certbot/dns-google Docker Image Overview

certbot/dns-google

自动构建

certbot

EFF的Certbot官方构建版本，包含用于通过Google Cloud DNS进行DNS验证的插件。

12 次收藏下载次数: 0状态：自动构建维护者：certbot仓库类型：镜像最近更新：9 天前

轩辕镜像，加速的不只是镜像。点击查看

中文简介版本下载

轩辕镜像，加速的不只是镜像。点击查看

Certbot Google Cloud DNS插件 Docker镜像文档

镜像概述和主要用途

镜像名称：certbot/dns-google
官方版本：v1.7.0
维护方：Electronic Frontier Foundation (EFF)

本镜像为Certbot的官方Docker镜像之一，集成了Google Cloud DNS插件，用于通过Google Cloud DNS服务执行DNS-01挑战，自动化获取和续期Let's Encrypt等证书颁发机构的SSL/TLS证书。镜像基于Certbot核心构建，专注于解决无法通过HTTP-01挑战（如防火墙限制、非公开服务器场景）的证书申请需求。

核心功能和特性

DNS-01挑战支持：通过Google Cloud DNS自动添加/删除DNS TXT记录，完成域名所有权验证（DNS-01挑战）。
与Certbot无缝集成：继承Certbot核心功能，支持证书申请、续期、 revocation等全生命周期管理。
官方维护：由EFF官方构建和维护，确保与Certbot核心及Google Cloud DNS API的兼容性。
轻量级设计：基于官方Python镜像，最小化镜像体积，适合容器化部署。
自动化支持：支持非交互式运行，可通过脚本或调度工具（如Cron）实现证书自动续期。

使用场景和适用范围

适用场景

无法使用HTTP-01挑战：服务器位于防火墙后、仅对内网开放，或80/443端口被占用。
多域名/通配符证书：需申请泛域名证书（如*.example.com），仅DNS-01挑战支持。
Google Cloud DNS用户：域名DNS解析由Google Cloud DNS托管，需利用现有DNS服务完成验证。
自动化证书管理：需通过容器化方式集成到CI/CD流程或服务器部署管道，实现证书自动更新。

不适用场景

域名DNS解析非Google Cloud DNS托管（需使用对应DNS提供商的Certbot插件）。
可通过HTTP-01挑战验证域名（推荐使用Certbot核心镜像，流程更简单）。

使用方法和配置说明

前提条件

Google Cloud平台准备：
- 拥有Google Cloud账号及有效项目（Project）。
- 已启用Cloud DNS API（在GCP控制台「API和服务」中启用）。
- 创建服务账号并授予权限：
  - 角色：DNS Administrator（或自定义角色，包含dns.resourceRecordsSets.create、dns.resourceRecordsSets.delete权限）。
- 下载服务账号JSON凭证文件（路径记为/local/path/to/credentials.json）。
Docker环境：已安装Docker Engine（20.10+推荐）或Docker Compose。

获取镜像

通过Docker Hub拉取官方镜像：

bash
docker pull certbot/dns-google:v1.7.0

基本使用示例（docker run）

1. 获取证书（首次申请）

以下命令通过Google Cloud DNS插件申请域名证书，将证书存储在本地./certbot目录，并挂载GCP凭证文件：

bash
docker run -it --rm \
  -v /local/path/to/certbot:/etc/letsencrypt \  # 持久化证书存储目录
  -v /local/path/to/credentials.json:/etc/google/credentials.json:ro \  # 挂载GCP凭证（只读）
  certbot/dns-google:v1.7.0 \
  certonly \  # 仅申请证书（不安装）
  --dns-google \  # 指定使用Google Cloud DNS插件
  --dns-google-credentials /etc/google/credentials.json \  # 插件使用的凭证文件路径（容器内路径）
  --dns-google-project "your-gcp-project-id" \  # GCP项目ID（可选，凭证文件中已包含时可省略）
  --agree-tos \  # 同意Let's Encrypt服务条款
  --email "***" \  # 管理员***（用于证书到期通知）
  --domains "example.com" \  # 目标域名（支持多个，用逗号分隔）
  --non-interactive  # 非交互式运行（适合自动化）

2. 续期证书

Certbot默认会自动续期即将过期（剩余30天内）的证书，可通过以下命令手动触发续期：

bash
docker run -it --rm \
  -v /local/path/to/certbot:/etc/letsencrypt \
  -v /local/path/to/credentials.json:/etc/google/credentials.json:ro \
  certbot/dns-google:v1.7.0 \
  renew \  # 续期命令
  --dns-google \
  --dns-google-credentials /etc/google/credentials.json \
  --non-interactive

Docker Compose配置示例

创建docker-compose.yml，定义证书申请服务：

yaml
version: '3.8'

services:
  certbot-dns-google:
    image: certbot/dns-google:v1.7.0
    volumes:
      - ./certbot:/etc/letsencrypt  # 本地证书存储
      - ./gcp-credentials.json:/etc/google/credentials.json:ro  # GCP凭证文件
    command: >
      certonly
      --dns-google
      --dns-google-credentials /etc/google/credentials.json
      --dns-google-project "your-gcp-project-id"
      --agree-tos
      --email "***"
      --domains "example.com,*.example.com"
      --non-interactive
    restart: "no"  # 证书申请为一次性任务，无需持续运行

启动服务（首次申请证书）：

bash
docker-compose up

配置参数说明

1. Certbot通用参数

参数	说明
`certonly`	仅申请证书，不自动安装到Web服务器。
`renew`	续期所有符合条件的证书（默认剩余30天内）。
`--domains`	目标域名，多个域名用逗号分隔（如`example.com,*.example.com`）。
`--email`	管理员***，用于证书到期通知及紧急恢复。
`--agree-tos`	自动同意Let's Encrypt服务条款（非交互式必需）。
`--non-interactive`	非交互式模式，适合脚本或自动化场景（无手动确认步骤）。
`--test-cert`	使用Let's Encrypt测试环境（避免生产环境速率限制，测试时推荐）。

2. Google Cloud DNS插件特有参数

参数	说明
`--dns-google`	启用Google Cloud DNS插件（必需）。
`--dns-google-credentials`	GCP服务账号凭证文件路径（容器内路径，需通过`-v`挂载本地文件）。
`--dns-google-project`	GCP项目ID（可选，若凭证文件中已包含项目ID，可省略）。
`--dns-google-propagation-seconds`	DNS记录传播等待时间（秒，默认60秒，复杂DNS环境可增加）。