本站支持搜索的镜像仓库：Docker Hub、gcr.io、ghcr.io、quay.io、k8s.gcr.io、registry.gcr.io、elastic.co、mcr.microsoft.com

certbot/dns-linode

自动构建

EFF的Certbot官方构建版本，包含用于通过Linode进行DNS验证的插件。

3 收藏0 次下载activecertbot镜像

🚀轩辕镜像专业版更稳定💎一键安装 Docker 配置镜像源

中文简介版本下载

🚀轩辕镜像专业版更稳定💎一键安装 Docker 配置镜像源

Certbot Linode DNS插件 Docker镜像文档

镜像概述与主要用途

概述

本镜像为Certbot的官方Docker镜像，集成了Linode DNS插件，用于通过DNS-01挑战（DNS-01 challenge）自动化获取和续期SSL/TLS证书。Certbot是由电子前哨基金会（EFF）开发的开源证书管理工具，支持与Let's Encrypt等证书颁发机构（CA）交互，实现证书的全自动管理。Linode DNS插件通过Linode DNS API自动添加/删除DNS TXT记录，完成域名所有权验证，无需暴露服务器80/443端口。

主要用途

通过Linode DNS服务执行DNS-01挑战，验证域名所有权
自动化申请、续期单域名、多域名及通配符SSL/TLS证书（如*.example.com）
在Docker环境中集成Certbot证书管理能力，简化部署流程

核心功能与特性

功能特性	说明
DNS-01挑战支持	自动生成并管理DNS TXT记录，完成CA对域名所有权的验证
Linode DNS API集成	通过Linode API操作DNS记录，无需手动配置
证书生命周期自动化	支持证书申请、续期、吊销等全流程自动化，默认续期检查周期为30天
官方维护与兼容性	基于Certbot核心镜像（`certbot/certbot:v1.7.0`）构建，兼容其基础功能
轻量与安全	最小化镜像设计，减少攻击面，遵循Docker最佳实践

使用场景与适用范围

适用场景

通配符证书需求：需申请*.example.com等通配符证书（HTTP-01挑战不支持通配符域名）。
无公网端口暴露：服务器无法对外暴露80/443端口（如内网服务、防火墙限制），无法使用HTTP-01挑战。
多域名统一管理：需为多个子域名或跨域域名批量申请证书。

适用范围

拥有Linode账户及DNS管理权限的用户。
域名通过Linode DNS服务解析。
采用Docker容器化部署的环境（如Kubernetes、Docker Compose集群）。

使用方法与配置说明

前置条件

Linode API令牌：需在Linode账户中创建API令牌（具有domain读写权限），获取方式：
- 登录Linode控制台 → 个人资料 → API令牌 → 创建令牌 → 勾选domain权限 → 保存令牌。
域名解析：目标域名需通过Linode DNS管理（即域名的NS记录指向Linode DNS服务器）。

环境变量

变量名	必要性	说明
`LINODE_API_TOKEN`	必需	Linode API访问令牌，用于操作DNS记录（需`domain`读写权限）

配置参数

通过Certbot命令行参数配置插件行为，常用参数如下：

参数	说明	默认值
`--dns-linode`	指定使用Linode DNS插件作为认证器（authenticator）	-
`--dns-linode-propagation-seconds`	DNS记录传播等待时间（因Linode DNS生效延迟，建议设置≥30秒）	10秒
`--dns-linode-credentials`	替代环境变量的凭据文件路径（文件格式：`dns_linode_api_token = <令牌>`）	-

Docker部署示例

1. docker run命令（首次获取证书）

通过docker run直接运行容器，获取证书并持久化存储至本地目录：

docker run -it --rm \
  -v /etc/letsencrypt:/etc/letsencrypt \  # 挂载证书存储目录（本地持久化）
  -v /var/lib/letsencrypt:/var/lib/letsencrypt \  # 挂载Certbot工作目录
  -e LINODE_API_TOKEN="your_linode_api_token" \  # 替换为实际Linode API令牌
  certbot/dns-linode:v1.7.0 \  # 镜像版本（当前v1.7.0）
  certonly \  # 仅获取证书（不自动配置服务器）
  --dns-linode \  # 使用Linode DNS插件
  --dns-linode-propagation-seconds 60 \  # 设置DNS传播等待时间（根据网络延迟调整）
  -d "example.com" \  # 目标域名（支持多个-d参数，如-d "*.example.com"）
  -d "*.example.com" \
  --email "***" \  # 管理员邮箱（用于证书到期通知）
  --agree-tos \  # 同意CA服务条款
  --non-interactive  # 非交互式运行（适合自动化脚本）

2. docker run命令（证书续期）

Certbot默认会自动续期剩余有效期＜30天的证书，通过renew命令触发续期：

docker run -it --rm \
  -v /etc/letsencrypt:/etc/letsencrypt \
  -v /var/lib/letsencrypt:/var/lib/letsencrypt \
  -e LINODE_API_TOKEN="your_linode_api_token" \
  certbot/dns-linode:v1.7.0 \
  renew \  # 续期命令
  --dns-linode \
  --dns-linode-propagation-seconds 60 \
  --non-interactive

3. docker-compose配置示例

通过docker-compose.yml定义服务，便于集成到现有Docker环境：

version: '3.8'

services:
  certbot-linode:
    image: certbot/dns-linode:v1.7.0
    volumes:
      - /etc/letsencrypt:/etc/letsencrypt
      - /var/lib/letsencrypt:/var/lib/letsencrypt
    environment:
      - LINODE_API_TOKEN=your_linode_api_token  # 替换为实际令牌
    command: >
      certonly
      --dns-linode
      --dns-linode-propagation-seconds 60
      -d example.com
      -d *.example.com
      --email ***
      --agree-tos
      --non-interactive
    restart: "no"  # 证书获取为一次性任务，无需持续运行

续期配置：可通过cron任务定期执行续期命令，例如添加系统定时任务：

# 每天凌晨3点执行续期（输出日志至/var/log/certbot-renew.log）
0 3 * * * docker run --rm -v /etc/letsencrypt:/etc/letsencrypt -v /var/lib/letsencrypt:/var/lib/letsencrypt -e LINODE_API_TOKEN="your_linode_api_token" certbot/dns-linode:v1.7.0 renew --dns-linode --non-interactive >> /var/log/certbot-renew.log 2>&1

注意事项

API令牌安全：LINODE_API_TOKEN需严格保密，避免泄露（建议通过环境变量或加密凭据文件传递，不直接写入命令行）。
证书目录持久化：/etc/letsencrypt和/var/lib/letsencrypt目录必须通过Docker Volume挂载至宿主机，否则容器重启后证书将丢失。
DNS传播延迟：若证书申请失败，可适当增加--dns-linode-propagation-seconds（如60-120秒），确保Linode DNS记录生效。
版本锁定：建议指定镜像版本（如:v1.7.0），避免自动升级导致兼容性问题。