nginxproxy/acme-companion Docker 镜像 - 轩辕镜像 | Docker 镜像高效稳定拉取服务
nginxproxy/acme-companionnginxproxy
为nginx-proxy提供自动化ACME SSL证书生成
156 次收藏下载次数: 0状态:社区镜像维护者:nginxproxy仓库类型:镜像最近更新:18 天前
证书。
- Let's Encrypt / ACME域名验证支持
HTTP-01(默认)或DNS-01验证方式。 - 证书创建/续期时自动更新和重新加载nginx配置。
- 支持创建多域名(SAN)证书。
- 支持创建通配符证书(仅支持
DNS-01验证)。 - 启动时创建强加密的RFC7919 Diffie-Hellman组。
- 兼容所有Docker版本。
HTTP-01验证要求
- 您的主机必须能通过端口80和443公开访问。
- 检查您的防火墙规则,不要尝试阻止端口80,否则会导致
HTTP-01验证失败。 - 出于同样原因,不能使用nginx-proxy的
HTTPS_METHOD=nohttp配置。 - 您要申请证书的(子)域名必须正确解析到主机。
- 如果您的(子)域名设置了AAAA记录,主机必须通过IPv6在端口80和443上公开可达。
如果无法满足这些要求,可使用DNS-01验证方式。详情请参考文档。
此外,请确保您的DNS提供商正确响应CAA记录请求。若DNS提供商响应错误,Let's Encrypt将不会为您的域名颁发证书。Let's Encrypt不要求域名设置CAA记录,只需DNS提供商正确响应即可。
!schema
基本使用(配合nginx-proxy容器)
nginx-proxy容器必须声明两个可写卷,以便与acme-companion容器共享:
/etc/nginx/certs:存储证书和私钥(nginx-proxy容器为只读)。/usr/share/nginx/html:写入http-01验证文件。
此外,acme-companion容器需声明第三个卷以存储acme.sh配置和状态:/etc/acme.sh。
另请阅读数据持久化文档。
使用示例:
步骤1 - nginx-proxy
启动nginx-proxy并声明两个额外卷:
shell$ docker run --detach \ --name nginx-proxy \ --publish 80:80 \ --publish 443:443 \ --volume certs:/etc/nginx/certs \ --volume html:/usr/share/nginx/html \ --volume /var/run/docker.sock:/tmp/docker.sock:ro \ nginxproxy/nginx-proxy
将主机的docker socket(/var/run/docker.sock)挂载到容器内的/tmp/docker.sock是nginx-proxy的要求。
步骤2 - acme-companion
启动acme-companion容器,通过--volumes-from获取nginx-proxy的卷:
shell$ docker run --detach \ --name nginx-proxy-acme \ --volumes-from nginx-proxy \ --volume /var/run/docker.sock:/var/run/docker.sock:ro \ --volume acme:/etc/acme.sh \ --env "DEFAULT_EMAIL=***" \ nginxproxy/acme-companion
该容器也需挂载主机docker socket,路径为/var/run/docker.sock。
虽然可选,但建议通过DEFAULT_EMAIL环境变量提供有效的默认***,以便Let's Encrypt在证书过期时提醒您并允许账户恢复。
步骤3 - 被代理容器
当nginx-proxy和acme-companion容器均启动后,启动需代理的容器时,需设置VIRTUAL_HOST和LETSENCRYPT_HOST环境变量,值为该容器使用的域名。
VIRTUAL_HOST控制nginx-proxy的代理配置,LETSENCRYPT_HOST控制acme-companion的证书创建和SSL启用。
只有同时设置VIRTUAL_HOST和LETSENCRYPT_HOST且域名正确解析到主机、主机可公开访问时,才会颁发证书。
shell$ docker run --detach \ --name your-proxied-app \ --env "VIRTUAL_HOST=subdomain.yourdomain.tld" \ --env "LETSENCRYPT_HOST=subdomain.yourdomain.tld" \ nginx
被代理容器必须暴露需代理的端口,可通过Dockerfile的EXPOSE指令或docker run/docker create的--expose标志实现。
若被代理容器监听并暴露的端口非默认80,可通过VIRTUAL_PORT环境变量强制nginx-proxy使用该端口。
例如使用Grafana(暴露并监听3000端口):
shell$ docker run --detach \ --name grafana \ --env "VIRTUAL_HOST=othersubdomain.yourdomain.tld" \ --env "VIRTUAL_PORT=3000" \ --env "LETSENCRYPT_HOST=othersubdomain.yourdomain.tld" \ --env "LETSENCRYPT_EMAIL=***" \ grafana/grafana
对其他需代理的容器,重复步骤3即可。
额外文档
请查看文档部分。
bitnami/acmesolver
bitnami
ACME Solver是cert-manager项目的关键组件,作为Kubernetes插件,负责确保TLS证书持续有效并定期更新,可在证书到期前自动执行续订操作。Bitnami安全镜像版本具备非root运行、最小攻击面及FIPS合规配置等特性,适用于开发与生产环境中的证书自动化管理场景。
2 次收藏50万+ 次下载
7 个月前更新
cleanstart/cert-manager-acmesolver
cleanstart
cert-manager的ACME求解器组件,专为企业Kubernetes环境设计,提供自动化证书管理与验证,实现安全合规的证书挑战解析,基于CleanStart最小化安全加固操作系统构建。
1万+ 次下载
17 天前更新
rancher/cert-manager-acmesolver
rancher
暂无描述
8.5千+ 次下载
6 年前更新
stagex/user-acme-tiny
stagex
暂无描述
423 次下载
1 个月前更新
rancher/cert-manager-acmesolver-arm64
rancher
暂无描述
3.9千+ 次下载
6 年前更新
cccs/assemblyline-service-unpacme
cccs
暂无描述
5万+ 次下载
1 个月前更新
镜像拉取常见问题
使用与功能问题
错误码与失败问题
manifest unknown 错误:镜像不存在或标签错误
manifest unknown 错误
TLS/SSL 证书验证失败:Docker pull 时 HTTPS 证书错误
TLS 证书验证失败
DNS 解析超时:无法解析镜像仓库地址或连接超时
DNS 解析超时
410 Gone 错误:Docker 版本过低导致协议不兼容
410 错误:版本过低
402 Payment Required 错误:流量耗尽错误提示
402 错误:流量耗尽
401 UNAUTHORIZED 错误:身份认证失败或登录信息错误
身份认证失败错误
429 Too Many Requests 错误:请求频率超出专业版限制
429 限流错误
Docker login 凭证保存错误:Cannot autolaunch D-Bus(不影响登录)
凭证保存错误
账号 / 计费 / 权限
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"