我的应用程序有一个 Nginx 容器。 这就是 docker-compose 中定义的服务。
nginx:
image: nginx:latest
restart: always
volumes:
- ./nginx/:/etc/nginx/
ports:
- 80:80
- 443:443
卷 nginx 目录包含配置文件和 certs 文件夹。
TLS 证书是在部署应用程序的主机中使用以下命令手动生成的:
certbot certonly --manual --manual-public-ip-logging-ok --preferred-challenges dns -d my.app.com
并且有一个从实际的letsEncrypt 证书位置到这个主机卷位置的符号链接。
/myapp/nginx/certs# ll
lrwxrwxrwx 1 root root 55 Mar 12 09:47 fullchain.pem -> /etc/letsencrypt/live/my.app.com/fullchain.pem
lrwxrwxrwx 1 root root 53 Mar 12 09:48 privkey.pem -> /etc/letsencrypt/live/my.app.com/privkey.pem
每次证书过期时,我都会重新生成证书。 (由于证书生成是手动的,我不能使用 certbot 更新命令进行自动更新。当我尝试时它会出错:)
Failed to renew certificate my.app.com with error: The manual plugin is not working; there may be problems with your existing configuration.
The error was: PluginError('An authentication script must be provided with --manual-auth-hook when using the manual plugin non-interactively.')
因此,当重新生成时,Certbot 将更新 /etc/letsencrypt/live/my.app.com/ 目录中的证书)。 之后,我必须重新启动 nginx 容器以获取新证书。
有没有办法自动做到这一点? 有没有可以附加到 certbot 的钩子来做到这一点?
答案 0 :(得分:0)
以下是测试证书是否已使用 md5 更改的方法:
file=/path/to/the/certificate ; \
before=$(md5sum "$file") ; \
certbot ... ; \
after=$(md5sum "$file"); \
test "$before" = "$after" || docker exec ...
这里发生了什么:
before
的变量中。after
变量中。test "$before" = "$after"
比较两个字符串,如果它们不匹配,则此命令以状态代码 1 退出。如果它们匹配,则退出代码为 0。||
执行其后的任何内容,如果前一个命令以 0 以外的任何值退出。在这种情况下,当校验和不匹配时。