用Docker来解决LetsEncrypt证书失效

最新推荐文章于 2025-04-19 11:15:25 发布
最新推荐文章于 2025-04-19 11:15:25 发布
阅读量1.4k 收藏 1
点赞数
文章标签: docker java zookeeper nginx
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_58559010/article/details/118603110
版权
本文介绍了如何使用Docker解决由于ACMEv1协议废弃导致的LetsEncrypt证书失效问题。通过构建Node Server镜像,结合Nginx和Certbot,以及docker-compose,实现了在Docker容器中整合Node Server、Nginx和证书更新服务,确保HTTPS的正常运行。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

前言

起因是因为 Let's Encrypt 的管理证书协议 ACMEv1 要在今年废弃掉,导致一台老服务器上的 https 失效。Let's Encrypt 官方推荐的方法是更新到支持 ACMEv2certbot 版本。服务器是Ubuntu 14.04,支持ACMEv2的客户端需要更新到Ubuntu 16.04 ,因为更新系统的不确定性,所以想到了使用 Docker 去解决这个问题。

项目结构大概是这样

3B751CEB-020F-4EF2-ABC6-27D54F7BB405.png

Nginx 做 Node Server 的反向代理,Certbot 用来获取并更新 Nginx 的 ssl 证书。

我们的目的是用容器将三个服务整合在一起。

构建 Node Server 的镜像

首先是要将 Node Server 进行Docker 化,直接在项目中加入 Dockerfile。 

FROM node:6.17.1

ENV NODE_ENV=production
WORKDIR  /server

COPY ["package.json", "package-lock.json*", "yarn.lock", "npm-shrinkwrap.json*", "./"]

RUN yarn --silent --production
COPY . .
EXPOSE 3000
RUN yarn global add gulp

CMD ["yarn&#
最低0.47元/天 解锁文章
【HTTPS】免费SSL证书配置Let‘s Encrypt自动续期
Hello, New World!
04-15 527
若需修改续期频率,需编辑 Snap 定时器的配置(需通过 Snap 命令或修改系统级定时器文件),但默认配置已足够安全(证书到期前 30 天内才会实际续期)。每 12 小时(即每天的 0 点和 12 点)执行一次 certbot renew 命令,–quiet 选项用于在执行时不输出过多信息。:服务器B修改相应的nginx ssl证书配置即可,参考服务器A。:拷贝服务器A上生成的文件到服务器B,并设置相应的权限和软连接。我在服务器B还需要拷贝证书,用于 prod 的域名。验证来申请泛域名证书
Docker上部署自动更新ssl证书nginx + .NET Core
libby0926的博客
12-28 817
突发奇想要搞一个ssl的服务器,然后我就打起了docker的主意,想着能不能搞一个基于Docker的服务器,这样维护起来也方便一点。 设想# 想法是满足这么几点: .NET Core on Docker Let’s Encypt on Docker nginx on Docker用于反向代理 Let’s Encypt证书有效期很短,需要能够自动更新 nginx与dotnet都提供了docker部署的方案,但是Let’s Encypt的certbot提供的文档强调了这个方法不是很推荐,主要原因是从其他位置不太
Docker搭建Let‘s Encrypt
StackSurfer的博客
04-15 1026
Let’s Encrypt是一个免费、开放和自动化的证书颁发机构(CA),它提供了一种简单、无需重复的机制来获取和更新SSL/TLS证书。Let’s Encrypt Docker镜像允许用户在容器化环境中轻松部署和使用Let’s Encrypt的服务。
使用Docker创建Let‘s Encrypt SSL证书
baidu_39340547的博客
03-21 3965
如果你的网站还在非https下裸奔,那你肯定out了,过去SSL证书价格昂贵,但今天我们很幸运Let‘s Encrypt为我们提供了免费的证书服务,本文主要介绍如何利用docker-compose运行certbot免污染主机环境的申请SSL证书Nginx证书的安装以及证书更新。
Docker环境下自动续签Let’s Encrypt SSL证书
最新发布
gsls200808的专栏
04-19 435
2.这里不用/etc/letsencrypt/live/作为nginx的配置目录,因为脚本删除旧配置文件的操作会导致网站访问失效,所以这里用live目录生成的复制到/etc/letsencrypt/cert作为nginx证书目录。3.--webroot-path=/usr/share/nginx/html这里对应nginx里。这里的root路径,如果有多个域名,分时段执行时不用改这个路径,同时执行最好改下这个路径。注意上面3点即可保持证书更新,上面脚本已经稳定运行两年,然后宝塔证书续签现在还有bug。
Docker下Gitlab配置Let’s Encrypt证书
Mr_XiMu的博客
05-16 2361
这里只需要执行重启配置即可。不用配置443端口,因为已经自动指向了。不支持IP形式的地址,只能是域名。否则在更新配置后会报错。第一次对新域名签发正常,重复对同一域名签发可能报错。基础上做部分修改即可,这里仅对差别部分做修改记录。创建cert文件夹用来存储HTTPS证书。参考1是参考2是官方文档的中文简略配置。证书,只需要在Gitlab的配置正确,启动较慢,所以可以排查一下是否是。的4.3 配置邮箱。
使用 Docker 生成 Let’s Encrypt 证书
生活在底层的低级码农
08-25 2195
概念 什么是 Container ? https://www.docker.com/resources/what-container https://www.docker.com/why-docker 什么是 Let’s Encrypt ? Let’s Encrypt is a free, automated, and open Certificate Authority. 安装...
教程:使用 Let’s Encrypt 为 www.XXX.com 配置 HTTPS协议(Docker容器版)
weixin_52861960的博客
01-11 1661
为域名配置https协议,最全整理(包含各种问题的处理)。
Docker使用 linuxserver/letsencrypt 生成SSL证书最全解析及实践
javarrr的博客
01-23 1392
本文使用 HTTP 和 DNS 两种校验方式对 Docker 下 linuxserver/letsencrypt 项目进行了实践。生成SpringBoot可用证书,使用 Nginx 的 htpasswd 来对网站进行密码保护,并测试使用 fail2ban 防止 htpasswd 被暴力破解。全文基于 linuxserver/letsencrypt 文档及其他官方资料,根据作者实践进行详细解析和记录...
centos7下docker部署nginx使用let's encrypt免费证书
風☆小贤‘s 烂笔头
11-30 3574
大牌提供商的SSL证书可不便宜,对于大公司也许不算什么,但是对于小公司及个人来说贵了。现在国外出现的免费SSL服务商Let’s Encrypt,绝对是小公司或者开发者的福音前提条件 拥有一个域名,例如 mydemo.com (在国内主机的用的话,还需要通过ICP备案) 在域名服务器创建一条A记录,指向云主机的公网IP地址。例如demo.mydemo.com指向xxx.xxx.xxx.xxx的IP地
Let's Encrypt Docker Compose 项目教程
gitblog_00899的博客
08-15 547
Let's Encrypt Docker Compose 项目教程 letsencrypt-docker-composeSet up Nginx and Let’s Encrypt in less than 3 minutes with a Docker Compose project that automatically obtains and renews free Let's Encryp...
nginx-docker-letsencrypt:基本模板结合起来,让我们在Docker环境中使用Nginx进行加密
03-06
nginx-docker-letsencryptdocker-compose环境中结合使用certbot和nginx进行自动续订的方式,从letscrypt为主机创建SSL证书的基本样板。 此存储库旨在与使用docker-compose和nginx的项目一起使用。 检查80端口是否打开 在主机上启动测试环境 docker-compose up -f <path>/data/test-http/test.yml up 等到您在输出中看到类似以下内容的内容: ... /docker-entrypoint.sh: Configuration complete; ready for start up 转到网络浏览器,尝试通过http连接到主机: http://your-host-name 此时,您将知道80端口是否打开。 停止docker测试环境
使用Docker容器签发和自动续期Let‘s Encrypt证书
D的博客
03-05 5853
1、docker下载镜像 docker pullcertbot/certbot 2、certbot 启动配置 docker run -it --rm --name certbot \ -v "/root/docker/certbot/ssl/:/etc/letsencrypt/" \ -v "/root/docker/nginx/www/:/var/www/html/" \ -v "/root/docker/certbot/letsencrypt/:/var..
宝塔部署网站后计划任务执行“续签Let‘s Encrypt证书”失败的解决方法
一码算一码
03-20 4279
宝塔部署网站后计划任务执行“续签Let's Encrypt证书”最近老是失败,关闭SSL重新开启也无效,解决方法见正文
Linux系统无法上网认证,修复Linux下curl等无法使用 Let's Encrypt 证书
weixin_30419031的博客
05-14 631
最近使用了acme.sh 生产了Let's Encrypt 的https 证书,但是在实际服务器上测试遇到如下问题$curl"https://www.aaa.com"如下错误curl:(60)Peer'sCertificateissuerisnotrecognized.Moredetailshere:http://curl.haxx.se/docs/sslcerts.h...
CentOS 6.5下利用Docker使用Letsencrypt
weixin_33924220的博客
10-21 143
问题来源 Letsencrypt依赖python 2.7及以上,而CentOS 6.5又只支持到2.6,每次执行letsencrypt都会卡在升级上,总是过不去,最后决定使用docker解决此问题。 步骤 安装docker docker缺省要求CentOS 7,但实际在CentOS 6.5上也是可以安装的,只不过包名不叫docker,而是...
Nginx 使用letsencryptDocker上配置Https
林一怂儿
03-28 4146
写不出的时候不硬写。——鲁迅 环境 Nginx Docker 域名 [备案] VS Code Remote - SSH 流程 使用VS Code Remote - SSH连接服务器 进入服务器 如果连接不成功,也可能是服务器22端口未开放,去购买服务器的平台进行开发22端口即可。 我这里连接的是root文件夹 执行 由于我的*.linyisonger.cn已经配置过了,这里演示使用 *.frp.linyisonger.cm。 docker run -it --rm --name ce.
记录docker镜像中证书验证失败导致更新不成功
门前大橋下丶
11-25 3994
使用apt update进行更新时报以下错误 root@yzw-home:~# sudo apt update 忽略:1 https://home-packages.chinauos.com/home plum InRelease 忽略:2 https://home-store-packages.chinauos.com/appstore eagle InRelease 忽略:3 https://home-packages.chinauos.com/printer eagle InRelease 错误:4
宝塔面板配置Let's Encrypt证书自动续签失效解决方案
热门推荐
Java技术干货
02-21 1万+
一、背景小故事笔者手里有个朋友交给我去日常运维项目是PHP+微信小程序,部署在Linux系统上。这个项目是用宝塔面板去进行日常的可视化运维管理,用起来蛮香的。如不清楚宝塔的同学,可以自行了...
sudo nginx -t nginx: [emerg] cannot load certificate "/etc/letsencrypt/live/yourdomain.com/fullchain.pem": BIO_new_file() failed (SSL: error:80000002:system library::No such file or directory:calling fopen(/etc/letsencrypt/live/yourdomain.com/fullchain.pem, r) error:10000080:BIO routines::no such file) nginx: configuration file /etc/nginx/nginx.conf test failed
03-08
<think>好的,用户遇到了Nginx配置测试失败的问题,错误信息是关于无法加载SSL证书文件。我需要先理解这个错误的具体原因。首先,错误提示说在指定的路径下找不到fullchain.pem文件。可能的情况包括证书文件确实不存在、路径配置错误、或者权限问题。 首先,我应该检查用户是否正确安装了证书。用户之前可能按照我之前提供的Certbot步骤操作过,但可能在申请证书时出现了问题,或者域名配置不正确。例如,用户可能没有正确运行certbot命令,或者在申请证书时输入的域名有误,导致证书文件没有生成在预期的路径下。 接下来,需要确认用户是否修改了Nginx的配置文件中的证书路径。用户可能在配置中将SSL证书的路径指向了错误的目录,比如拼写错误或者域名不正确。例如,用户可能将域名配置为yourdomain.com,但实际申请证书时使用的是另一个域名,或者路径中的目录名与实际生成的目录不符。 另外,权限问题也可能导致Nginx无法读取证书文件。即使文件存在,如果Nginx的工作进程没有足够的权限访问这些文件,也会出现类似的错误。需要检查证书文件的权限设置,确保Nginx用户(通常是www-data或nginx)有读取权限。 还可能存在符号链接的问题。Certbot在更新证书后通常会创建符号链接,但有时候这些链接可能没有正确更新,或者被意外删除,导致指向的证书文件不存在。需要检查/etc/letsencrypt/live/yourdomain.com/目录下的文件是否为有效的符号链接,并指向正确的archive目录中的文件。 此外,用户可能在测试配置时没有使用正确的域名,或者证书已经过期被自动续期但配置未更新。需要确认证书是否有效,是否在有效期内,以及续期过程是否成功。 针对这些可能的原因,我应该分步骤给出解决方案,首先检查证书是否存在,然后检查Nginx配置中的路径是否正确,接着确认权限设置,最后处理可能存在的符号链接问题。如果证书不存在,需要重新申请;如果路径错误,需要修正配置;如果权限不足,调整权限;如果符号链接失效,重新生成链接。同时,提醒用户在操作前备份配置文件,避免意外错误。</think>以下是针对 `nginx: [emerg] cannot load certificate` 错误的详细解决方案: --- ### 一、错误原因分析 1. **证书文件不存在**:路径 `/etc/letsencrypt/live/yourdomain.com/fullchain.pem` 未找到 2. **路径配置错误**:Nginx配置文件中指定的证书路径不正确 3. **权限问题**:Nginx无权访问证书文件 4. **符号链接失效**:Let's Encrypt自动续期后符号链接未更新 --- ### 二、逐步排查与修复 #### 1. 确认证书文件存在 ```bash sudo ls -l /etc/letsencrypt/live/yourdomain.com/ ``` 正常应显示: ``` lrwxrwxrwx 1 root root 42 May 15 12:00 cert.pem -> ../../archive/yourdomain.com/cert1.pem lrwxrwxrwx 1 root root 43 May 15 12:00 chain.pem -> ../../archive/yourdomain.com/chain1.pem lrwxrwxrwx 1 root root 47 May 15 12:00 fullchain.pem -> ../../archive/yourdomain.com/fullchain1.pem lrwxrwxrwx 1 root root 45 May 15 12:00 privkey.pem -> ../../archive/yourdomain.com/privkey1.pem ``` #### 2. 修复证书缺失问题(如文件不存在) ```bash # 重新申请证书(以Nginx为例) sudo certbot certonly --nginx -d yourdomain.com -d www.yourdomain.com # 强制更新证书(适用于已有证书) sudo certbot renew --force-renewal ``` #### 3. 检查Nginx配置文件 查看配置文件中 `ssl_certificate` 路径: ```nginx server { listen 443 ssl; server_name yourdomain.com; ssl_certificate /etc/letsencrypt/live/yourdomain.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/yourdomain.com/privkey.pem; ... } ``` #### 4. 修复文件权限 ```bash sudo chmod 755 /etc/letsencrypt/{live,archive} sudo chmod 644 /etc/letsencrypt/live/yourdomain.com/*.pem sudo chown -R root:root /etc/letsencrypt/live/ ``` #### 5. 重建符号链接(如果链接失效) ```bash sudo rm -rf /etc/letsencrypt/live/yourdomain.com sudo certbot renew --dry-run ``` --- ### 三、操作验证 ```bash # 检查证书路径 sudo openssl x509 -noout -in /etc/letsencrypt/live/yourdomain.com/fullchain.pem -dates # 测试Nginx配置 sudo nginx -t ``` --- ### 四、特殊情况处理 #### 1. 证书已过期 ```bash # 查看证书过期时间 sudo certbot certificates # 手动续期 sudo certbot renew --force-renewal ``` #### 2. 使用Docker时的路径映射 ```bash docker run -d \ -v /etc/letsencrypt:/etc/letsencrypt \ nginx:alpine ``` --- ### 五、预防措施 1. 设置自动续期定时任务: ```bash # 编辑crontab sudo crontab -e # 添加以下内容(每天2:30检查续期) 30 2 * * * /usr/bin/certbot renew --quiet ``` 2. 配置日志监控: ```bash tail -f /var/log/nginx/error.log ``` --- ### 六、补充说明 - 证书文件结构: Let's Encrypt目录包含: ``` /etc/letsencrypt/ ├── archive/ # 历史证书版本 │ └── yourdomain.com │ ├── cert1.pem │ └── privkey1.pem └── live/ # 当前使用的证书(符号链接) └── yourdomain.com ├── cert.pem -> ../../archive/yourdomain.com/cert1.pem └── privkey.pem -> ../../archive/yourdomain.com/privkey1.pem ``` 如仍存在问题,建议检查: 1. 域名DNS解析是否正确 2. 服务器时间是否同步(`timedatectl`) 3. 防火墙是否开放80/443端口
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值