热门搜索:
certbot/dns-route53
自动构建
certbot
EFF Certbot的官方构建版本,包含用于通过Amazon Route 53执行DNS验证的插件,适用于获取和管理SSL证书。
32 次收藏下载次数: 0状态:自动构建维护者:certbot仓库类型:镜像最近更新:22 天前
让 AI 帮你使用轩辕镜像? · 展开查看说明
如果你使用 DeepSeek、元宝 AI、Copilot、ChatGPT 等 AI 工具,协助配置轩辕镜像、编写 docker pull 命令、修改 Docker Compose 镜像地址、配置镜像加速、排查镜像拉取失败、分析报错日志等问题,请先让 AI 阅读并遵守轩辕镜像的规则文档。
只需在 AI 对话中先发送下面这句话即可:
请先完整阅读并严格遵守以下文档中的全部规则与要求:
https://xuanyuan.cloud/agents.md
在未充分阅读并理解该文档前,不要生成任何命令、配置、修改建议、故障排查方案或技术回答。后续所有输出都必须严格以该文档中的规范为最高优先级执行。查看 agents.md 用法指南与完整示范。国内用户首推 元宝 AI、DeepSeek 的深度思考模式,不推荐豆包 AI;Cursor 等编辑器可在对话 @ 该链接,或加入 User Rules。 若 AI 无法访问外链,可 打开说明文档 复制全文粘贴。文档会随站点更新,复制内容可能过期,建议定期检查。
Certbot DNS插件(Amazon Route 53)Docker镜像文档
1. 镜像概述与主要用途
1.1 概述
本镜像为EFF(Electronic Frontier Foundation)官方构建的Certbot Docker镜像,集成了Amazon Route 53 DNS挑战插件。Certbot是一款自动化工具,用于从Let's Encrypt等证书颁发机构获取和续期TLS/SSL证书,而本镜像通过集成Route 53插件,支持通过DNS-01挑战验证域名所有权,实现证书的自动管理。
1.2 主要用途
- 通过DNS-01挑战(基于Amazon Route 53)验证域名所有权,获取Let's Encrypt免费SSL/TLS证书
- 自动续期已获取的证书,确保证书有效性
- 适用于无法通过HTTP-01挑战(需开放80端口)验证域名的场景
2. 核心功能与特性
2.1 核心功能
- DNS-01挑战支持:集成Amazon Route 53 DNS插件,自动在Route 53托管区域添加/删除TXT记录以完成DNS验证
- 证书生命周期管理:支持证书的获取、续期、吊销等全生命周期操作
- 自动化流程:无需手动干预,可配置定时任务实现证书自动续期
2.2 关键特性
- 官方维护:由EFF官方构建和维护,确保与Certbot核心及Route 53 API的兼容性
- AWS Route 53深度集成:直接调用Route 53 API管理DNS记录,无需手动操作
- 轻量级:基于Docker容器化部署,环境依赖隔离,部署简单
- 版本稳定:当前稳定版本为v1.7.0,兼容Let's Encrypt ACME v2协议
3. 使用场景与适用范围
3.1 适用场景
- 无开放Web端口的服务器:无法通过HTTP-01挑战(需80/443端口开放)验证域名所有权的环境(如内部服务器、防火墙限制等)
- 多域名/通配符证书管理:需为多个域名或通配符域名(如
*.example.com)申请证书 - AWS生态用户:使用Amazon Route 53管理DNS的用户,需通过Route 53自动完成DNS验证
- 自动化证书管理:需定期自动续期证书,避免手动操作遗漏
3.2 适用范围
- 所有使用Amazon Route 53作为DNS服务提供商的域名
- 需要通过Let's Encrypt获取免费SSL/TLS证书的个人或企业用户
- 支持Docker环境的服务器(物理机、云服务器、Kubernetes等)
4. 使用方法与配置说明
4.1 前置条件
- 已安装Docker Engine(20.10+推荐)或Docker Compose
- 拥有Amazon Route 53托管区域(需管理目标域名的DNS记录)
- 已创建AWS IAM用户,且该用户具有操作Route 53的权限(推荐权限策略:
AmazonRoute53FullAccess或自定义策略仅允许修改TXT记录) - AWS IAM用户的访问密钥(
AWS_ACCESS_KEY_ID和AWS_SECRET_ACCESS_KEY)
4.2 Docker Run 部署示例
4.2.1 通过环境变量配置AWS凭证
bashdocker run -it --rm \ -e AWS_ACCESS_KEY_ID="YOUR_AWS_ACCESS_KEY" \ -e AWS_SECRET_ACCESS_KEY="YOUR_AWS_SECRET_KEY" \ -v /etc/letsencrypt:/etc/letsencrypt \ -v /var/log/letsencrypt:/var/log/letsencrypt \ certbot/dns-route53:v1.7.0 \ certonly \ --dns-route53 \ --agree-tos \ --email admin@example.com \ --domains example.com,*.example.com \ --non-interactive
4.2.2 通过挂载AWS凭证文件配置
若本地已存在AWS凭证文件(通常位于~/.aws/credentials),可直接挂载:
bashdocker run -it --rm \ -v ~/.aws/credentials:/root/.aws/credentials:ro \ -v /etc/letsencrypt:/etc/letsencrypt \ -v /var/log/letsencrypt:/var/log/letsencrypt \ certbot/dns-route53:v1.7.0 \ certonly \ --dns-route53 \ --agree-tos \ --email admin@example.com \ --domains example.com \ --non-interactive
4.2.3 命令说明
-it --rm:交互式运行并在退出后删除容器-e:设置环境变量(AWS凭证)-v /etc/letsencrypt:/etc/letsencrypt:挂载证书存储目录(持久化证书文件)-v /var/log/letsencrypt:/var/log/letsencrypt:挂载日志目录certbot/dns-route53:v1.7.0:镜像名称及版本certonly:仅获取证书(不自动配置Web服务器)--dns-route53:启用Route 53 DNS插件--agree-tos:同意Let's Encrypt服务条款--email:管理员***(用于证书过期通知)--domains:目标域名(支持多个域名,用逗号分隔)--non-interactive:非交互式运行(适合自动化脚本)
4.3 Docker Compose 部署示例
创建docker-compose.yml文件:
yamlversion: '3' services: certbot-route53: image: certbot/dns-route53:v1.7.0 environment: - AWS_ACCESS_KEY_ID=YOUR_AWS_ACCESS_KEY - AWS_SECRET_ACCESS_KEY=YOUR_AWS_SECRET_KEY volumes: - /etc/letsencrypt:/etc/letsencrypt - /var/log/letsencrypt:/var/log/letsencrypt command: > certonly --dns-route53 --agree-tos --email admin@example.com --domains example.com,*.example.com --non-interactive
启动容器:
bashdocker-compose up
5. 配置参数说明
Certbot命令支持以下核心参数(结合--dns-route53插件使用):
| 参数 | 说明 |
|---|---|
certonly | 仅获取证书(不自动配置Web服务器) |
--dns-route53 | 启用Route 53 DNS插件,自动完成DNS-01挑战 |
--agree-tos | 自动同意Let's Encrypt服务条款 |
--email <EMAIL> | 管理员***(必填,用于证书过期通知及账户恢复) |
--domains <DOMAINS> | 目标域名(多个域名用逗号分隔,支持通配符,如*.example.com) |
--non-interactive | 非交互式运行(适合脚本自动化,无需手动确认) |
--renew-by-default | 强制续期证书(即使未过期) |
--dry-run | 测试模式(模拟获取证书,不实际生成证书,用于验证配置) |
6. 环境变量说明
6.1 AWS凭证相关
| 环境变量 | 说明 |
|---|---|
AWS_ACCESS_KEY_ID | AWS IAM用户访问密钥ID(用于验证Route 53权限) |
AWS_SECRET_ACCESS_KEY | AWS IAM用户密钥(与AWS_ACCESS_KEY_ID配对) |
AWS_DEFAULT_REGION | AWS区域(可选,默认us-east-1,Route 53为全局服务,通常无需修改) |
6.2 其他可选变量
| 环境变量 | 说明 |
|---|---|
CERTBOT_HOME | Certbot工作目录(默认/etc/letsencrypt,建议通过-v挂载持久化) |
LOG_LEVEL | 日志级别(可选:DEBUG/INFO/WARNING/ERROR,默认INFO) |
7. 注意事项
-
AWS IAM权限最小化:建议为IAM用户配置最小权限,仅允许修改Route 53的TXT记录(避免过度授权)。示例自定义策略:
json{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "route53:ListHostedZones", "route53:ChangeResourceRecordSets" ], "Resource": [ "arn:aws:route53:::hostedzone/*" ] } ] } -
证书续期:Let's Encrypt证书有效期为90天,建议通过
cron或Docker Compose定时任务自动续期,示例续期命令:bashdocker run -it --rm \ -e AWS_ACCESS_KEY_ID="YOUR_AWS_ACCESS_KEY" \ -e AWS_SECRET_ACCESS_KEY="YOUR_AWS_SECRET_KEY" \ -v /etc/letsencrypt:/etc/letsencrypt \ -v /var/log/letsencrypt:/var/log/letsencrypt \ certbot/dns-route53:v1.7.0 \ renew --dns-route53 --non-interactive -
凭证安全:避免将AWS密钥直接写入Docker命令或Compose文件,建议通过文件挂载(如
~/.aws/credentials)或Docker Secrets(生产环境推荐)管理凭证。 -
镜像版本锁定:生产环境建议锁定镜像版本(如
v1.7.0),避免自动升级导致兼容性问题。
参考链接
- Certbot官方文档
- Certbot Route 53插件文档
- Amazon Route 53 IAM权限配置
镜像拉取方式
您可以使用以下命令拉取该镜像。请将 <标签> 替换为具体的标签版本。如需查看所有可用标签版本,请访问 标签列表页面。
轩辕镜像加速拉取命令点我查看更多 dns-route53 镜像标签
docker pull docker.xuanyuan.run/certbot/dns-route53:<标签>
DockerHub 原生拉取命令
docker pull certbot/dns-route53:<标签>
更多 dns-route53 镜像推荐
crazymax/ddns-route53
crazymax
为Amazon Route 53提供基于时间调度的动态DNS服务,定期更新域名与动态IP地址的映射
6 次收藏500万+ 次下载
29 天前更新
awsservicebroker/route53-apb
awsservicebroker
暂无描述
500万+ 次下载
8 年前更新
sjmayotte/route53-dynamic-dns
sjmayotte
一款轻量级工具,可定期将当前公网IP地址更新到AWS Route53托管区域,作为Dyn、No-IP等动态DNS服务的免费替代方案。
15 次收藏100万+ 次下载
16 天前更新
marthydavid/ddns-route53
marthydavid
暂无描述
10万+ 次下载
6 年前更新
bshaw/route53-dyndns
bshaw
用于Route53的简单动态DNS服务
3 次收藏100万+ 次下载
10 天前更新
mthssdrbrg/ddns-route53
mthssdrbrg
基于Amazon Route53的简单动态DNS更新脚本,自动将域名解析记录更新为当前公网IP,支持命令行参数与环境变量配置。
10万+ 次下载
5 年前更新
镜像拉取常见问题
功能
错误码
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"