首页
/ Uptime-Kuma 监控远程 Docker 主机时的 TLS 证书配置指南

Uptime-Kuma 监控远程 Docker 主机时的 TLS 证书配置指南

2025-04-29 07:07:28作者:尤辰城Agatha

问题背景

在使用 Uptime-Kuma 监控远程 Docker 主机时,许多用户会遇到 TLS 证书验证失败的问题。特别是当使用 acme.sh 工具通过 Let's Encrypt 生成的证书时,虽然通过 curl 命令测试连接正常,但在 Uptime-Kuma 界面中测试连接时却会出现 "unable to get issuer certificate" 的错误。

问题根源分析

这个问题的根本原因在于 acme.sh 生成的证书链不完整。具体来说:

  1. acme.sh 默认生成的 ca.pem 文件只包含中间证书,不包含根证书 ISRG Root X1
  2. curl 命令会自动使用系统中存储的根证书进行验证,因此可以正常工作
  3. Uptime-Kuma 内部使用的 axios 库不会自动加载系统根证书,需要完整的证书链才能验证

解决方案

完整证书链生成方法

正确的做法是手动合并中间证书和根证书:

# 下载 Let's Encrypt 的根证书
curl -sS https://letsencrypt.org/certs/isrgrootx1.pem -o isrgrootx1.pem

# 合并证书链(fullchain.cer 包含服务器证书和中间证书)
cat fullchain.cer isrgrootx1.pem > ca.pem

证书文件说明

需要准备三个关键文件:

  1. cert.pem - 服务器证书(可直接使用 acme.sh 生成的 fullchain.cer)
  2. key.pem - 私钥文件
  3. ca.pem - 完整的证书链(必须包含根证书)

Uptime-Kuma 配置建议

在 Uptime-Kuma 的 Docker 容器中,建议将证书文件存放在 /app/data/docker-tls/主机名/ 目录下,包含以下三个文件:

  • ca.pem (完整证书链)
  • cert.pem (服务器证书)
  • key.pem (私钥)

验证方法

配置完成后,可以通过以下方式验证:

  1. 在容器内使用 curl 测试(不指定 --cacert 参数):
curl --cert ./cert.pem --key ./key.pem https://主机名:2376/version
  1. 在 Uptime-Kuma 网页界面测试连接

技术原理深入

Let's Encrypt 的证书链采用三级结构:

  1. 终端实体证书(服务器证书)
  2. 中间证书(Let's Encrypt E5)
  3. 根证书(ISRG Root X1)

完整的证书验证需要能够追溯整个信任链。acme.sh 默认生成的 ca.cer 只包含中间证书,缺少根证书,导致 axios 无法完成完整的证书验证过程。

相比之下,curl 会检查系统的证书存储(通常是 /etc/ssl/certs),其中已经预置了 ISRG Root X1 根证书,因此可以自动补全证书链完成验证。

最佳实践建议

  1. 定期更新证书:Let's Encrypt 证书有效期90天,建议设置自动续期
  2. 证书文件权限:确保 key.pem 文件权限为600,避免私钥泄露
  3. 备份策略:妥善备份证书和私钥,防止数据丢失
  4. 监控证书过期:在 Uptime-Kuma 中设置对证书过期的监控

通过以上配置,Uptime-Kuma 就能够正确验证远程 Docker 主机的 TLS 证书,实现对远程 Docker 环境的稳定监控。

登录后查看全文
热门项目推荐
相关项目推荐

项目优选

收起
openHiTLS-examplesopenHiTLS-examples
本仓将为广大高校开发者提供开源实践和创新开发平台,收集和展示openHiTLS示例代码及创新应用,欢迎大家投稿,让全世界看到您的精巧密码实现设计,也让更多人通过您的优秀成果,理解、喜爱上密码技术。
C
53
468
kernelkernel
deepin linux kernel
C
22
5
nop-entropynop-entropy
Nop Platform 2.0是基于可逆计算理论实现的采用面向语言编程范式的新一代低代码开发平台,包含基于全新原理从零开始研发的GraphQL引擎、ORM引擎、工作流引擎、报表引擎、规则引擎、批处理引引擎等完整设计。nop-entropy是它的后端部分,采用java语言实现,可选择集成Spring框架或者Quarkus框架。中小企业可以免费商用
Java
7
0
RuoYi-Vue3RuoYi-Vue3
🎉 (RuoYi)官方仓库 基于SpringBoot,Spring Security,JWT,Vue3 & Vite、Element Plus 的前后端分离权限管理系统
Vue
878
517
Cangjie-ExamplesCangjie-Examples
本仓将收集和展示高质量的仓颉示例代码,欢迎大家投稿,让全世界看到您的妙趣设计,也让更多人通过您的编码理解和喜爱仓颉语言。
Cangjie
336
1.1 K
ohos_react_nativeohos_react_native
React Native鸿蒙化仓库
C++
180
264
cjoycjoy
一个高性能、可扩展、轻量、省心的仓颉Web框架。Rest, 宏路由,Json, 中间件,参数绑定与校验,文件上传下载,MCP......
Cangjie
87
14
CangjieCommunityCangjieCommunity
为仓颉编程语言开发者打造活跃、开放、高质量的社区环境
Markdown
1.08 K
0
openHiTLSopenHiTLS
旨在打造算法先进、性能卓越、高效敏捷、安全可靠的密码套件,通过轻量级、可剪裁的软件技术架构满足各行业不同场景的多样化要求,让密码技术应用更简单,同时探索后量子等先进算法创新实践,构建密码前沿技术底座!
C
349
381
cherry-studiocherry-studio
🍒 Cherry Studio 是一款支持多个 LLM 提供商的桌面客户端
TypeScript
612
60