devopsansiblede/acme_certs_extract Docker 镜像 - 轩辕镜像 | Docker 镜像高效稳定拉取服务
devopsansiblede/acme_certs_extractdevopsansiblede
从Træfik生成的ACME文件中提取证书文件的Docker镜像
1 次收藏下载次数: 0状态:社区镜像维护者:devopsansiblede仓库类型:镜像最近更新:15 天前
ACME Certificate Extract 镜像文档
镜像概述
ACME Certificate Extract 是一款用于从 ACME 协议获取的证书文件(如 Træfik 生成的 acme.json)中提取证书的工具,以便证书复用。该工具兼容 Træfik v1、v2 版本,同时支持 ACME v1、v2 协议。
核心功能与特性
- 多版本兼容:支持 Træfik v1/v2 及 ACME v1/v2 协议生成的证书文件。
- 证书提取:从 ACME 文件中解析并提取私钥、证书、证书链及完整证书链。
- 灵活存储:支持按域名分目录存储、扁平化存储(所有证书在同一目录)及历史版本归档。
- 域名限制:可指定仅处理特定完全限定域名(FQDN)列表。
- 自定义脚本:证书更新后可自动执行自定义脚本(如重启服务)。
- 调试支持:提供调试模式,输出详细日志信息。
- 文件名安全:自动替换域名中的星号(
*)为指定字符串,避免文件名非法字符。
使用场景与适用范围
- Træfik 证书复用:Træfik 用户需将 ACME 证书用于其他服务(如 Nginx、邮件服务器等)。
- 证书备份与归档:需定期备份证书或保留历史版本以便回滚。
- 自动化运维:证书更新后自动触发后续操作(如重启容器、同步证书至其他节点)。
- 多域名管理:需按域名组织证书文件或仅处理特定域名证书。
使用方法
基本部署(Docker Run)
通过 docker run 命令直接运行,需挂载存放 ACME 文件的目录和证书输出目录:
bashdocker run devopsansiblede/acme-cert-extract \ -v $(pwd)/acme:/acme \ # 挂载ACME文件所在目录(默认查找acme.json) -v $(pwd)/certs:/certs # 挂载证书输出目录
Docker Compose 部署
项目提供 docker-compose.yml 文件,可用于本地开发或测试最新变更:
yaml# 示例 docker-compose.yml(具体以项目实际文件为准) version: '3' services: acme-cert-extract: image: devopsansiblede/acme-cert-extract volumes: - ./acme:/acme # 本地ACME目录挂载至容器内/acme - ./certs:/certs # 本地证书输出目录挂载至容器内/certs environment: - DEBUG=True # 可选:开启调试模式 - LIMIT_FQDN=example.com # 可选:限制仅处理example.com
启动命令:
bashdocker-compose up -d
注意:项目中的
acme_example.json为测试用例,包含无意义数据,不可用于实际证书提取场景。
配置说明
环境变量
通过环境变量调整工具行为,所有布尔值需使用 Python 风格(True/False)。
| 环境变量 | 默认值 | 描述 |
|---|---|---|
ACMEFILE | acme.json | 待解析的 ACME 文件名,可根据实际需求调整。 |
ACMEDIR | /acme | ACME 文件所在目录,需挂载宿主机目录至该路径。 |
CERTSDIR | /certs | 证书输出目录,需挂载宿主机目录至该路径。 |
CERTSPLIT | -----BEGIN CERTIFICATE----- | 证书分割标识,请勿修改。 |
COLOR_ERROR | 1;31 | 错误消息 ANSI 颜色码(格式:样式;前景色,如 1;31 为红色加粗)。 |
COLOR_INFO | 0 | 信息消息 ANSI 颜色码(0 为默认样式)。 |
COLOR_SUCCESS | 0;32 | 成功消息 ANSI 颜色码(0;32 为绿色)。 |
COLOR_WARN | 0;33 | 警告消息 ANSI 颜色码(0;33 为黄色)。 |
CRT_ARCHIVE | True | 是否启用证书归档(保留历史版本)。 |
DEBUG | False | 是否开启调试模式(输出详细日志)。 |
REPLACE_ASTERISK | STAR | 替换域名中星号(*)的字符串(如 *.example.com 转为 STAR.example.com)。域名会转为小写,但此字符串不额外处理。 |
STORE_FLAT_CRTS | True | 是否启用扁平化存储(所有证书存放在 flat 目录,不按域名分目录)。 |
LIMIT_FQDN | – | 限制处理的 FQDN 列表(逗号分隔,如 foo.example.com,bar.example.com)。 |
RUN_SCRIPT | – | 证书更新后执行的脚本名(需挂载至容器内 ${WORKDIR} 目录,无需路径前缀)。用于触发后续操作(如重启容器)。 |
WORKDIR | /certs_extract | 工作目录,除非重新构建镜像,否则请勿修改。 |
ANSI 颜色设置
环境变量中的颜色码为 ANSI 转义序列的数值部分(脚本自动添加前缀 \u001b[ 和后缀 m)。格式由多个部分组成,用分号分隔:
- 样式:
0(默认)、1(加粗)、4(下划线)等。 - 前景色:以
3开头,如31(红色)、32(绿色)、33(黄色)。 - 背景色:以
4开头,如43(黄色背景)。
示例:1;31 表示“加粗红色前景色”,对应错误消息;0;32 表示“默认绿色前景色”,对应成功消息。
证书目录结构
工具在 CERTSDIR(默认 /certs)下生成以下目录结构:
certs 目录(按域名分目录存储)
按域名创建子目录,存放当前证书文件。包含主域名及所有主题备用名称(SANs)对应的目录。每个域名目录下文件:
privkey.pem:私钥cert.pem:证书chain.pem:证书链fullchain.pem:完整证书链(证书+证书链)
flat 目录(扁平化存储)
所有证书文件直接存放在此目录,文件名格式为 <域名>.<类型>:
<域名>.key:私钥(对应privkey.pem)<域名>.crt:证书(对应cert.pem)<域名>.chain.pem:证书链(对应chain.pem)<域名>_full.crt:完整证书链(对应fullchain.pem)
说明:仅当
STORE_FLAT_CRTS=True时生成此目录。
archive 目录(证书归档)
按域名和时间戳存储历史证书版本,目录结构为 archive/<域名>/<时间戳>/,包含该时间点的证书文件。时间戳格式为 %Y%m%d%H%M%S(如 20240520153045)。
说明:仅当
CRT_ARCHIVE=True时生成此目录。
许可证与贡献
- 许可证:本项目基于 CC BY-SA 4.0 许可证发布。
- 贡献指南:详见项目
CONTRIBUTING.md文件。
devopsansiblede/rsync
devopsansiblede
暂无描述
1万+ 次下载
8 天前更新
devopsansiblede/worksuite
devopsansiblede
基于devopsansiblede/baseimage:latest的OpenLDAP服务器容器,集成工具和SSH服务,支持通过卷挂载加载数据及基于SSL的LDAP(ldaps)连接。
1万+ 次下载
8 天前更新
devopsansiblede/apache
devopsansiblede
用于快速部署和运行Apache Web服务器的容器镜像,提供轻量级、可移植的Web服务解决方案。
1万+ 次下载
8 天前更新
devopsansiblede/baseimage
devopsansiblede
基于Ubuntu的基础Docker镜像,已预装Ansible,适用于作为Ansible自动化任务的基础环境。
1万+ 次下载
8 天前更新
devopsansiblede/wordpress
devopsansiblede
暂无描述
9千+ 次下载
4 天前更新
devopsansiblede/python
devopsansiblede
暂无描述
1.7千+ 次下载
8 天前更新
轩辕镜像配置手册
探索更多轩辕镜像的使用方法,找到最适合您系统的配置方式
Docker 配置
登录仓库拉取
通过 Docker 登录认证访问私有仓库
专属域名拉取
无需登录使用专属域名
K8s Containerd
Kubernetes 集群配置 Containerd
K3s
K3s 轻量级 Kubernetes 镜像加速
Dev Containers
VS Code Dev Containers 配置
Podman
Podman 容器引擎配置
Singularity/Apptainer
HPC 科学计算容器配置
其他仓库配置
ghcr、Quay、nvcr 等镜像仓库
Harbor 镜像源配置
Harbor Proxy Repository 对接专属域名
Portainer 镜像源配置
Portainer Registries 加速拉取
Nexus 镜像源配置
Nexus3 Docker Proxy 内网缓存
系统配置
需要其他帮助?请查看我们的 常见问题Docker 镜像访问常见问题解答 或 提交工单
镜像拉取常见问题
使用与功能问题
错误码与失败问题
docker pull 提示 manifest unknown 怎么办?
manifest unknown
docker pull 提示 no matching manifest 怎么办?
no matching manifest(架构)
镜像已拉取完成,却提示 invalid tar header 或 failed to register layer 怎么办?
invalid tar header(解压)
Docker pull 时 HTTPS / TLS 证书验证失败怎么办?
TLS 证书失败
Docker pull 时 DNS 解析超时或连不上仓库怎么办?
DNS 超时
Docker 拉取出现 410 Gone 怎么办?
410 Gone 排查
出现 402 或「流量用尽」提示怎么办?
402 与流量用尽
Docker 拉取提示 UNAUTHORIZED(401)怎么办?
401 认证失败
遇到 429 Too Many Requests(请求太频繁)怎么办?
429 限流
docker login 提示 Cannot autolaunch D-Bus,还算登录成功吗?
D-Bus 凭证提示
为什么会出现「单层超过 20GB」或 413,无法加速拉取?
413 与超大单层
账号 / 计费 / 权限
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"