certbot/dns-rfc2136

Certbot DNS (RFC 2136) 官方Docker镜像文档

镜像概述与主要用途

本镜像为电子前哨基金会（EFF）Certbot工具的官方Docker构建，专注于提供DNS验证支持，通过RFC 2136动态更新协议完成域名所有权验证。Certbot是一款自动化工具，用于从Let's Encrypt等证书颁发机构（CA）获取和续期SSL/TLS证书，本镜像特别适用于需要通过DNS记录验证而非HTTP/HTTPS端口验证的场景。

核心功能与特性

核心功能

• 官方认证：由Certbot项目官方维护，确保与最新CA协议（如ACME v2）兼容
• DNS验证支持：集成certbot-dns-rfc2136插件，通过RFC 2136动态更新协议添加/删除DNS TXT记录完成域名验证
• 自动化证书管理：支持证书自动续期、配置导出（如Apache/Nginx）及过期预警
• 轻量级设计：基于Alpine或Debian Slim基础镜像，最小化容器体积与资源占用

关键特性

• 无端口依赖：无需开放80/443端口，适用于防火墙严格或端口占用的环境
• 动态DNS兼容：支持动态更新DNS服务器（如BIND），适配频繁变更IP的场景
• TSIG安全认证：通过TSIG（事务签名）密钥确保DNS更新请求的安全性
• 多平台支持：兼容Linux/Windows/macOS的Docker环境，支持amd64/arm64架构

使用场景与适用范围

典型使用场景

• 封闭网络环境：服务器无法暴露80/443端口（如内网服务、边缘计算节点）
• 动态IP服务：依赖动态DNS解析的设备（如家庭服务器、IoT设备）
• 多域名管理：需为多个子域名或泛域名（如*.example.com）批量申请证书
• 自动化部署流水线：CI/CD流程中集成证书获取步骤，实现应用与证书的联动部署

适用范围

• 企业级服务器、云服务器、边缘节点等需要SSL/TLS加密的网络服务
• 需符合PCI-DSS等合规要求的***、电商系统
• 对证书自动化管理有强需求的DevOps环境

使用方法与配置说明

前置要求

• Docker引擎（20.10+推荐）
• 支持RFC 2136动态更新的DNS服务器（如BIND、PowerDNS）
• TSIG密钥（用于DNS更新认证，需与DNS服务器预配置一致）
• 目标域名的DNS zone管理权限

基本使用流程

1. 准备TSIG密钥文件（如rfc2136-tsig.key），格式示例：

   ini
   # 密钥文件格式：key "名称" { algorithm 算法; secret "密钥值"; };
   key "certbot-update" {
     algorithm hmac-sha256;
     secret "abc123xyz456+/=";
   };
   

2. 运行容器获取证书（首次申请）：

   bash
   docker run -it --rm \
     -v /etc/letsencrypt:/etc/letsencrypt \  # 挂载证书存储目录
     -v /var/lib/letsencrypt:/var/lib/letsencrypt \  # 挂载工作目录
     -v /path/to/rfc2136-tsig.key:/etc/certbot/tsig.key:ro \  # 挂载TSIG密钥（只读）
     certbot/dns-rfc2136 certonly \
     --dns-rfc2136 \
     --dns-rfc2136-server=ns.example.com:53 \  # DNS服务器地址:端口
     --dns-rfc2136-zone=example.com \  # 域名对应的DNS zone
     --dns-rfc2136-tsig-key=/etc/certbot/tsig.key \  # TSIG密钥文件路径
     --agree-tos \
     --email admin@example.com \  # 管理员邮箱（用于证书过期通知）
     -d example.com -d *.example.com  # 目标域名（支持泛域名）
   

3. 验证证书：证书默认存储于/etc/letsencrypt/live/example.com/，包含fullchain.pem（证书链）和privkey.pem（私钥）

配置参数说明

Docker部署示例

docker run 续期证书示例

bash
docker run -it --rm \
  -v /etc/letsencrypt:/etc/letsencrypt \
  -v /var/lib/letsencrypt:/var/lib/letsencrypt \
  -v /path/to/rfc2136-tsig.key:/etc/certbot/tsig.key:ro \
  certbot/dns-rfc2136 renew \
  --dns-rfc2136 \
  --dns-rfc2136-server=ns.example.com:53 \
  --dns-rfc2136-zone=example.com \
  --dns-rfc2136-tsig-key=/etc/certbot/tsig.key \
  --dry-run  # 测试续期（正式运行时移除）

docker-compose.yml 配置示例

yaml
version: '3.8'

services:
  certbot-rfc2136:
    image: certbot/dns-rfc2136:v1.7.0
    volumes:
      - /etc/letsencrypt:/etc/letsencrypt
      - /var/lib/letsencrypt:/var/lib/letsencrypt
      - ./rfc2136-tsig.key:/etc/certbot/tsig.key:ro
    command: >
      certonly
      --dns-rfc2136
      --dns-rfc2136-server=ns.example.com:53
      --dns-rfc2136-zone=example.com
      --dns-rfc2136-tsig-key=/etc/certbot/tsig.key
      --agree-tos
      --email admin@example.com
      -d example.com -d *.example.com
    restart: "no"  # 证书申请为一次性任务，无需持续运行

注意事项

• 证书存储权限：宿主机/etc/letsencrypt目录需确保容器内UID（通常为0或1000）有读写权限，避免权限错误导致证书无法保存
• 密钥安全：TSIG密钥文件需严格限制访问权限（如chmod 600），避免泄露
• 自动化续期：建议通过crontab或Docker Compose定时任务配置自动续期（Certbot默认90天有效期，建议每60天检查一次）
• 日志查看：添加-v /var/log/letsencrypt:/var/log/letsencrypt挂载可持久化日志，便于问题排查
• 版本锁定：生产环境建议指定具体版本标签（如:v1.7.0），避免自动升级导致兼容性问题

参考链接

• Certbot官方文档 - Docker部署
• RFC 2136动态更新协议规范
• Certbot DNS-RFC2136插件文档