certbot/dns-sakuracloud

Certbot DNS Sakura Cloud 官方Docker镜像文档

镜像概述

基本信息

• 镜像名称：certbot/dns-sakuracloud（推测，基于Certbot DNS插件镜像命名规范）
• 官方版本：v1.7.0
• 项目归属：电子前哨基金会（EFF）Certbot官方项目
• 上游仓库：https://github.com/certbot/certbot

主要用途

该镜像为Certbot的官方Docker构建，集成了Sakura Cloud DNS插件，用于通过DNS-01挑战自动化获取、续期Let's Encrypt SSL/TLS证书。核心功能是利用Sakura Cloud DNS服务完成域名所有权验证，支持自动化证书生命周期管理。

核心功能与特性

• Sakura Cloud DNS集成：内置专用插件，可直接与Sakura Cloud DNS API交互，自动添加/删除DNS-01验证记录。
• DNS-01挑战支持：适用于获取通配符域名（如*.example.com）或多域名证书，无需暴露Web服务器端口。
• 自动化证书管理：支持证书申请、续期、吊销全流程自动化，符合ACME协议标准。
• 官方维护：由Certbot团队官方构建与更新，确保与Sakura Cloud API及ACME协议的兼容性。
• 轻量容器化：基于Docker镜像，易于集成到容器化部署环境（如Docker Compose、Kubernetes）。

使用场景与适用范围

适用场景

• 域名DNS托管于Sakura Cloud的用户，需为单域名、多域名或通配符域名申请SSL/TLS证书。
• 需避免手动添加DNS验证记录的自动化场景（如CI/CD流程、动态域名管理）。
• 无法通过HTTP-01挑战验证的环境（如内网服务、无公网Web服务器的域名）。

适用范围

• 用户类型：个人开发者、企业IT团队、运维人员。
• 应用场景：Web服务器（Nginx/Apache）、邮件服务器、API服务等需SSL/TLS加密的服务。
• 部署环境：物理机、虚拟机、Docker容器集群或云服务器。

使用方法与配置说明

前置条件

1. 拥有Sakura Cloud账户，并创建API凭证（获取SAKURACLOUD_ACCESS_TOKEN和SAKURACLOUD_ACCESS_TOKEN_SECRET）。
2. 目标域名的DNS服务托管于Sakura Cloud。
3. 已安装Docker引擎（推荐20.10+版本）。

基础使用示例（Docker Run）

1. 申请证书（含通配符域名）

bash
docker run -it --rm \
  -v "/etc/letsencrypt:/etc/letsencrypt" \  # 持久化存储证书
  -v "/var/lib/letsencrypt:/var/lib/letsencrypt" \  # 存储Certbot工作文件
  -e "SAKURACLOUD_ACCESS_TOKEN=your_sakuracloud_token" \  # Sakura Cloud API令牌
  -e "SAKURACLOUD_ACCESS_TOKEN_SECRET=your_sakuracloud_secret" \  # Sakura Cloud API密钥
  certbot/dns-sakuracloud:v1.7.0 \
  certonly \  # 仅申请证书（不自动部署）
  --dns-sakuracloud \  # 启用Sakura Cloud DNS插件
  --email admin@example.com \  # 管理员邮箱（用于证书通知）
  --agree-tos \  # 同意Let's Encrypt服务条款
  --no-eff-email \  # 不向EFF发送邮件
  -d example.com \  # 主域名
  -d "*.example.com"  # 通配符域名

2. 证书续期（非交互式）

bash
docker run -it --rm \
  -v "/etc/letsencrypt:/etc/letsencrypt" \
  -v "/var/lib/letsencrypt:/var/lib/letsencrypt" \
  -e "SAKURACLOUD_ACCESS_TOKEN=your_sakuracloud_token" \
  -e "SAKURACLOUD_ACCESS_TOKEN_SECRET=your_sakuracloud_secret" \
  certbot/dns-sakuracloud:v1.7.0 \
  renew \  # 续期所有即将过期的证书
  --dns-sakuracloud \
  --quiet  # 静默模式（仅输出错误信息）

Docker Compose配置示例

创建docker-compose.yml：

yaml
version: '3'
services:
  certbot:
    image: certbot/dns-sakuracloud:v1.7.0
    volumes:
      - ./letsencrypt/etc:/etc/letsencrypt  # 本地目录挂载（持久化证书）
      - ./letsencrypt/lib:/var/lib/letsencrypt
    environment:
      - SAKURACLOUD_ACCESS_TOKEN=your_sakuracloud_token
      - SAKURACLOUD_ACCESS_TOKEN_SECRET=your_sakuracloud_secret
    command: >
      certonly 
      --dns-sakuracloud 
      --email admin@example.com 
      --agree-tos 
      --no-eff-email 
      -d example.com 
      -d "*.example.com"

运行：docker-compose up

配置参数说明

环境变量

插件专用命令行参数

凭证配置文件格式（可选）

若不使用环境变量，可创建INI格式凭证文件（如./sakuracloud.ini）：

ini
dns_sakuracloud_access_token = your_sakuracloud_token
dns_sakuracloud_access_token_secret = your_sakuracloud_secret

使用时需通过--dns-sakuracloud-credentials /path/to/sakuracloud.ini指定路径，并确保文件权限限制为600（仅所有者可读）。

注意事项

1. 凭证安全：生产环境中禁止在命令行或Compose文件中明文暴露API凭证，优先使用环境变量或权限受限的凭证文件。
2. 持久化存储：证书目录（/etc/letsencrypt）必须持久化挂载，避免容器重启后证书丢失。
3. 自动续期：建议通过Cron或系统定时任务定期执行renew命令（如每日运行），确保证书在过期前自动续期。
4. API权限：Sakura Cloud API凭证需具备DNS记录管理权限（至少包含dns:read和dns:write）。

参考链接

• Certbot官方文档 - Docker安装
• Sakura Cloud API文档
• https://github.com/certbot/certbot/tree/master/certbot-dns-sakuracloud