配置证书自动更新：解决 Docker 容器占用 80 端口导致的 Certbot 认证失败

在使用 Docker 部署应用时，我们有时会遇到一些意料之外的问题。例如，最近我在为域名 huayemao.run 配置 HTTPS 证书自动更新时，就遇到了一个由端口映射引起的 Certbot 认证失败问题。

问题描述

我通过 Docker 运行了一个 Next.js 应用容器，并将其映射到了宿主机的 80 端口。随后，当我尝试使用 Certbot（配合 Nginx 插件）为域名申请 SSL 证书时，出现了以下错误：

运行 sudo certbot --nginx -d huayemao.run

报错信息：


Certbot failed to authenticate some domains (authenticator: nginx). The Certificate Authority reported these problems:
  Domain: huayemao.run
  Type:   unauthorized
  Detail: 8.156.73.77: Invalid response from http://huayemao.run/.well-known/acme-challenge/U4dJGv4Gi7V2LumQBHFri-zGS9Kl3H2ks6ckBxLEwk0: 404
Hint: The Certificate Authority failed to verify the temporary nginx configuration changes made by Certbot. Ensure the listed domains point to this nginx server and that it is accessible from the internet.

从错误信息可以看出，CA 在验证域名所有权时，尝试访问 http://huayemao.run/.well-known/acme-challenge/... 这个路径，但返回的却是 Next.js 应用的 404 页面，而非 Certbot 预期的认证文件。

问题原因

这是因为 Certbot 在验证域名时，需要临时接管 80 端口，并通过该端口响应 CA 发起的 HTTP 请求。然而，由于我的 Docker 容器已经占用了 80 端口，导致 Nginx 无法正常监听该端口，进而使得 CA 无法完成验证。

解决方案

解决这个问题的方法很简单：将 Docker 容器的映射端口从 80 改为其他端口（例如 3000），从而释放 80 端口供 Certbot 使用。

具体步骤如下：

停止并移除当前运行的容器（如果正在运行）：
```
bash
docker stop <container_name>
docker rm <container_name>
```

重新启动容器，并映射到 3000 端口：

bash
docker run -d -p 3000:3000 --name <container_name> <image_name>

再次运行 Certbot 命令申请证书：
```
bash
sudo certbot --nginx -d huayemao.run
```

这次，Certbot 成功完成了域名验证，并顺利生成了 SSL 证书。

总结

在部署服务时，需要注意端口资源的分配。如果计划使用 Certbot 自动管理 HTTPS 证书，务必确保 80 端口在证书续期期间可用。对于非 Web 服务或不需要直接暴露在 80 端口的应用，建议使用其他端口（如 3000、8080 等）进行映射，避免与系统服务发生冲突。

小提示：如果你的服务必须使用 80 端口，也可以考虑在 Certbot 验证期间临时停止容器，验证完成后再重新启动。不过，长期来看，调整端口映射是更可持续的解决方案。