跳到主要内容
前往申请免费HTTPS证书/SSL证书

一、介绍

Docker - OPENRESTY 类型的部署节点用于实现将OHTTPS中申请的HTTPS证书/SSL证书自动化部署至openresty容器中。

如果官方镜像不满足需求,可以查看 [Docker 自定义] 文档,通过在构建自定义容器的Dockerfile中引入我们官方提供的push-node二进制包,实现证书的自动化部署。

二、使用方法

使用 Docker - OPENRESTY 类型的部署节点,需要使用我们官方提供的openresty容器镜像ohttps/ohttps-openresty
该镜像是基于openresty官方稳定版镜像openresty/openresty:1.19.3.1-2-centos构建,添加了证书更新服务后生成的。ohttps/ohttps-openresty镜像内的其他内容和使用方式和openresty官方镜像完全一致,请放心使用

拉取镜像命令为:

 docker pull ohttps/ohttps-openresty

使用该镜像时,需要设置以下两个环境变量:

  • PUSH_NODE_ID:即为部署节点创建完成后系统生成的部署节点的ID,部署节点的ID都是以push开头的,样例:push-53ejqm8p60gd7no9
  • PUSH_NODE_TOKEN:即为创建部署节点时,通过点击生成按钮生成的32位令牌,样例:6b2440b1e3f180a3c9453f9d7766a565

在使用该镜像的容器首次启动时,会根据配置的PUSH_NODE_ID和PUSH_NODE_TOKEN从OHTTPS服务器拉取最新版证书,如果PUSH_NODE_ID对应的部署节点被多个证书配置为部署节点,则会同时拉取多个证书,拉取到的证书文件被存放在容器内/etc/openresty/certificates文件夹下,然后按照证书ID为子文件夹进行存放(证书ID为创建证书完成后系统生成的证书的ID,证书的ID都是以cert开头的,样例:cert-2enm4pr1q09g3x5z),则证书文件的全路径为:

  • 私钥文件cert.key(PEM格式):
`/etc/openresty/certificates/${证书ID}/cert.key`
  • 证书文件fullchain.cer(PEM格式):
`/etc/openresty/certificates/${证书ID}/fullchain.cer`

把上面路径中'${证书ID}'部分换成您的证书ID即为对应文件在容器中的存放路径。注意在容器启动前,请先完成证书部署节点的配置,将证书和部署节点关联,否则会导致容器无法成功启动


三、最佳实践

这里我们会举个例子来说明具体如何使用 Docker - OPENRESTY 类型的部署节点。例如我们创建了一个 Docker - OPENRESTY 类型的部署节点,PUSH_NODE_ID和PUSH_NODE_TOKEN的值为:

  • PUSH_NODE_ID:push-53ejqm8p60gd7no9
  • PUSH_NODE_TOKEN:6b2440b1e3f180a3c9453f9d7766a565

我们为域名www.example.com申请了一个有单域名证书,这个证书的证书ID为cert-2enm4pr1q09g3x5z,然后我们在证书配置中将我们刚创建的节点配置为该证书的部署节点之一,那么该证书的证书文件在容器内的路径为:

  • 私钥文件cert.key(PEM格式):/etc/openresty/certificates/cert-2enm4pr1q09g3x5z/cert.key
  • 证书文件fullchain.cer(PEM格式):/etc/openresty/certificates/cert-2enm4pr1q09g3x5z/fullchain.cer

我们的openresty配置文件nginx.conf的内容为:

user  nginx;
worker_processes 1;

error_log /var/log/nginx/error.log warn;
pid /var/run/nginx.pid;

events {
worker_connections 1024;
}

http {
include /etc/nginx/mime.types;
default_type application/octet-stream;

server {
listen 443 ssl;
server_name www.example.com;
ssl_certificate /etc/openresty/certificates/cert-2enm4pr1q09g3x5z/fullchain.cer;
ssl_certificate_key /etc/openresty/certificates/cert-2enm4pr1q09g3x5z/cert.key;

include /etc/nginx/default.d/*.conf;

location / {
root /usr/share/nginx/html;
index index.html;
}
}
}

对应的Dockerfile为:

FROM ohttps/ohttps-openresty
WORKDIR /etc/nginx
COPY ./nginx.conf /etc/nginx/nginx.conf
ENV PUSH_NODE_ID='push-53ejqm8p60gd7no9'
ENV PUSH_NODE_TOKEN='6b2440b1e3f180a3c9453f9d7766a565'

根据上面的Dockerfile生成我们自己的镜像即可。

OHTTPS: 免费HTTPS证书/SSL证书申请 • 自动化更新、部署、监控
OHTTPS 支持通过多种域名验证方式(DNS验证、HTTP验证、文件验证等)申请免费的HTTPS证书/SSL证书,包括单域名证书、多域名证书、通配符证书、IP证书等,支持HTTPS证书/SSL证书的自动化更新、自动化部署、自动化监控及告警等,并支持将HTTPS证书/SSL证书自动化部署至阿里云、腾讯云、百度云、七牛云、多吉云、又拍云、宝塔面板、Docker容器、SSH等,实现HTTPS证书/SSL证书的一站式申请、更新、部署、监控和管理。