添加 siyuan certd vaultwarden

2026-04-07 16:03:47 +08:00
parent 3b01ca8ed3
commit 41a586b97b
25 changed files with 2894 additions and 27 deletions
--- a/certd/README.md
+++ b/certd/README.md
@@ -0,0 +1,282 @@
+# Certd 部署指南
+
+SSL 证书自动化管理工具，支持自动申请、部署和续期 Let's Encrypt / 各种商用证书。
+
+## 功能特性
+
+- 自动申请 Let's Encrypt 免费 SSL 证书
+- 支持阿里云、腾讯云、Cloudflare 等多种 DNS 提供商
+- 自动部署证书到 Nginx、CDN、OSS 等
+- 到期自动续期，无需人工干预
+- Web 管理界面，可视化操作
+
+## 技术栈
+
+| 组件 | 版本 | 说明 |
+|------|------|------|
+| Certd | latest | SSL 证书自动化工具 |
+| SQLite | 内置 | 轻量数据库，无需额外部署 |
+| Nginx | 系统包 | 反向代理 + HTTPS 接入 |
+| Docker | 最新版 | 容器运行环境 |
+
+## 前置条件
+
+1. 一台 Linux 服务器（Ubuntu 22.04/24.04 推荐）
+2. 一个已解析到服务器的域名（如 `cert.example.com`）
+3. 服务器 80/443 端口可从外网访问
+
+## 目录结构
+
+```
+certd/
+├── docker-compose.yml    # 容器编排
+├── .env.example          # 配置模板
+├── deploy.sh             # 一键部署脚本
+├── backup.sh             # 备份脚本
+├── nginx/
+│   └── certd.conf        # Nginx 反向代理配置
+└── README.md             # 本文件
+```
+
+服务器上的数据目录：
+
+```
+/data/certd/              # Certd 数据（SQLite + 证书文件）
+/var/backups/certd/       # 备份文件
+```
+
+## 快速部署
+
+### 第一步：上传文件到服务器
+
+```bash
+# 在本地执行，上传 base 和 certd 目录
+scp -r base/ certd/ root@<服务器IP>:/opt/
+```
+
+### 第二步：登录服务器执行部署
+
+```bash
+ssh root@<服务器IP>
+
+# 如果是全新服务器，先安装基础环境
+cd /opt/base
+cp .env.example .env
+# 可选：编辑 .env 配置 Docker 镜像加速
+bash setup.sh
+
+# 部署 Certd
+cd /opt/certd
+bash deploy.sh
+# 首次运行会生成 .env，按提示修改配置后重新运行
+vi .env
+bash deploy.sh
+```
+
+### 第三步：配置域名解析
+
+在域名服务商（如阿里云 DNS）添加 A 记录：
+
+| 记录类型 | 主机记录 | 记录值 |
+|----------|----------|--------|
+| A | cert | `<服务器公网IP>` |
+
+### 第四步：登录管理后台
+
+1. 浏览器访问 `https://cert.yourdomain.com`
+2. 默认账号: `admin`
+3. 默认密码: `123456`
+
+> **⚠️ 安全提醒：请立即修改默认密码！**
+
+## 配置说明
+
+### .env 配置项
+
+| 变量 | 说明 | 默认值 |
+|------|------|--------|
+| `CERTD_DOMAIN` | 访问域名 | 必填 |
+| `CERTBOT_EMAIL` | Let's Encrypt 邮箱 | 必填 |
+| `CERTD_IMAGE` | Docker 镜像 | 阿里云镜像 |
+| `CERTD_DATA_DIR` | 数据目录 | `/data/certd` |
+| `BACKUP_DIR` | 备份目录 | `/var/backups/certd` |
+| `RESET_ADMIN_PASSWD` | 重置管理员密码 | `false` |
+
+### 重置管理员密码
+
+如果忘记管理员密码：
+
+```bash
+cd /opt/certd
+
+# 1. 修改 .env，设置 RESET_ADMIN_PASSWD=true
+vi .env
+
+# 2. 重新创建容器（restart 不会重新读取 .env，必须用 up -d）
+docker compose up -d
+
+# 3. 查看日志确认重置完成（出现"重置1号管理员用户密码完成"即可）
+docker logs -f --tail 100 certd
+
+# 4. 用默认密码 123456 登录（用户名为原管理员账号，如修改过请查看上一步日志）
+
+# 5. 改回 RESET_ADMIN_PASSWD=false 并重新创建容器
+vi .env
+docker compose up -d
+```
+
+## 日常运维
+
+### 查看日志
+
+```bash
+cd /opt/certd
+docker compose logs -f
+docker compose logs --tail 100
+```
+
+### 备份
+
+```bash
+cd /opt/certd
+bash backup.sh
+```
+
+备份内容包括：
+- SQLite 数据库 + 证书文件（`/data/certd`）
+- 部署配置（`docker-compose.yml` + `.env` + `nginx/`）
+
+备份文件保存在 `/var/backups/certd/`，自动清理 30 天前的旧备份。
+
+> **提示**：Certd 还内置了自动备份流水线功能，可在管理界面中配置定时备份和失败通知，详见「安全加固建议」章节。
+
+### 恢复备份
+
+```bash
+# 查看可用备份
+ls /var/backups/certd/
+
+# 停止服务
+cd /opt/certd && docker compose down
+
+# 恢复数据
+tar xzf /var/backups/certd/<日期>/certd-data.tar.gz -C /data/
+
+# 重启服务
+cd /opt/certd && docker compose up -d
+```
+
+### 升级
+
+```bash
+cd /opt/certd
+
+# 1. 备份当前数据
+bash backup.sh
+
+# 2. 拉取新镜像
+docker compose pull
+
+# 3. 停止旧容器并启动新容器
+docker compose down
+docker compose up -d
+
+# 4. 检查运行状态
+docker compose ps
+docker compose logs --tail 20
+```
+
+### 停止 / 启动
+
+```bash
+cd /opt/certd
+docker compose down      # 停止
+docker compose up -d     # 启动
+docker compose restart   # 重启
+```
+
+## 使用 Certd 管理证书
+
+### 添加 DNS 授权
+
+1. 登录 Certd 管理后台
+2. 进入「授权管理」→「新增」
+3. 选择 DNS 提供商（如阿里云）
+4. 填入 AccessKey ID / Secret
+
+### 创建证书流水线
+
+1. 进入「证书管理」→「新增流水线」
+2. 选择「Let's Encrypt」证书颁发机构
+3. 填写要申请的域名（如 `*.example.com`）
+4. 选择 DNS 授权方式
+5. 配置部署目标（Nginx、CDN 等）
+6. 点击「运行」
+
+### 自动续期
+
+Certd 会自动检查证书过期时间，在到期前自动续期并部署。默认检查间隔为每天一次。
+
+## 安全加固建议
+
+### 1. 修改管理员用户名
+
+官方强烈建议修改默认的 `admin` 用户名。登录后前往「系统管理」→「用户管理」修改管理员账号的用户名，并建议注册一个名为 `admin` 的普通用户并设为禁用，防止被暴力破解。
+
+### 2. 开启站点隐藏
+
+Certd 设置好后日常很少需要访问，建议平时关闭站点访问入口，减少被攻击风险。前往「系统管理」→「系统设置」→「安全设置」→ 开启站点隐藏。
+
+### 3. 启用 2FA 双重验证
+
+Certd 支持 2FA 双重认证登录，建议在「个人设置」中开启。
+
+### 4. 配置自动备份流水线
+
+Certd 内置数据库自动备份功能。在管理界面中创建一个备份流水线，选择「数据库备份」任务，配置定时执行和失败通知，确保数据安全。详见[官方备份文档](https://certd.docmirror.cn/guide/use/backup/)。
+
+## 故障排查
+
+### 容器无法启动
+
+```bash
+# 查看容器状态
+docker compose ps
+
+# 查看详细日志
+docker compose logs --tail 50
+```
+
+### SSL 证书申请失败
+
+```bash
+# 检查域名解析是否正确
+dig cert.yourdomain.com
+
+# 检查 80 端口是否可访问
+curl -I http://cert.yourdomain.com
+
+# 查看 Certbot 日志
+cat /var/log/letsencrypt/letsencrypt.log
+```
+
+### 访问返回 502
+
+```bash
+# 检查 Certd 容器是否运行
+docker compose ps
+
+# 检查 7001 端口
+curl -I http://127.0.0.1:7001
+
+# 检查 Nginx 配置
+nginx -t
+```
+
+## 端口说明
+
+| 端口 | 协议 | 说明 |
+|------|------|------|
+| 80 | TCP | HTTP → HTTPS 重定向 |
+| 443 | TCP | HTTPS（Nginx 反向代理） |
+| 7001 | TCP | Certd HTTP（仅监听 127.0.0.1） |