bcgovimages/certbot Docker 镜像 - 轩辕镜像 | Docker 镜像高效稳定拉取服务
bcgovimages/certbotbcgovimages
在OpenShift路由上自动更新TLS证书的Docker镜像,基于Certbot工具,支持Let's Encrypt等ACME兼容证书颁发机构,通过CronJob定期管理标注路由并更新证书。
下载次数: 0状态:社区镜像维护者:bcgovimages仓库类型:镜像最近更新:3 年前
Certbot
注意:此仓库已弃用,不再维护。镜像现在发布于GitHub Container Registry:<[***]>
证书
- 仅应在OpenShift容器平台上执行
- 创建OpenShift
CronJob,定期运行以续订TLS证书CronJob将管理所有标注有标签certbot-managed=true的Route对象- 为所有受管主机/域颁发/续订一个证书
- 如果创建/续订证书,将新证书修补到受管的OpenShift路由
环境变量
Certbot容器镜像支持一系列环境变量来配置其行为。可通过修改定义的变量来调整Certbot行为。以下变量会改变内部Certbot应用的运行方式。
| 环境变量 | 默认值 | 说明 |
|---|---|---|
CERTBOT_CONFIG_DIR | /etc/letsencrypt | Certbot配置目录(应使用持久卷备份) |
CERTBOT_DEPLOY_DIR | /etc/letsencrypt/renewal-hooks/deploy | Certbot部署目录 |
CERTBOT_LOGS_DIR | /var/log/letsencrypt | Certbot日志目录 |
CERTBOT_WORK_DIR | /var/lib/letsencrypt | Certbot工作目录 |
CERTBOT_DEBUG | false | 启用Certbot调试日志 |
CERTBOT_DELETE_ACME_ROUTES | true | 完成后自动清理临时ACME挑战路由 |
CERTBOT_DRY_RUN | false | 执行模拟Certbot运行以检查CSR可签名性 |
CERTBOT_EMAIL | 注册到证书颁发机构的联系*** | |
CERTBOT_RSA_KEY_SIZE | 2048 | RSA密钥对生成的密钥长度 |
CERTBOT_STAGING | false | 使用自签名证书续订。使用Entrust时必须设为false |
CERTBOT_SUBSET | true | 如果至少一个域成功,允许Certbot通过ACME挑战 |
快速开始
以下提供在OpenShift中快速设置并运行Certbot作为cronjob的方法。
-
指向OpenShift上的相应项目/命名空间
shexport NAMESPACE=<YOURNAMESPACE> oc project $NAMESPACE -
确保要让Certbot管理的路由已标注标签
certbot-managed=true。可使用以下命令列出符合条件的路由:shoc get route -n $NAMESPACE -l certbot-managed=true -o=jsonpath='{range .items[*]}{.metadata.name}{"\n"}{end}' -
通过处理
certbot.dc.yaml在项目/命名空间中安装Certbot,以创建CronJob及支持对象(ServiceAccount、RoleBinding、PVC等)。此模板接受以下参数,大致对应上述环境变量(通过
oc process命令的-p参数添加):参数 默认值 描述 CERTBOT_DEBUGfalse以调试模式运行Certbot CERTBOT_DELETE_ACME_ROUTEStrue完成后自动清理临时ACME路由 CERTBOT_DRYRUNfalse无执行运行 CERTBOT_EMAILCSR请求发送到的***。对于Entrust,建议使用产品负责人的 *@gov.bc.ca***CERTBOT_SERVER[***]ACME Certbot端点。对于BC Gov SSL,参见Entrust CERTBOT_STAGINGfalse使用自签名证书续订。使用Entrust时必须设为 falseCERTBOT_SUBSETtrue如果部分域有效,允许域验证通过 CRON_SCHEDULE0 0 * * 1,4Cronjob调度时间 CRON_SUSPENDfalse暂停cronjob IMAGE_REGISTRYdocker.io镜像仓库 IMAGE_NAMESPACEbcgovimages镜像命名空间 IMAGE_NAMEcertbot镜像名称 IMAGE_TAGlatest镜像标签。建议固定到特定版本以确保稳定性 - 对于非生产环境,可设置
CERTBOT_STAGING=true,避免达到LetsEncrypt的服务限制。 - 默认情况下,此模板使用LetsEncrypt生成证书。如果只是测试,可使用Let's Encrypt测试端点
[***]以避免速率限制。 - 对于生产应用,强烈建议不要使用LetsEncrypt证书。联系您的部门/机构以确定生产SSL/TLS证书管理的最佳实践。
- 如果使用的证书提供商会在请求之外额外提供域名(如Entrust),应确保
CERTBOT_SUBSET选项设为true。否则,由于额外域名未被管理,证书续订将始终失败。如果需要严格的域验证,显式将CERTBOT_SUBSET设为false。
shexport CERTBOT_EMAIL=<***> export CERTBOT_SERVER=<YOURCERTBOTSERVER> oc process -n $NAMESPACE -f "[***]" -p CERTBOT_EMAIL=$CERTBOT_EMAIL -p CERTBOT_SERVER=$CERTBOT_SERVER | oc apply -n $NAMESPACE -f -注意:必须提供有效的***地址!
- 对于非生产环境,可设置
手动运行
如需手动运行CronJob,可执行以下命令:
sh# 创建Job oc create job -n $NAMESPACE "certbot-manual-$(date +%s)" --from=cronjob/certbot # 删除之前创建的手动Job # 注意:当没有要删除的Job时,oc delete会报错 oc get job -n $NAMESPACE -o name | grep -F -e '-manual-' | xargs oc delete -n $NAMESPACE
清理
要从命名空间中移除certbot,运行以下命令。所有构建相关的清单都有build=certbot标签,所有cronjob应用相关的清单都有app=certbot标签。
shexport NAMESPACE=<YOURNAMESPACE> # 删除certbot.bc.yaml生成的所有清单 oc delete all -n $NAMESPACE -l build=certbot # 删除certbot.dc.yaml生成的所有清单 oc delete cronjob,pvc,rolebinding,sa -n $NAMESPACE -l app=certbot
Entrust使用方法
Entrust是当前BC Gov生产环境唯一批准的证书提供方。从Entrust而非LetsEncrypt请求证书需要额外步骤。
-
首先按照快速开始部分创建部署配置
-
修改部署配置中的
CERTBOT_SERVER参数以使用Entrust参数 默认值 描述 CERTBOT_SERVER[***]其中 xx-xxxx-xxxx是目录ID。此值可能因不同部门组织而异。请联系您的组织确定此值。 -
确保
CERTBOT_STAGING设为false。Entrust服务器没有暂存模式 -
如果之前在同一路由上使用LetsEncrypt服务器运行过Certbot作业,需要删除现有PVC。这将移除旧的Let's Encrypt文件,下一步将创建新的PVC
-
应用部署配置并手动运行作业或通过cron触发器运行。作业日志将显示获取证书失败,路由保持未修改状态。这是正常现象,因为证书请求仍需部门批准
-
在
CERTBOT_EMAIL***中,您会收到来自***的邮件,包含Tracking ID -
此时需要联系部门中的相应小组创建iStore订单以批准证书请求。对于NRM团队,请让产品负责人创建服务台请求,包含以下信息:
- 证书的域名
- Entrust跟踪ID
- iStore编码
- 费用授权
-
iStore订单创建并批准后,您会收到来自
***的另一封邮件,通知请求已批准 -
重新运行作业,Certbot应获取证书并自动安装
提示
-
如果首次设置自动证书续订,备份路由中的"证书"、"私钥"和"CA证书"内容
-
列出cron作业
shexport NAMESPACE=<YOURNAMESPACE> oc get -n $NAMESPACE cronjob -
描述cron作业
shexport NAMESPACE=<YOURNAMESPACE> oc describe -n $NAMESPACE cronjob/certbot -
在OpenShift控制台查看cron作业:管理员视图 -> 工作负载 > 作业
-
在OpenShift控制台访问cron作业日志,在pod列表中检查最新的已完成/失败cronjob pod(管理员视图 -> 工作负载 > Pods)
-
如果日志中出现错误需要排查,可使用可选参数
CERTBOT_DEBUG和CERTBOT_DELETE_ACME_ROUTESshexport NAMESPACE=<YOURNAMESPACE> export CERTBOT_SERVER=<YOURCERTBOTSERVER> export CERTBOT_EMAIL=<***> oc process -n $NAMESPACE -f "[***]" -p CERTBOT_EMAIL=$EMAIL -p CERTBOT_SERVER=$CERTBOT_SERVER -p CERTBOT_STAGING=false -p CERTBOT_DEBUG=true -p CERTBOT_DELETE_ACME_ROUTES=false | oc apply -n $NAMESPACE -f -注意:排查完成后,确保手动删除ACME路由和服务,并重新部署时不使用DEBUG和DELETE_ACME_ROUTES选项!
-
如果多次运行设置过程,确保删除所有重复的cron作业,只保留最新的。或使用以下命令删除所有certbot作业并重新开始:
shexport NAMESPACE=<YOURNAMESPACE> oc get job -n $NAMESPACE -o name | grep -F -e 'certbot' | xargs oc delete oc get cronjob -n $NAMESPACE -o name | grep -F -e 'certbot' | xargs oc delete -
要暂停命名空间中的cronjob,可使用以下补丁命令:
shexport NAMESPACE=<YOURNAMESPACE> oc patch cronjob -n $NAMESPACE certbot -p '{"spec" : {"suspend" : true }}' -
要恢复命名空间中的cronjob,可使用以下补丁命令:
shexport NAMESPACE=<YOURNAMESPACE> oc patch cronjob -n $NAMESPACE certbot -p '{"spec" : {"suspend" : false }}'
附录
参考资料
- <[***]>
- <[***]>
- <[***]>
- <[***]>
- <[***]>
- <[***]>
- <[***]>
勘误
如果需要直接在集群上构建Certbot,可通过处理certbot.bc.yaml创建所需的构建对象。大多数情况下不再需要此操作。
此模板接受以下参数(通过oc process命令的-p参数添加):
| 参数 | 默认值 | 描述 |
|---|---|---|
GIT_REF | master | Git拉取请求或分支引用(如'pull/CHANGE_ID/head') |
GIT_URL | [***] | Git仓库URL |
shoc process -n $NAMESPACE -f "[***]" | oc apply -n $NAMESPACE -f -
许可证
textCopyright 2018 Province of British Columbia Licensed under the Apache License, Version 2.0 (the "License"); you may not use this file except in compliance with the License. You may obtain a copy of the License at [***] Unless required by applicable law or agreed to in writing, software distributed under the License is distributed on an "AS IS" BASIS, WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied. See the License for the specific language governing permissions and limitations under the License.
certbot/certbot
certbot
这是电子前哨基金会(EFF)Certbot工具的官方版本,用于从非营利性证书颁发机构Let's Encrypt获取TLS/SSL证书,该工具旨在自动化证书的获取、安装及更新流程,帮助网站管理员轻松实现HTTPS加密,保障网络通信安全,是目前广泛使用的免费SSL证书管理工具之一。
667 次收藏1亿+ 次下载
22 天前更新
certbot/dns-cloudflare
certbot
官方构建的EFF Certbot,包含用于通过Cloudflare进行DNS验证的插件,可处理DNS挑战以获取SSL/TLS证书。
90 次收藏500万+ 次下载
22 天前更新
certbot/dns-route53
certbot
EFF Certbot的官方构建版本,包含用于通过Amazon Route 53执行DNS验证的插件,适用于获取和管理SSL证书。
32 次收藏500万+ 次下载
22 天前更新
certbot/dns-ovh
certbot
EFF的Certbot官方构建版本,包含用于通过OVH进行DNS验证挑战的插件。
3 次收藏100万+ 次下载
22 天前更新
certbot/dns-digitalocean
certbot
EFF的Certbot官方构建版,包含用于通过DigitalOcean进行DNS验证挑战的插件。
21 次收藏100万+ 次下载
22 天前更新
certbot/dns-google
certbot
EFF的Certbot官方构建版本,包含用于通过Google Cloud DNS进行DNS验证的插件。
12 次收藏10万+ 次下载
22 天前更新
轩辕镜像配置手册
探索更多轩辕镜像的使用方法,找到最适合您系统的配置方式
Docker 配置
登录仓库拉取
通过 Docker 登录认证访问私有仓库
专属域名拉取
无需登录使用专属域名
K8s Containerd
Kubernetes 集群配置 Containerd
K3s
K3s 轻量级 Kubernetes 镜像加速
Dev Containers
VS Code Dev Containers 配置
Podman
Podman 容器引擎配置
Singularity/Apptainer
HPC 科学计算容器配置
其他仓库配置
ghcr、Quay、nvcr 等镜像仓库
Harbor 镜像源配置
Harbor Proxy Repository 对接专属域名
Portainer 镜像源配置
Portainer Registries 加速拉取
Nexus 镜像源配置
Nexus3 Docker Proxy 内网缓存
系统配置
需要其他帮助?请查看我们的 常见问题Docker 镜像访问常见问题解答 或 提交工单
镜像拉取常见问题
使用与功能问题
错误码与失败问题
manifest unknown 错误:镜像不存在或标签错误
manifest unknown 错误
TLS/SSL 证书验证失败:Docker pull 时 HTTPS 证书错误
TLS 证书验证失败
DNS 解析超时:无法解析镜像仓库地址或连接超时
DNS 解析超时
410 Gone 错误:Docker 版本过低导致协议不兼容
410 错误:版本过低
402 Payment Required 错误:流量耗尽错误提示
402 错误:流量耗尽
401 UNAUTHORIZED 错误:身份认证失败或登录信息错误
身份认证失败错误
429 Too Many Requests 错误:请求频率超出专业版限制
429 限流错误
Docker login 凭证保存错误:Cannot autolaunch D-Bus(不影响登录)
凭证保存错误
账号 / 计费 / 权限
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"