Server ready

那么,申请的证书在哪?

在输出的状态中可知:证书存在于<your-path>/config/etc/letsencrypt/live/<domain> 中,至于里面的证书都是用来干嘛的,请参考该目录下的README。本文不做描述

反向代理

该镜像默认的设置已经对反向代理做了优化(感谢大佬),最简单的方式就是找到<your-path>/config/nginx/proxy-confs下适合自己的配置文件,去掉.sample即可。但是笔者发现,好像这里面的配置不适合所有情况,故还要自己写配置文件.......

注意:反向代理分为两种方式,第一种是通过同一域名不同路径作为反向代理,第二种是不同域名指向不同虚拟主机作为反向代理。本文使用的第二种,详情可以看<your-path>/config/nginx/proxy-confs/_readme

切换路径

cd <your-path>/config/nginx/site-confs

不要理会 default , 当然,直接修改里面的文件也行,笔者为了简洁,直接新建文件

创建文件 <your-domain> 比如

touch test.com

修改文件

vi test.com

文件内容如下

server {
listen 443 ssl; server_name <your-domain>; charset utf-8; include /config/nginx/ssl.conf; client_max_body_size 0; location / {
include /config/nginx/proxy.conf;
proxy_pass <Web-OR-ContainerName>;
}
}

注意<your-domain>中填写域名,<Web-OR-ContainerName>中要填写反向代理的网址或者是容器名称,比如说proxy_pass http://gogsWeb:3000/;,至于容器之间如何互联,请看下节。如果需要创建多个反向代理,就如法炮制,再创建文件,再新建个虚拟主机,以server_name区分即可。

容器互联

参考docs.docker.com

docker network create cert_network
docker network connect cert_network <other-container>
docker network connect cert_network letsencrypt

注意,需要互联的容器建立时不需要指定'-P'即端口与主机端口绑定!!!只需要确保容器内端口开放即可。

是时候结束一切了

docker restart letsencrypt

参考

https://github.com/linuxserver/docker-letsencrypt

https://hub.docker.com/r/linuxserver/letsencrypt/

https://letsencrypt.org/

https://docs.docker.com/engine/reference/commandline

http://nginx.org/en/docs/http/configuring_https_servers.html

https://www.zybuluo.com/phper/note/89391

https://segmentfault.com/a/1190000009583997

https://blog.csdn.net/gripleaf/article/details/8552324

声明

本文采用知识共享署名-非商业性使用-相同方式共享 2.5 中国大陆许可协议进行许可,发表在CSDN博客园,欢迎读者转载,但未经作者同意必须保留此段声明,且在文章页面明显位置给出原文连接!请读者/爬虫们尊重版权

使用 Docker 生成 Let’s Encrypt 证书的更多相关文章

  1. 使用 lego生成 Let's Encrypt 证书

    1. 工具 https://github.com/xenolf/lego   2. 使用 命令生成新的 lego --email="foo@bar.com" --domains=& ...

  2. 使用Let's Encrypt 生成免费的ssl证书的详细过程

    参考连接:https://github.com/diafygi/acme-tiny 中文:https://hacpai.com/article/1487899289204 目前我了解可以生成免费证书的 ...

  3. 使用Let’s Encrypt生成免费的SSL证书

    SSL(安全套接层,Secure Sockets Layer),及其继任者 TLS (传输层安全,Transport Layer Security)是为网络通信提供安全及数据完整性的一种安全协议.TL ...

  4. Pandorabox固件路由器上申请Let's Encrypt证书,为内网里的多个web服务提供SSL支持

    对于家中宽带有公网IP的用户,有时我们需要将路由器内部网络的某些web服务通过端口转发暴露到外网(例如NAS远程访问),但HTTP是明文传输,有被监听的风险:如果在NAS上使用自签名证书,再端口转发, ...

  5. Linux下使用acme.sh申请和管理Let’s Encrypt证书

    关于Let's Encrypt 免费SSL证书 Let's Encrypt 作为一个公共且免费 SSL 的项目逐渐被广大用户传播和使用,是由 Mozilla.Cisco.Akamai.IdenTrus ...

  6. JAVA调用 keytool 生成keystore 和 cer 证书

    keytool是一个Java数据证书的管理工具, keytool将密钥(key)和证书(certificates)存在一个称为keystore的文件中在keystore里, 包含两种数据: 密钥实体( ...

  7. 用Keytool和OpenSSL生成和签发数字证书

    一)keytool生成私钥文件(.key)和签名请求文件(.csr),openssl签发数字证书      J2SDK在目录%JAVA_HOME%/bin提供了密钥库管理工具Keytool,用于管理密 ...

  8. 使用CloudFlare 的 PKI 工具集 cfssl 来生成 Certificate Authority (CA) 证书和秘钥文件

    要安装kubernetes最新版集群,https://github.com/opsnull/follow-me-install-kubernetes-cluster 这个文档必须要研习一下了. 以下实 ...

  9. Linux下生成openssl自签名证书

    校验证书是否被 CA 证书签名,正确的情况: $ openssl verify -CAfile /etc/kubernetes/cert/ca.pem /etc/kubernetes/cert/kub ...

随机推荐

  1. 【Linux】一步一步学Linux——VMware Workstation 15 Pro安装图解教程(06)

    目录 00. 目录 01. VMware Workstation Pro15下载 02. VMware Workstation Pro15安装 03. VMware Workstation Pro 1 ...

  2. Rxjs中Notification 介绍

    timer(0, 1000) // 计时器,每1000ms发射一个值,初始发射值延迟时间为0s: .pipe( take(5), // 取前5个值 takeWhile(value => valu ...

  3. 【HDU - 2102】A计划(bfs)

    -->A计划 Descriptions: 可怜的公主在一次次被魔王掳走一次次被骑士们救回来之后,而今,不幸的她再一次面临生命的考验.魔王已经发出消息说将在T时刻吃掉公主,因为他听信谣言说吃公主的 ...

  4. ES集群监控 之 Cerebro 0.8.3 安装及简单使用

    注意权限,不建议使用root,同es集群的启动用户相同即可 1. 下载 & 解压 # 下载 wget https://github.com/lmenezes/cerebro/releases/ ...

  5. VirtualBox中安装CentOS使得在ssh和外网都能正常链接

    一.网卡模式选择 网卡1:Host-only 用于主宿机互访,这是主宿机通过192.168.56.X这一网络通信,主机是否能上网不影响双方通信 网卡2:NAT 宿机用这一网卡通过主机上网 二.具体配置 ...

  6. C++ 洛谷 P1273 有线电视网 题解

     P1273 有线电视网  很明显,这是一道树形DP(图都画出来了,还不明显吗?) 未做完,持续更新中…… #include<cstdio> #include<cstring> ...

  7. Redis持久化深入理解

    用过Redis的都知道,Redis有两种持久化方式:RDB和AOF,他们的区别大家应该都清楚,所以今天主要想分享一下这两种持久化方式的底层原理以及实现. 如果让你手写一个持久化(架构级)的功能,你没有 ...

  8. 单个单选框radio 点击选中点击取消选中

    $("input:radio").click(function(){ var domName = $(this).attr('name');//获取当前单选框控件name 属性值 ...

  9. C++中 / 和 % 在分离各位时的妙用

    在学习c++的过程中,我们一般用 / 和 % 来分解数字的各个位 取整 (/) 比如1234 / 10 等于 123.4,这相当于把前三位分解出来了 取余(%) 比如 12345 的分解方法 个位:1 ...

  10. 研究Electron主进程、渲染进程、webview之间的通讯

    背景 由于某个Electron应用,需要主进程.渲染进程.webview之间能够互相通讯. 不过因为Electron仅提供了主进程与渲染进程的通讯,没有渲染进程之间或渲染进程与webview之间通讯的 ...