使用acme.sh容器化方案实现Traefik证书自动更新

背景介绍

在容器化环境中管理SSL/TLS证书是一个常见的运维需求。acme.sh作为一款优秀的Let's Encrypt客户端，提供了自动化证书申请和更新的功能。本文将详细介绍如何在Docker环境中配置acme.sh容器，使其能够自动为Traefik反向代理更新证书，并触发容器重启以加载新证书。

核心配置方案

1. Traefik容器配置

首先需要在Traefik的compose文件中添加特定标签，使acme.sh能够识别需要证书更新的容器：

labels:
  - "sh.acme.autoload.domain=example.com"

这个标签告诉acme.sh，当example.com域名的证书更新时，需要对这个容器执行相关操作。

2. acme.sh环境变量配置

在acme.sh的.env配置文件中，需要设置以下关键参数：

DEPLOY_DOCKER_CONTAINER_LABEL=sh.acme.autoload.domain=example.com
DEPLOY_DOCKER_CONTAINER_KEY_FILE="/srv/certs/id-org-key.pem"
DEPLOY_DOCKER_CONTAINER_CERT_FILE="/srv/certs/id-org-cert.pem"
DEPLOY_DOCKER_CONTAINER_CA_FILE="/srv/certs/id-org-ca.pem"
DEPLOY_DOCKER_CONTAINER_FULLCHAIN_FILE="/srv/certs/id-org-full.pem"
DEPLOY_DOCKER_CONTAINER_RELOAD_CMD="kill -s 2 1"

这些配置指定了：

• 要匹配的容器标签
• 证书文件在容器内的存储路径
• 证书更新后执行的重新加载命令

3. Docker Socket挂载

为了让acme.sh容器能够管理其他容器，需要将宿主机的Docker socket挂载到容器中：

volumes:
  - /var/run/docker.sock:/var/run/docker.sock

实现原理

1. 证书申请与存储：acme.sh通过DNS验证方式申请通配符证书，证书文件存储在绑定的卷中。

2. 文件同步机制：通过bind mount方式，使Traefik容器和acme.sh容器共享同一个证书存储目录。

3. 自动触发机制：当证书更新后，acme.sh会执行配置的reload命令，向Traefik容器发送SIGINT信号(2)，触发配置重载。

验证与监控

1. 文件验证：可以通过检查各容器内的证书文件时间戳和内容，确认更新是否成功。

2. 证书有效期检查：使用OpenSSL命令验证证书的有效期是否已延长。

3. 日志监控：acme.sh会输出详细的操作日志，包括文件复制和reload命令执行情况。

最佳实践建议

1. 安全性考虑：Docker socket挂载会带来安全风险，建议限制acme.sh容器的网络访问权限。

2. 备份策略：定期备份证书存储目录，防止意外数据丢失。

3. 监控告警：设置证书到期监控，即使自动更新失败也能及时人工干预。

4. 测试环境验证：先在测试环境验证整个流程，确认无误后再部署到生产环境。

总结

通过上述配置，我们实现了一个完整的自动化证书管理方案。acme.sh容器不仅能够自动申请和更新证书，还能触发Traefik容器重新加载配置，整个过程无需人工干预。这种方案特别适合需要长期稳定运行的容器化服务，确保了SSL/TLS证书的持续有效性。