前言

每次换 VPS 都要经历申请证书的折磨，每次都百度一大堆东西，搞半天才搞定，然后下次仿佛这段折磨就像只存在梦境中一样，醒来忘的彻底，继续一个循环=。=

这次索性就把步骤都记录一下，免得以后忘了（大概也会忘吧~）。

原先都是申请的普通证书，需要配合 nginx 之类的先开个 80 端口，然后 certbot 申请，对于原先VPS一直吃灰的我来说，倒也足够了。不过现在心血来潮，想弄子域名，以前的套路肯定是不行了。对于我这么一个喜欢 docker 一把梭（🥦只会 docker ）的人来说，网上搜了半天找到的资料少的可怜，实在是头疼，这里直接记录下过程。

泛域名证书不同于普通证书，并不需要 nginx，只要连到 DNS 解析商那边认证就可以了，所以就需要这些解析商的 API 支持，好在一般大厂都有相关的 API，并且 certbot 官方 docker 也贴心的给我们集成进去了插件，以 cloudflare 为例。

前置工作

登录 cloudflare，选择自己的域名进入。

1. 创建 token

最后点 Continue to summary 后会有个确认列表，没问题直接点击 Create Token 完成。

2. 创建配置文件

创建 cloudflare.ini 配置文件：

mkdir certbot && cd certbot # 创建 certbot 文件夹为 docker 数据持久化
mkdir secrets && cd secrets
nano cloudflare.ini

写入如下信息：

# Cloudflare API token used by Certbot
dns_cloudflare_api_token = 1234567890ABCDEFG # 填入你在上一步中获取到的 token 值

按 Ctrl+O 保存，Ctrl+X 退出。

申请证书

运行 docker：

docker run -it --rm --name certbot \
-v PATH_TO_CERTBOT/etc:/etc/letsencrypt \ #改成你上步的 certbot 路径
-v PATH_TO_CERTBOT/lib:/var/lib/letsencrypt \ #改成你上步的 certbot 路径
-v PATH_TO_CERTBOT/secrets:/.secrets \ #改成你上步的 certbot 路径
certbot/dns-cloudflare:latest certonly \
--dns-cloudflare-credentials /.secrets/cloudflare.ini \
--dns-cloudflare-propagation-seconds 60 \
--server https://acme-v02.api.letsencrypt.org/directory \
--no-eff-email --email email@domain.com --agree-tos \ #改成你的电子邮箱
-d 7theaven.top \ # 改成你的域名
-d *.7theaven.top # 改成你的域名

运行后出现内容：

How would you like to authenticate with the ACME CA?
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
1: Obtain certificates using a DNS TXT record (if you are using Cloudflare for
DNS). (dns-cloudflare)
2: Runs an HTTP server locally which serves the necessary validation files under
the /.well-known/acme-challenge/ request path. Suitable if there is no HTTP
server already running. HTTP challenge only (wildcards not supported).
(standalone)
3: Saves the necessary validation files to a .well-known/acme-challenge/
directory within the nominated webroot path. A seperate HTTP server must be
running and serving files from the webroot path. HTTP challenge only (wildcards
not supported). (webroot)
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Select the appropriate number [1-3] then [enter] (press 'c' to cancel): 1

这里输入 1，使用 DNS 方式认证！然后静候 60s。

Account registered.
Requesting a certificate for 7theaven.top and *.7theaven.top
Unsafe permissions on credentials configuration file: /.secrets/cloudflare.ini
Waiting 60 seconds for DNS changes to propagate

Successfully received certificate.
Certificate is saved at: /etc/letsencrypt/live/7theaven.top/fullchain.pem
Key is saved at:         /etc/letsencrypt/live/7theaven.top/privkey.pem
This certificate expires on 2023-06-17.
These files will be updated when the certificate renews.

NEXT STEPS:
- The certificate will need to be renewed before it expires. Certbot can automatically renew the certificate in the background, but you may need to take steps to enable that functionality. See https://certbot.org/renewal-setup for instructions.

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
If you like Certbot, please consider supporting our work by:
 * Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
 * Donating to EFF:                    https://eff.org/donate-le
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

不出意外的话，证书就获取到了，里面是 docker 路径，对应你 VPS 中的 certbot 文件夹里面相应路径！

证书续期

letsencrypt 需要每 3 个月续期一下，这里先创建个 .sh 执行文件

nano renew_cert.sh

写入续期脚本：

#!/bin/bash
#export PATH=$PATH
#source /etc/profile

# Renew Certificate with DNS
/usr/bin/docker run -i --rm --name mycertbot \
-v PATH_TO_CERTBOT/etc:/etc/letsencrypt \ #改成你上面的 certbot 路径
-v PATH_TO_CERTBOT/lib:/var/lib/letsencrypt \ #改成你上面的 certbot 路径
-v PATH_TO_CERTBOT/secrets:/.secrets \ #改成你上面的 certbot 路径
certbot/dns-cloudflare:latest -q renew

#reload nginx
/usr/bin/docker compose restart nginx

然后给脚本赋予可执行权限：

chmod +x renew_cert.sh

最后添加下 crontab 定时任务就行啦，打开 crontab：

crontab -e

如果有多个编辑器的话，可能会弹出选项让你选，然后输入定时任务：

# 每隔 10 天的晚上 3 点，执行下续期任务！
0 3 */3 * * bash PATH_TO_RENEW/renew_cert.sh # 这里填入你的 renew_cert.sh 所在路径