使用 Docker + Nginx + Certbot 实现自动化管理 SSL 证书

在互联网安全环境日益重要的今天，为站点或应用部署 HTTPS 已经成为一种常态。然而，手动申请并续期证书既繁琐又容易出错。本文将以 Nginx + Certbot 为示例，基于 Docker 容器来搭建一个可以自动申请、自动续期的 SSL 证书服务，帮助你更轻松地管理多域名的 HTTPS。

一、方案简介

在这个方案中，我们使用官方 Nginx 镜像作为基础镜像，并在其中安装 Python3、Certbot 及阿里云 DNS 插件。通过以下几个关键脚本来实现自动部署及管理：

start.sh：容器启动时执行，初始化阿里云 DNS 配置并启动 Nginx。
add-domain.sh：添加新域名并为其申请证书，自动生成 Nginx 配置文件，最后重载 Nginx。
deploy-certbot.sh：读取域名列表，一键申请或续期证书。
domains.txt：存放所有需要申请 SSL 证书的域名列表。

同时，通过挂载相应目录，可以将证书、日志、Nginx 配置文件全部持久化到宿主机，不会因为容器的更新或重启而丢失。

二、准备工作

服务器已经安装 Docker（版本建议 >= 19.03）。
你拥有阿里云账号，并且已经开通了 AliyunDNSFullAccess 权限的 Access Key：
- ALIYUN_ACCESS_KEY_ID
- ALIYUN_ACCESS_KEY_SECRET
确保服务器安全组或本地防火墙已允许 HTTP(80) 和 HTTPS(443)。

三、获取配置文件

以下操作假设我们把部署目录统一放在 /data/nginx-certbot 下。

# 1. 创建部署目录
mkdir -p /data/nginx-certbot
cd /data/nginx-certbot

# 2. 通过临时容器获取镜像内的 Nginx 配置
docker run -d --name nginx_conf -it registry.cn-hangzhou.aliyuncs.com/hbteck/nginx-certbot:1.20.2

# 3. 拷贝 Nginx 配置文件到本地 conf 目录
docker cp nginx_conf:/etc/nginx/ ./conf

# 4. 删除临时容器
docker rm -f nginx_conf

此时，/data/nginx-certbot/conf 目录下已包含镜像内的默认 Nginx 配置文件（包括 nginx.conf、vhost 目录等），可根据需求进行调整和定制。

四、主要文件和脚本说明

下面列举一些在本方案中常见或关键的文件结构与作用，仅供参考：

Dockerfile
这是我们自定义镜像的核心文件。可自行修改或参考原始镜像中的配置。示例：

# 使用官方nginx镜像作为基础镜像
FROM nginx:stable

# 替换为国内源
RUN sed -i 's/deb.debian.org/mirrors.ustc.edu.cn/g' /etc/apt/sources.list && \
    sed -i 's/security.debian.org/mirrors.ustc.edu.cn/g' /etc/apt/sources.list

# 安装必要的软件包
RUN apt-get update && \
    apt-get install -y \
    python3 \
    python3-pip \
    cron \
    && rm -rf /var/lib/apt/lists/*

# 配置pip国内源
RUN pip3 config set global.index-url https://mirrors.aliyun.com/pypi/simple/ && \
    pip3 config set install.trusted-host mirrors.aliyun.com

# 安装certbot和阿里云DNS插件
RUN pip3 install certbot certbot-dns-aliyun

# 创建必要的目录
RUN mkdir -p /etc/nginx/conf.d && \
    mkdir -p /etc/letsencrypt && \
    mkdir -p /etc/nginx/vhost && \
    mkdir -p /var/log/certbot

# 复制配置文件
COPY ./nginx.conf /etc/nginx/nginx.conf
COPY ./deploy-certbot.sh /usr/local/bin/deploy-certbot.sh
COPY ./add-domain.sh /usr/local/bin/add-domain.sh
COPY ./start.sh /usr/local/bin/start.sh
COPY ./domains.txt /etc/letsencrypt/domains.txt

# 设置脚本权限
RUN chmod +x /usr/local/bin/deploy-certbot.sh && \
    chmod +x /usr/local/bin/start.sh && \
    chmod +x /usr/local/bin/add-domain.sh

# 设置环境变量默认值
ENV RENEW_CRON_SCHEDULE="0 0 1 * * ?"
ENV CERTBOT_EMAIL="admin@example.com"
ENV DNS_PROPAGATION_SECONDS=60

VOLUME ["/etc/letsencrypt", "/var/log/certbot"]

CMD ["/usr/local/bin/start.sh"]

add-domain.sh
在容器内用于添加新域名并申请证书的核心脚本：

#!/bin/bash

new_domain=$1
backend_url=${2:-"http://localhost:8080"}  # 默认后端地址
local_ip=$3  # 第三参数: 本地IP地址

# 检查参数
if [ -z "$new_domain" ]; then
    echo "用法: add-domain.sh <domain> [backend_url] [local_ip]"
    echo "示例: add-domain.sh example.com http://localhost:8080 192.168.1.1"
    exit 1
fi

# 验证域名格式
if ! echo "$new_domain" | grep -P '(?=^.{4,253}$)(^(?:[a-zA-Z0-9](?:(?:[a-zA-Z0-9\-]){0,61}[a-zA-Z0-9])?\.)+[a-zA-Z]{2,}$)' > /dev/null; then
    echo "错误: 无效的域名格式"
    exit 1
fi

# 检查域名是否已存在
if grep -q "^${new_domain}$" /etc/letsencrypt/domains.txt; then
    echo "域名 ${new_domain} 已存在"
    exit 0
fi

# 添加新域名
echo "$new_domain" >> /etc/letsencrypt/domains.txt
echo "已添加域名: $new_domain"

# 为新域名获取证书
if ! /usr/local/bin/deploy-certbot.sh; then
    echo "证书获取失败，移除域名配置"
    sed -i "\|^${new_domain}$|d" /etc/letsencrypt/domains.txt
    exit 1
fi

# 创建nginx配置
if [ -z "$local_ip" ]; then
    cat <<EOT > /etc/nginx/vhost/${new_domain}.conf
# upstream配置
upstream ${new_domain}_backend {
    server ${backend_url#http://};
    keepalive 32;
}

server {
    listen 443 ssl http2;
    server_name ${new_domain};

    ssl_certificate /etc/letsencrypt/live/${new_domain}/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/${new_domain}/privkey.pem;
    ssl_trusted_certificate /etc/letsencrypt/live/${new_domain}/chain.pem;

    # SSL配置
    ssl_session_timeout 1d;
    ssl_session_cache shared:SSL:50m;
    ssl_session_tickets off;
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;
    ssl_prefer_server_ciphers off;

    # HSTS配置
    add_header Strict-Transport-Security "max-age=63072000" always;

    location / {
        proxy_pass ${backend_url};
        proxy_http_version 1.1;
        proxy_set_header Connection "";
        proxy_set_header Host \$host;
        proxy_set_header X-Real-IP \$remote_addr;
        proxy_set_header X-Forwarded-For \$proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto \$scheme;
    }
}

server {
    listen 80;
    server_name ${new_domain};
    return 301 https://\$server_name\$request_uri;
}
EOT
else
    cat <<EOT > /etc/nginx/vhost/${new_domain}.conf
server {
    listen 443 ssl http2;
    server_name ${new_domain};

    ssl_certificate /etc/letsencrypt/live/${new_domain}/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/${new_domain}/privkey.pem;
    ssl_trusted_certificate /etc/letsencrypt/live/${new_domain}/chain.pem;

    # SSL配置
    ssl_session_timeout 1d;
    ssl_session_cache shared:SSL:50m;
    ssl_session_tickets off;
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;
    ssl_prefer_server_ciphers off;

    # HSTS配置
    add_header Strict-Transport-Security "max-age=63072000" always;

    location / {
        proxy_pass ${backend_url};
        proxy_http_version 1.1;
        proxy_set_header Connection "";
        proxy_set_header Host \$host;
        proxy_set_header X-Real-IP \$remote_addr;
        proxy_set_header X-Forwarded-For \$proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto \$scheme;
    }

    error_page 500 502 503 504 /50x.html;
    location = /50x.html {
        root /usr/share/nginx/html;
    }
    
    location /api/ {
         proxy_pass http://${local_ip}:18500/;
         proxy_set_header Host \$http_host;
         proxy_set_header X-Real-IP \$remote_addr;
         proxy_set_header X-Forwarded-For \$proxy_add_x_forwarded_for;
         proxy_set_header X-Forwarded-Proto \$scheme;
         proxy_set_header X-NginX-Proxy true;
         # 传递所有原始请求头信息
         proxy_pass_request_headers on;
    }
    location /nacos/ {
         proxy_pass http://${local_ip}:8848/nacos/;
         proxy_set_header Host \$http_host;
         proxy_set_header X-Real-IP \$remote_addr;
         proxy_set_header X-Forwarded-For \$proxy_add_x_forwarded_for;
         proxy_set_header X-Forwarded-Proto \$scheme;
         proxy_set_header X-NginX-Proxy true;
    }
    location /kafka/ {
         proxy_pass http://${local_ip}:9000/kafka/;
         proxy_set_header Host \$http_host;
         proxy_set_header X-Real-IP \$remote_addr;
         proxy_set_header X-Forwarded-For \$proxy_add_x_forwarded_for;
         proxy_set_header X-Forwarded-Proto \$scheme;
         proxy_set_header X-NginX-Proxy true;
    }
}

server {
    listen 80;
    server_name ${new_domain};
    return 301 https://\$server_name\$request_uri;
}
EOT
fi

# 检查nginx配置
if ! nginx -t; then
    echo "Nginx配置检查失败，移除配置文件"
    rm -f /etc/nginx/vhost/${new_domain}.conf
    sed -i "\|^${new_domain}$|d" /etc/letsencrypt/domains.txt
    exit 1
fi

# 重新加载nginx配置
nginx -s reload

echo "域名 ${new_domain} 配置完成"

deploy-certbot.sh
该脚本读取 /etc/letsencrypt/domains.txt 里的域名，通过 DNS-01 方式批量申请或更新证书。

#!/bin/bash

# 检查aliyun配置文件
if [ ! -f "/etc/letsencrypt/aliyun.ini" ]; then
    echo "错误: 未找到阿里云DNS凭证文件"
    exit 1
fi

# 检查domains.txt是否存在且不为空
if [ ! -s "/etc/letsencrypt/domains.txt" ]; then
    echo "警告: domains.txt为空或不存在"
    exit 0
fi

# 设置默认值
: ${DNS_PROPAGATION_SECONDS:="60"}
: ${CERTBOT_EMAIL:="admin@example.com"}

# 处理每个域名
while IFS= read -r domain || [ -n "$domain" ]; do
    # 跳过空行和注释
    [[ -z "$domain" || "${domain:0:1}" == "#" ]] && continue
    
    echo "正在处理域名: $domain"
    certbot certonly \
        --authenticator dns-aliyun \
        --dns-aliyun-credentials /etc/letsencrypt/aliyun.ini \
        --dns-aliyun-propagation-seconds "$DNS_PROPAGATION_SECONDS" \
        --non-interactive \
        --agree-tos \
        --email "$CERTBOT_EMAIL" \
        -d "$domain" \
        --expand \
        --keep-until-expiring \
        --preferred-challenges dns-01 \
        --config-dir /etc/letsencrypt \
        --logs-dir /var/log/certbot \
        --work-dir /var/lib/certbot

    if [ $? -eq 0 ]; then
        echo "成功为 $domain 获取/更新证书"
    else
        echo "为 $domain 获取/更新证书失败"
        # 如果获取证书失败，则退出脚本
        exit 1
    fi
done < "/etc/letsencrypt/domains.txt"

# 检查nginx配置并重新加载
nginx -t && nginx -s reload

start.sh
容器启动时自动执行的脚本：

#!/bin/bash

# 检查必要的环境变量
if [ -z "$ALIYUN_ACCESS_KEY_ID" ] || [ -z "$ALIYUN_ACCESS_KEY_SECRET" ]; then
    echo "错误: 未设置阿里云访问密钥环境变量"
    exit 1
fi

# 创建 Aliyun 配置文件
mkdir -p /etc/letsencrypt
cat <<EOT > /etc/letsencrypt/aliyun.ini
dns_aliyun_access_key = $ALIYUN_ACCESS_KEY_ID
dns_aliyun_access_key_secret = $ALIYUN_ACCESS_KEY_SECRET
EOT

# 设置严格的权限
chmod 600 /etc/letsencrypt/aliyun.ini

# 设置默认值
: ${RENEW_CRON_SCHEDULE:="0 0 1 * *"}
: ${CERTBOT_EMAIL:="admin@example.com"}
: ${DNS_PROPAGATION_SECONDS:="60"}

# 确保domains.txt存在
touch /etc/letsencrypt/domains.txt

# 初始获取或更新 SSL 证书
/usr/local/bin/deploy-certbot.sh

# 配置证书自动续期
echo "$RENEW_CRON_SCHEDULE /usr/local/bin/deploy-certbot.sh >> /var/log/certbot/renew.log 2>&1" > /etc/cron.d/certbot-renew
chmod 0644 /etc/cron.d/certbot-renew

# 创建日志目录
mkdir -p /var/log/certbot
touch /var/log/certbot/renew.log

# 启动 cron 服务
service cron start

# 启动 nginx
exec nginx -g "daemon off;"

/etc/nginx/

nginx.conf：Nginx 的主配置文件

	
#=============================================start 全局块==================================================================
 #运行用户
#user  nobody;
#worker进程数量,通常设置为cpu核数相等
worker_processes  4;

#全局错误文件
#error_log  logs/error.log;
#error_log  logs/error.log  notice;
#error_log  logs/error.log  info;
#pid位置
#pid        logs/nginx.pid;
#=============================================end 全局块=====================================================================


#=============================================start events块================================================================
events {
    # 单个worker进程最大并发连接数
    worker_connections  1024;
}
#=============================================end events块==================================================================


#=============================================start http块==================================================================

http {
    #引入mime类型的定义文件
    include       mime.types;
    default_type  application/octet-stream;

    #设置日志格式
    #log_format  main  ' -  [] "" '
    #                  '  "" '
    #                  '"" ""';

    #access_log  logs/access.log  main;

    sendfile        on;
    #tcp_nopush     on;

    #连接超时时间
    #keepalive_timeout  0;
    keepalive_timeout  65;

    #开启gzip压缩
    #gzip  on;
    
    #上传大小限制
    client_max_body_size 512m;
    
    #自定义变量 $connection_upgrade
    map $http_upgrade $connection_upgrade {
        default          keep-alive;  #默认为keep-alive 可以支持 一般http请求
        'websocket'      upgrade;     #如果为websocket 则为 upgrade 可升级的。
     #default upgrade;
        #''      close;
    }

    #引入配置文件
    include  vhost/*.conf;
}

#=============================================end http块=================================================================

vhost 目录：根据域名生成的各子配置文件

domains.txt
- 存放所有需要申请证书的域名，每行一个。

五、运行容器

准备就绪后，可以执行以下命令来启动容器：

docker run -d \
  -p 80:80 \
  -p 443:443 \
  --name nginx-certbot \
  -e ALIYUN_ACCESS_KEY_ID=<你的阿里云AccessKeyId> \
  -e ALIYUN_ACCESS_KEY_SECRET=<你的阿里云AccessKeySecret> \
  -e CERTBOT_EMAIL=<你的邮箱> \
  -e RENEW_CRON_SCHEDULE="0 0 1 * *" \
  -v /data/nginx-certbot/certs:/etc/letsencrypt \
  -v /data/nginx-certbot/log-certbot:/var/log/certbot \
  -v /data/nginx-certbot/log:/var/log/nginx \
  -v /data/nginx-certbot/conf:/etc/nginx \
  -v /data/nginx-certbot/html:/usr/share/nginx/html \
  registry.cn-hangzhou.aliyuncs.com/hbteck/nginx-certbot:1.20.2

参数说明：

-p 80:80 和 -p 443:443：将宿主机的 80/443 端口映射给容器，用于 HTTP/HTTPS。
-e ALIYUN_ACCESS_KEY_ID / ALIYUN_ACCESS_KEY_SECRET：阿里云 DNS 插件需要的密钥。
-e CERTBOT_EMAIL：用于跟证书签发相关的提示信息接收。
-e RENEW_CRON_SCHEDULE：设置证书自动续期的 cron 表达式（默认为每月1日00:00 点执行 certbot renew）。
-v /data/nginx-certbot/conf:/etc/nginx：持久化 Nginx 配置文件，方便宿主机直接修改。
-v /data/nginx-certbot/certs:/etc/letsencrypt：持久化证书文件，让重启或更新不会丢失证书。
其他挂载可根据自身需求调整。

成功运行后，容器会自动加载已有 Nginx 配置并尝试运行部署脚本(如果 domains.txt 里已有域名)。

六、添加域名及证书

当容器正常运行后，通过以下命令添加新域名并生成对应的 HTTPS 配置：

docker exec nginx-certbot /usr/local/bin/add-domain.sh <domain> [backend_url] [local_ip]

示例：

docker exec nginx-certbot /usr/local/bin/add-domain.sh hbteck.com \
  http://172.19.160.13:17111/ 172.19.160.13

：必填，目标域名。
[backend_url]：可选，域名后端服务的转发地址，默认 http://localhost:8080。
[local_ip]：可选，用于特定场景自动生成更多配置规则。

该脚本会完成以下操作：

将新域名写入 /etc/letsencrypt/domains.txt。
调用 /usr/local/bin/deploy-certbot.sh 进行 DNS-01 方式的证书申请。
成功后在 /etc/nginx/vhost/ 下写入对应的 vhost 配置文件，再重载 Nginx。

如果一切正常，可以在浏览器访问 https://hbteck.com 测试效果。

七、查看与管理证书

查看证书详情：
```
docker exec nginx-certbot certbot certificates
```
如果成功，会列出每个域名证书所在路径及过期时间。

手动重载 Nginx 配置：

docker exec -it nginx-certbot /usr/sbin/nginx -s reload

手动执行续期：
```
docker exec -it nginx-certbot certbot renew --deploy-hook 'nginx -s reload'
```
一般不需要手动运行，脚本中已经配置了 cron 任务每天检查并每月1日00:00自动续期。

八、常见问题及解决方案

申请证书失败：
- 请确认域名的 DNS 解析在阿里云上，并且 AccessKey 拥有 AliyunDNSFullAccess 权限。
- 检查是不是填写了错误的 Access Key 信息。
- 域名是否在 /etc/letsencrypt/domains.txt 中已存在，如果有问题可删除后重试。
80 和 443 端口冲突：
- 如果宿主机已占用 80/443 端口，可修改映射端口，如 -p 8080:80 -p 8443:443，但需要相应修改 nginx.conf。
自定义 Nginx 配置：
- 直接修改宿主机 /data/nginx-certbot/conf/nginx.conf 或 vhost/文件，完成后执行 docker exec nginx-certbot nginx -s reload。
脚本执行权限：
- 如果提示权限不足，可在宿主机手动 chmod +x /data/nginx-certbot/conf/*.sh 等路径，或在 Dockerfile 中确保脚本均可执行。