Certbot实现SSL免费证书自动续签(CentOS 7版 + Docker部署的nginx)

程序猿S先森丶2025-03-16 8:04

前置安装,可参考Certbot实现SSL免费证书自动续签(CentOS 7 + nginx/apache)

如果是通过 Docker 运行 Nginx, certbot 无法直接检测到本地的 Nginx 配置。解决方案是 使用 standalone 模式挂载 Webroot 方式获取 SSL 证书,并手动配置 Nginx。

方案 1:Standalone 模式(临时关闭 Nginx 获取证书)

如果你的服务器 不支持 Webroot (或 Nginx 配置不方便修改),可以使用 Standalone 模式 ,但需要 短暂关闭 Nginx

1. 停止 Nginx 容器

先找到 Nginx 容器 ID:

bash 复制代码 
docker ps | grep nginx

然后停止容器:

bash 复制代码 
docker stop <nginx-container-id>

2. 申请 SSL 证书

运行 Certbot,使用 standalone 模式:

bash 复制代码 
certbot certonly --standalone -d youdomain.com -d www.youdomain.com

说明

  • certonly:只获取证书,不修改配置
  • --standalone:使用 Certbot 内置的 web 服务器进行验证(需要 80 端口)
  • -d 指定域名

3. 启动 Nginx

bash 复制代码 
docker start <nginx-container-id>

方案 2:Webroot 模式(不停止 Nginx)

适用于 Nginx 容器可挂载 /var/www/html 或有 root 目录

1. 确定 Nginx 容器的 Webroot 路径

进入容器:

bash 复制代码 
docker exec -it <nginx-container-id> sh

查找 root 路径(通常是 /usr/share/nginx/html):

bash 复制代码 
grep -r "root" /etc/nginx/nginx.conf

假设 Webroot 是 /usr/share/nginx/html,退出容器。

2. 申请 SSL 证书

在宿主机运行:

bash 复制代码 
certbot certonly --webroot -w /usr/share/nginx/html -d youdomain.com -d www.youdomain.com

输入邮箱后按enter

协议输入Y后按enter

是否接收来自官方的新闻等邮件通知,可以选择Y/N,不影响使用

3. 配置 Nginx 使用 SSL

编辑 nginx.conf(在 server 配置中添加 SSL):

nginx 复制代码 
server {
    listen 443 ssl;
    server_name youdomain.com www.youdomain.com;

    ssl_certificate /etc/letsencrypt/live/youdomain.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/youdomain.com/privkey.pem;

    location / {
        root /usr/share/nginx/html;
        index index.html;
    }
}

注意:容器要挂载/etc/letsencrypt目录 :ro表示只读

复制代码 
-v /etc/letsencrypt:/etc/letsencrypt:ro

然后重启 Nginx:

bash 复制代码 
docker restart <nginx-container-id>

配置 SSL 证书自动续约

Let's Encrypt 证书 90 天 后过期,因此需要自动续约。

1. 测试续约

bash 复制代码 
certbot renew --dry-run

如果显示 Congratulations,说明续约正常。

2. 设置自动续约

添加 crontab 任务,每天检查证书并重启 Nginx:

bash 复制代码 
crontab -e

添加:

bash 复制代码 
0 2 * * * certbot renew --quiet --deploy-hook "docker restart <nginx-container-id>"

解释

  • 0 2 * * *:每天凌晨 2 点运行
  • certbot renew --quiet:静默续约
  • delopy-hook:只有成功续期后才执行后面的命令
  • docker restart nginx:续约后重启 Nginx 使新证书生效

验证证书是否生效

bash 复制代码 
certbot certificates
或者
openssl s_client -connect yourdomain.com:443 -servername yourdomain.com | openssl x509 -noout -dates

如果 Not After 日期已更新,说明证书续约成功!✅

总结

  • Docker 运行 Nginx 不能直接用 certbot --nginx
  • 推荐 standalone 模式(需临时关闭 Nginx)
  • 或者 webroot 模式(需手动修改 Nginx 配置)
  • 自动续约通过 cron 计划任务完成

这样,你的 SSL 证书会自动更新,无需手动操作!🚀

相关推荐
勇哥的编程江湖5 小时前
starrocks官网docker部署mysql无法连接
运维·docker·容器
水瓶_bxt6 小时前
Centos安装HAProxy搭建Mysql高可用集群负载均衡
mysql·centos·负载均衡
小码过河.8 小时前
CentOS 搭建 Docker 私有镜像仓库
linux·docker·centos
贾斯汀玛尔斯9 小时前
ubuntu/centos系统ping 不通域名的解决方案
linux·ubuntu·centos
飞询11 小时前
部署 coze-loop
docker·coze
龙卷风040511 小时前
使用本地IDEA连接服务器远程构建部署Docker服务
后端·docker
半梦半醒*12 小时前
Linux网络管理
linux·运维·网络·centos·运维开发
longxibo17 小时前
飞牛系统安装DataEase自定义Docker包
运维·docker·容器
先生沉默先17 小时前
Docker常用命令详解:以Nginx为例
nginx·docker
胡耀超19 小时前
基于Docker的GPU版本飞桨PaddleOCR部署深度指南(国内镜像)2025年7月底测试好用:从理论到实践的完整技术方案
运维·python·docker·容器·ocr·paddlepaddle·gpu
热门推荐
01Qwen3-Coder 快速上手教程 | Qwen Code + Claude Code02全球最强模型Grok4,国内已可免费使用!(附教程)03vue数据变化但页面不变04KGG转MP3工具|非KGM文件|解密音频05sqli-labs 靶场 less-8、9、10 第八关到第十关详解:布尔注入,时间注入06扣子开源本地部署教程 丨Coze智能体小白喂饭级指南07干翻 Typora!MilkUp:完全免费的桌面端 Markdown 编辑器!08【2025.7.18】更新vscode后所有.vue文件template标签后报红的临时解决办法,Vue - Official 插件3.0.2导致09ChatGPT Agent 完全使用指南:2025年7月最新功能详解10《魔兽世界》提示lua警告的含义及解决方法