SSL сертификат за уеб приложение Docker

В тази статия искам да споделя с вас метод за създаване на SSL сертификат за вашето уеб приложение, работещо на Docker, защото... Не намерих такова решение в рускоезичната част на Интернет.

Повече подробности под кройката.

Имахме docker v.17.05, docker-compose v.1.21, Ubuntu Server 18 и пинта чист Let'sEncrypt. Не че е необходимо да разположите продукция на Docker. Но след като започнете да създавате Docker, става трудно да спрете.

И така, като начало ще дам стандартните настройки - които имахме на етап dev, т.е. без порт 443 и SSL като цяло:

докер-compose.yml

version: '2'
services:
    php:
        build: ./php-fpm
        volumes:
            - ./StomUp:/var/www/StomUp
            - ./php-fpm/php.ini:/usr/local/etc/php/php.ini
        depends_on:
            - mysql
        container_name: "StomPHP"
    web:
        image: nginx:latest
        ports:
            - "80:80"
            - "443:443"
        volumes:
            - ./StomUp:/var/www/StomUp
            - ./nginx/main.conf:/etc/nginx/conf.d/default.conf
        depends_on:
            - php
    mysql:
        image: mysql:5.7
        command: mysqld --sql_mode=""
        environment:
            MYSQL_ROOT_PASSWORD: xxx
        ports:
            - "3333:3306"

nginx/main.conf

 server {
    listen 80;
    server_name *.stomup.ru stomup.ru;
   root /var/www/StomUp/public;
     client_max_body_size 5M;

    location / {
        # try to serve file directly, fallback to index.php
        try_files $uri /index.php$is_args$args;
  }

    location ~ ^/index.php(/|$) {
      #fastcgi_pass unix:/var/run/php7.2-fpm.sock;
       fastcgi_pass php:9000;
       fastcgi_split_path_info ^(.+.php)(/.*)$;
      include fastcgi_params;
        fastcgi_param SCRIPT_FILENAME $realpath_root$fastcgi_script_name;
       fastcgi_param DOCUMENT_ROOT $realpath_root;
        fastcgi_buffer_size 128k;
       fastcgi_buffers 4 256k;
        fastcgi_busy_buffers_size 256k;
       internal;
    }

    location ~ .php$ {
        return 404;
    }

     error_log /var/log/nginx/project_error.log;
    access_log /var/log/nginx/project_access.log;
}

След това всъщност трябва да внедрим SSL. Честно казано, прекарах около 2 часа в изучаване на ком зоната. Всички предлагани варианти са интересни. Но на настоящия етап от проекта ние (бизнесът) трябваше бързо и надеждно да се завинтим SSL Let'sEnctypt к Nginx контейнер и нищо повече.

Първо го инсталирахме на сървъра certbot
sudo apt-get install certbot

След това генерирахме заместващи сертификати за нашия домейн

sudo certbot certonly -d stomup.ru -d *.stomup.ru --manual --preferred-challenges dns

след изпълнение, certbot ще ни предостави 2 TXT записа, които трябва да бъдат посочени в DNS настройките.

_acme-challenge.stomup.ru TXT {тотКлючКоторыйВамВыдалCertBot}

И натиснете enter.

След това certbot ще провери наличието на тези записи в DNS и ще създаде сертификати за вас.
ако сте добавили сертификат, но certbot не го намери - опитайте да рестартирате командата след 5-10 минути.

Е, ето ни горди собственици на Let'sEncrypt сертификат за 90 дни, но сега трябва да го качим в Docker.

За да направим това, по най-тривиалния начин, в docker-compose.yml, в секцията nginx, свързваме директориите.

Пример docker-compose.yml със SSL

version: '2'
services:
    php:
        build: ./php-fpm
        volumes:
            - ./StomUp:/var/www/StomUp
            - /etc/letsencrypt/live/stomup.ru/:/etc/letsencrypt/live/stomup.ru/
            - ./php-fpm/php.ini:/usr/local/etc/php/php.ini
        depends_on:
            - mysql
        container_name: "StomPHP"
    web:
        image: nginx:latest
        ports:
            - "80:80"
            - "443:443"
        volumes:
            - ./StomUp:/var/www/StomUp
            - /etc/letsencrypt/:/etc/letsencrypt/
            - ./nginx/main.conf:/etc/nginx/conf.d/default.conf
        depends_on:
            - php
    mysql:
        image: mysql:5.7
        command: mysqld --sql_mode=""
        environment:
            MYSQL_ROOT_PASSWORD: xxx
        ports:
            - "3333:3306"

Свързани? Страхотно - да продължим:

Сега трябва да променим конфигурацията Nginx да работя с 443 пристанище и SSL в общи линии:

Примерна конфигурация на main.conf с SSL

#
server {
	listen 443 ssl http2;
	listen [::]:443 ssl http2;

	server_name *.stomup.ru stomup.ru;
	set $base /var/www/StomUp;
	root $base/public;

	# SSL
	ssl_certificate /etc/letsencrypt/live/stomup.ru/fullchain.pem;
	ssl_certificate_key /etc/letsencrypt/live/stomup.ru/privkey.pem;
	ssl_trusted_certificate /etc/letsencrypt/live/stomup.ru/chain.pem;

      client_max_body_size 5M;

      location / {
          # try to serve file directly, fallback to index.php
          try_files $uri /index.php$is_args$args;
      }

      location ~ ^/index.php(/|$) {
          #fastcgi_pass unix:/var/run/php7.2-fpm.sock;
          fastcgi_pass php:9000;
          fastcgi_split_path_info ^(.+.php)(/.*)$;
          include fastcgi_params;
          fastcgi_param SCRIPT_FILENAME $realpath_root$fastcgi_script_name;
          fastcgi_param DOCUMENT_ROOT $realpath_root;
          fastcgi_buffer_size 128k;
          fastcgi_buffers 4 256k;
          fastcgi_busy_buffers_size 256k;
          internal;
      }

      location ~ .php$ {
          return 404;
      }

      error_log /var/log/nginx/project_error.log;
      access_log /var/log/nginx/project_access.log;
}


# HTTP redirect
server {
	listen 80;
	listen [::]:80;

	server_name *.stomup.ru stomup.ru;

	location / {
		return 301 https://stomup.ru$request_uri;
	}
}

Всъщност след тези манипулации отиваме в директорията с Docker-compose, пишем docker-compose up -d. И ние проверяваме функционалността на SSL. Всичко трябва да излети.

Основното нещо е да не забравяте, че сертификатът Let'sEnctypt се издава за 90 дни и ще трябва да го подновите чрез командата sudo certbot renewи след това рестартирайте проекта с командата docker-compose restart

Друг вариант е да добавите тази последователност към crontab.

Според мен това е най-лесният начин за свързване на SSL към уеб приложението Docker.

PS Моля, имайте предвид, че всички скриптове, представени в текста, не са окончателни, проектът сега е на етап Deep Dev, така че бих искал да ви помоля да не критикувате конфигурациите - те ще бъдат променяни многократно.

Източник: www.habr.com