FrankenPHP 生产环境部署中的 SSL 证书管理问题解析

问题背景

在使用 FrankenPHP 部署 Laravel 应用时，每次容器更新都会触发 Let's Encrypt 证书的重新申请，这会导致短时间内达到 Let's Encrypt 的证书申请限制，最终造成服务不可用。

核心问题分析

FrankenPHP 内置的 Caddy 服务器默认会在每次启动时检查证书状态。在容器化部署环境中，如果没有持久化存储证书数据，每次部署新镜像都会被视为全新的环境，从而触发证书申请流程。

Let's Encrypt 对同一域名有以下限制：

• 每周最多 5 个重复证书
• 每小时最多 5 次失败验证
• 每周最多 50 个新证书

解决方案

1. 使用 Docker 数据卷持久化证书

最简单的解决方案是为证书数据创建持久化存储：

docker volume create frankenphp_data
docker volume create frankenphp_config

然后在运行容器时挂载这些卷：

docker run -v frankenphp_data:/data -v frankenphp_config:/config ...

2. 使用外部存储插件

对于生产环境，特别是需要横向扩展的场景，建议使用 Caddy 的存储插件：

• S3 存储插件：将证书存储在对象存储中
• Redis 插件：适合分布式环境
• 文件系统插件：配合共享存储使用

3. 配置 FrankenPHP 的 Caddy 部分

在 Caddyfile 中可以显式配置证书存储位置：

{
    storage file_system /data/caddy
}

4. 多实例部署注意事项

当部署多个 FrankenPHP 实例时，需要注意：

• 避免多个实例同时访问同一证书存储
• 考虑使用分布式锁机制
• 或者采用主从架构，只有主节点负责证书更新

最佳实践建议

1. 开发与生产分离：在开发环境使用自签名证书，避免消耗 Let's Encrypt 配额

2. 监控证书更新：设置监控告警，及时发现证书更新失败情况

3. 备份策略：定期备份证书数据，防止数据丢失

4. 部署流程优化：

   • 先停止旧容器
   • 再启动新容器
   • 避免新旧容器同时运行导致证书文件锁定

总结

FrankenPHP 作为新兴的 PHP 运行时，在生产环境部署时需要特别注意证书管理问题。通过合理的持久化策略和部署流程，可以避免 Let's Encrypt 的配额限制问题，确保 HTTPS 服务的稳定运行。对于大规模生产环境，建议采用外部存储解决方案，既能保证证书安全，又能支持服务的高可用部署。