Certbot DNS插件（Amazon Route 53）Docker镜像文档

1. 镜像概述与主要用途

1.1 概述

本镜像为EFF（Electronic Frontier Foundation）官方构建的Certbot Docker镜像，集成了Amazon Route 53 DNS挑战插件。Certbot是一款自动化工具，用于从Let's Encrypt等证书颁发机构获取和续期TLS/SSL证书，而本镜像通过集成Route 53插件，支持通过DNS-01挑战验证域名所有权，实现证书的自动管理。

1.2 主要用途

• 通过DNS-01挑战（基于Amazon Route 53）验证域名所有权，获取Let's Encrypt免费SSL/TLS证书
• 自动续期已获取的证书，确保证书有效性
• 适用于无法通过HTTP-01挑战（需开放80端口）验证域名的场景

2. 核心功能与特性

2.1 核心功能

• DNS-01挑战支持：集成Amazon Route 53 DNS插件，自动在Route 53托管区域添加/删除TXT记录以完成DNS验证
• 证书生命周期管理：支持证书的获取、续期、吊销等全生命周期操作
• 自动化流程：无需手动干预，可配置定时任务实现证书自动续期

2.2 关键特性

• 官方维护：由EFF官方构建和维护，确保与Certbot核心及Route 53 API的兼容性
• AWS Route 53深度集成：直接调用Route 53 API管理DNS记录，无需手动操作
• 轻量级：基于Docker容器化部署，环境依赖隔离，部署简单
• 版本稳定：当前稳定版本为v1.7.0，兼容Let's Encrypt ACME v2协议

3. 使用场景与适用范围

3.1 适用场景

• 无开放Web端口的服务器：无法通过HTTP-01挑战（需80/443端口开放）验证域名所有权的环境（如内部服务器、防火墙限制等）
• 多域名/通配符证书管理：需为多个域名或通配符域名（如*.example.com）申请证书
• AWS生态用户：使用Amazon Route 53管理DNS的用户，需通过Route 53自动完成DNS验证
• 自动化证书管理：需定期自动续期证书，避免手动操作遗漏

3.2 适用范围

• 所有使用Amazon Route 53作为DNS服务提供商的域名
• 需要通过Let's Encrypt获取免费SSL/TLS证书的个人或企业用户
• 支持Docker环境的服务器（物理机、云服务器、Kubernetes等）

4. 使用方法与配置说明

4.1 前置条件

• 已安装Docker Engine（20.10+推荐）或Docker Compose
• 拥有Amazon Route 53托管区域（需管理目标域名的DNS记录）
• 已创建AWS IAM用户，且该用户具有操作Route 53的权限（推荐权限策略：AmazonRoute53FullAccess或自定义策略仅允许修改TXT记录）
• AWS IAM用户的访问密钥（AWS_ACCESS_KEY_ID和AWS_SECRET_ACCESS_KEY）

4.2 Docker Run 部署示例

4.2.1 通过环境变量配置AWS凭证

docker run -it --rm \
  -e AWS_ACCESS_KEY_ID="YOUR_AWS_ACCESS_KEY" \
  -e AWS_SECRET_ACCESS_KEY="YOUR_AWS_SECRET_KEY" \
  -v /etc/letsencrypt:/etc/letsencrypt \
  -v /var/log/letsencrypt:/var/log/letsencrypt \
  certbot/dns-route53:v1.7.0 \
  certonly \
  --dns-route53 \
  --agree-tos \
  --email *** \
  --domains example.com,*.example.com \
  --non-interactive

4.2.2 通过挂载AWS凭证文件配置

若本地已存在AWS凭证文件（通常位于~/.aws/credentials），可直接挂载：

docker run -it --rm \
  -v ~/.aws/credentials:/root/.aws/credentials:ro \
  -v /etc/letsencrypt:/etc/letsencrypt \
  -v /var/log/letsencrypt:/var/log/letsencrypt \
  certbot/dns-route53:v1.7.0 \
  certonly \
  --dns-route53 \
  --agree-tos \
  --email *** \
  --domains example.com \
  --non-interactive

4.2.3 命令说明

• -it --rm：交互式运行并在退出后删除容器
• -e：设置环境变量（AWS凭证）
• -v /etc/letsencrypt:/etc/letsencrypt：挂载证书存储目录（持久化证书文件）
• -v /var/log/letsencrypt:/var/log/letsencrypt：挂载日志目录
• certbot/dns-route53:v1.7.0：镜像名称及版本
• certonly：仅获取证书（不自动配置Web服务器）
• --dns-route53：启用Route 53 DNS插件
• --agree-tos：同意Let's Encrypt服务条款
• --email：管理员邮箱（用于证书过期通知）
• --domains：目标域名（支持多个域名，用逗号分隔）
• --non-interactive：非交互式运行（适合自动化脚本）

4.3 Docker Compose 部署示例

创建docker-compose.yml文件：

version: '3'

services:
  certbot-route53:
    image: certbot/dns-route53:v1.7.0
    environment:
      - AWS_ACCESS_KEY_ID=YOUR_AWS_ACCESS_KEY
      - AWS_SECRET_ACCESS_KEY=YOUR_AWS_SECRET_KEY
    volumes:
      - /etc/letsencrypt:/etc/letsencrypt
      - /var/log/letsencrypt:/var/log/letsencrypt
    command: >
      certonly
      --dns-route53
      --agree-tos
      --email ***
      --domains example.com,*.example.com
      --non-interactive

启动容器：

docker-compose up

5. 配置参数说明

Certbot命令支持以下核心参数（结合--dns-route53插件使用）：

6. 环境变量说明

6.1 AWS凭证相关

6.2 其他可选变量

7. 注意事项

1. AWS IAM权限最小化：建议为IAM用户配置最小权限，仅允许修改Route 53的TXT记录（避免过度授权）。示例自定义策略：

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Action": [
           "route53:ListHostedZones",
           "route53:ChangeResourceRecordSets"
         ],
         "Resource": [
           "arn:aws:route53:::hostedzone/*"
         ]
       }
     ]
   }
   

2. 证书续期：Let's Encrypt证书有效期为90天，建议通过cron或Docker Compose定时任务自动续期，示例续期命令：

   docker run -it --rm \
     -e AWS_ACCESS_KEY_ID="YOUR_AWS_ACCESS_KEY" \
     -e AWS_SECRET_ACCESS_KEY="YOUR_AWS_SECRET_KEY" \
     -v /etc/letsencrypt:/etc/letsencrypt \
     -v /var/log/letsencrypt:/var/log/letsencrypt \
     certbot/dns-route53:v1.7.0 \
     renew --dns-route53 --non-interactive
   

3. 凭证安全：避免将AWS密钥直接写入Docker命令或Compose文件，建议通过文件挂载（如~/.aws/credentials）或Docker Secrets（生产环境推荐）管理凭证。

4. 镜像版本锁定：生产环境建议锁定镜像版本（如v1.7.0），避免自动升级导致兼容性问题。

参考链接

• Certbot官方文档
• Certbot Route 53插件文档
• Amazon Route 53 IAM权限配置