ProHoster > Π‘Π»ΠΎΠ³ > АдминистрированиС > SSL сСртификат для Docker web-app

SSL сСртификат для Docker web-app

Π’ Π΄Π°Π½Π½ΠΎΠΉ ΡΡ‚Π°Ρ‚ΡŒΠ΅ я Ρ…ΠΎΡ‡Ρƒ ΠΏΠΎΠ΄Π΅Π»ΠΈΡ‚ΡŒΡΡ с Π²Π°ΠΌΠΈ способом создания SSL сСртификата для вашСго Π²Π΅Π±-прилоТСния Ρ€Π°Π±ΠΎΡ‚Π°ΡŽΡ‰Π΅Π³ΠΎ Π½Π° Docker, Ρ‚.ΠΊ. Π² рускоязычной части ΠΈΠ½Ρ‚Π΅Ρ€Π½Π΅Ρ‚Π° β€” ΠΏΠΎΠ΄ΠΎΠ±Π½ΠΎΠ³ΠΎ Ρ€Π΅ΡˆΠ΅Π½ΠΈΡ я Π½Π΅ нашСл.

SSL сСртификат для Docker web-app

ΠŸΠΎΠ΄Ρ€ΠΎΠ±Π½Π΅Π΅ ΠΏΠΎΠ΄ ΠΊΠ°Ρ‚ΠΎΠΌ.

Π£ нас Π±Ρ‹Π» docker v.17.05, docker-compose v.1.21, Ubuntu Server 18 ΠΈ ΠΏΠΈΠ½Ρ‚Π° чистого Let’sEncrypt. НС Ρ‚ΠΎ Ρ‡Ρ‚ΠΎ Π±Ρ‹ ΠΎΠ±ΡΠ·Π°Ρ‚Π΅Π»ΡŒΠ½ΠΎ Π½ΡƒΠΆΠ½ΠΎ Π±Ρ‹Π»ΠΎ Ρ€Π°Π·Π²ΠΎΡ€Π°Ρ‡ΠΈΠ²Π°Ρ‚ΡŒ ΠΏΡ€ΠΎΠ΄Π°ΠΊΡˆΠ΅Π½ Π½Π° Docker. Но Ссли Π½Π°Ρ‡Π°Π» ΡΠΎΠ±ΠΈΡ€Π°Ρ‚ΡŒ Docker, становится Ρ‚Ρ€ΡƒΠ΄Π½ΠΎ ΠΎΡΡ‚Π°Π½ΠΎΠ²ΠΈΡ‚ΡŒΡΡ.

Π˜Ρ‚Π°ΠΊ для Π½Π°Ρ‡Π°Π»Π° ΠΏΡ€ΠΈΠ²Π΅Π΄Ρƒ стандартныС настройки β€” ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ Ρƒ нас Π±Ρ‹Π»ΠΈ Π½Π° этапС dev, Ρ‚.Π΅. Π±Π΅Π· 443 ΠΏΠΎΡ€Ρ‚Π° ΠΈ SSL Π² Ρ†Π΅Π»ΠΎΠΌ:

docker-compose.yml

version: '2'
services:
    php:
        build: ./php-fpm
        volumes:
            - ./StomUp:/var/www/StomUp
            - ./php-fpm/php.ini:/usr/local/etc/php/php.ini
        depends_on:
            - mysql
        container_name: "StomPHP"
    web:
        image: nginx:latest
        ports:
            - "80:80"
            - "443:443"
        volumes:
            - ./StomUp:/var/www/StomUp
            - ./nginx/main.conf:/etc/nginx/conf.d/default.conf
        depends_on:
            - php
    mysql:
        image: mysql:5.7
        command: mysqld --sql_mode=""
        environment:
            MYSQL_ROOT_PASSWORD: xxx
        ports:
            - "3333:3306"

nginx/main.conf

 server {
    listen 80;
    server_name *.stomup.ru stomup.ru;
   root /var/www/StomUp/public;
     client_max_body_size 5M;

    location / {
        # try to serve file directly, fallback to index.php
        try_files $uri /index.php$is_args$args;
  }

    location ~ ^/index.php(/|$) {
      #fastcgi_pass unix:/var/run/php7.2-fpm.sock;
       fastcgi_pass php:9000;
       fastcgi_split_path_info ^(.+.php)(/.*)$;
      include fastcgi_params;
        fastcgi_param SCRIPT_FILENAME $realpath_root$fastcgi_script_name;
       fastcgi_param DOCUMENT_ROOT $realpath_root;
        fastcgi_buffer_size 128k;
       fastcgi_buffers 4 256k;
        fastcgi_busy_buffers_size 256k;
       internal;
    }

    location ~ .php$ {
        return 404;
    }

     error_log /var/log/nginx/project_error.log;
    access_log /var/log/nginx/project_access.log;
}

Π”Π°Π»Π΅Π΅ собствСнно Π½Π°ΠΌ Π½Π΅ΠΎΠ±Ρ…ΠΎΠ΄ΠΈΠΌΠΎ Ρ€Π΅Π°Π»ΠΈΠ·ΠΎΠ²Π°Ρ‚ΡŒ SSL. ЧСстно ΡΠΊΠ°Π·Π°Ρ‚ΡŒ β€” ΡˆΡ‚ΡƒΠ΄ΠΈΡ€ΠΎΠ²Π°Π» com Π·ΠΎΠ½Ρƒ я порядка часов 2-Ρ…. ВсС ΠΏΡ€Π΅Π΄Π»ΠΎΠΆΠ΅Π½Π½Ρ‹Π΅ Π²Π°Ρ€ΠΈΠ°Π½Ρ‚Ρ‹ Ρ‚Π°ΠΌ β€” интСрСсныС. Но Π½Π° Ρ‚Π΅ΠΊΡƒΡˆΠ΅ΠΌ этапС ΠΏΡ€ΠΎΠ΅ΠΊΡ‚Π°, Π½Π°ΠΌ(бизнСсу) Π½ΡƒΠΆΠ½ΠΎ Π±Ρ‹Π»ΠΎ быстро ΠΈ Π½Π°Π΄Π΅ΠΆΠ½ΠΎ ΠΏΡ€ΠΈΠΊΡ€ΡƒΡ‚ΠΈΡ‚ΡŒ SSL Let’sEnctypt ΠΊ nginx ΠΊΠΎΠ½Ρ‚Π΅ΠΉΠ½Π΅Ρ€Ρƒ ΠΈ Π½Π΅ Π±ΠΎΠ»Π΅Π΅.

Π’ ΠΏΠ΅Ρ€Π²ΡƒΡŽ ΠΎΡ‡Π΅Ρ€Π΅Π΄ΡŒ ΠΌΡ‹ установили Π½Π° сСрвСр certbot
sudo apt-get install certbot

Π”Π°Π»Π΅Π΅ ΠΌΡ‹ сгСнСрили сСртификаты wildcard для нашСго Π΄ΠΎΠΌΠ΅Π½Π°

sudo certbot certonly -d stomup.ru -d *.stomup.ru --manual --preferred-challenges dns


послС выполнСния certbot прСдоставит Π½Π°ΠΌ 2 TXT записи, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ Π½ΡƒΠΆΠ½ΠΎ ΡƒΠΊΠ°Π·Π°Ρ‚ΡŒ Π² настройках DNS. 

_acme-challenge.stomup.ru TXT {Ρ‚ΠΎΡ‚ΠšΠ»ΡŽΡ‡ΠšΠΎΡ‚ΠΎΡ€Ρ‹ΠΉΠ’Π°ΠΌΠ’Ρ‹Π΄Π°Π»CertBot}


И наТимаСм enter.

ПослС этого certbot ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΈΡ‚ Π½Π°Π»ΠΈΡ‡ΠΈΠ΅ этих записСй Π² DNS ΠΈ создаст для вас сСртификаты.
Ссли Π²Ρ‹ Π΄ΠΎΠ±Π°Π²ΠΈΠ»ΠΈ сСртификат, Π½ΠΎ certbot Π΅Π³ΠΎ Π½Π΅ нашСл β€” ΠΏΡ€ΠΎΠ±ΡƒΠΉΡ‚Π΅ ΠΏΠ΅Ρ€Π΅Π·Π°ΠΏΡƒΡΡ‚ΠΈΡ‚ΡŒ ΠΊΠΎΠΌΠ°Π½Π΄Ρƒ Ρ‡Π΅Ρ€Π΅Π· 5-10 ΠΌΠΈΠ½ΡƒΡ‚.

Ну Π²ΠΎΡ‚ ΠΌΡ‹ ΠΈ Π³ΠΎΡ€Π΄Ρ‹Π΅ ΠΎΠ±Π»Π°Π΄Π°Ρ‚Π΅Π»ΠΈ Let’sEncrypt сСртификата Π½Π° 90 Π΄Π½Π΅ΠΉ, Π½ΠΎ Ρ‚Π΅ΠΏΠ΅Ρ€ΡŒ Π½Π°ΠΌ Π½ΡƒΠΆΠ½ΠΎ Π΅Π³ΠΎ ΠΏΡ€ΠΎΠΊΠΈΠ½ΡƒΡ‚ΡŒ Π² Docker.

Для этого банальнСйшим ΠΎΠ±Ρ€Π°Π·ΠΎΠΌ Π² docker-compose.yml, Π² сСкции nginx β€” ΠΏΡ€ΠΈΠ»ΠΈΠ½ΠΊΠΎΠ²Ρ‹Π²Π°Π΅ΠΌ Π΄ΠΈΡ€Ρ€Π΅ΠΊΡ‚ΠΎΡ€ΠΈΠΈ.

ΠŸΡ€ΠΈΠΌΠ΅Ρ€ docker-compose.yml с SSL

version: '2'
services:
    php:
        build: ./php-fpm
        volumes:
            - ./StomUp:/var/www/StomUp
            - /etc/letsencrypt/live/stomup.ru/:/etc/letsencrypt/live/stomup.ru/
            - ./php-fpm/php.ini:/usr/local/etc/php/php.ini
        depends_on:
            - mysql
        container_name: "StomPHP"
    web:
        image: nginx:latest
        ports:
            - "80:80"
            - "443:443"
        volumes:
            - ./StomUp:/var/www/StomUp
            - /etc/letsencrypt/:/etc/letsencrypt/
            - ./nginx/main.conf:/etc/nginx/conf.d/default.conf
        depends_on:
            - php
    mysql:
        image: mysql:5.7
        command: mysqld --sql_mode=""
        environment:
            MYSQL_ROOT_PASSWORD: xxx
        ports:
            - "3333:3306"

ΠŸΡ€ΠΈΠ»ΠΈΠ½ΠΊΠΎΠ²Π°Π»ΠΈ? Π‘ΡƒΠΏΠ΅Ρ€ β€” ΠΏΡ€ΠΎΠ΄ΠΎΠ»ΠΆΠ°Π΅ΠΌ:

Π’Π΅ΠΏΠ΅Ρ€ΡŒ Π½Π°ΠΌ Π½ΡƒΠΆΠ½ΠΎ ΠΈΠ·ΠΌΠ΅Π½ΠΈΡ‚ΡŒ ΠΊΠΎΠ½Ρ„ΠΈΠ³ nginx Π½Π° Ρ€Π°Π±ΠΎΡ‚Ρƒ с 443 ΠΏΠΎΡ€Ρ‚ΠΎΠΌ ΠΈ SSL Π² Ρ†Π΅Π»ΠΎΠΌ:

ΠŸΡ€ΠΈΠΌΠ΅Ρ€ ΠΊΠΎΠ½Ρ„ΠΈΠ³Π° main.conf с SSL

#
server {
	listen 443 ssl http2;
	listen [::]:443 ssl http2;

	server_name *.stomup.ru stomup.ru;
	set $base /var/www/StomUp;
	root $base/public;

	# SSL
	ssl_certificate /etc/letsencrypt/live/stomup.ru/fullchain.pem;
	ssl_certificate_key /etc/letsencrypt/live/stomup.ru/privkey.pem;
	ssl_trusted_certificate /etc/letsencrypt/live/stomup.ru/chain.pem;

      client_max_body_size 5M;

      location / {
          # try to serve file directly, fallback to index.php
          try_files $uri /index.php$is_args$args;
      }

      location ~ ^/index.php(/|$) {
          #fastcgi_pass unix:/var/run/php7.2-fpm.sock;
          fastcgi_pass php:9000;
          fastcgi_split_path_info ^(.+.php)(/.*)$;
          include fastcgi_params;
          fastcgi_param SCRIPT_FILENAME $realpath_root$fastcgi_script_name;
          fastcgi_param DOCUMENT_ROOT $realpath_root;
          fastcgi_buffer_size 128k;
          fastcgi_buffers 4 256k;
          fastcgi_busy_buffers_size 256k;
          internal;
      }

      location ~ .php$ {
          return 404;
      }

      error_log /var/log/nginx/project_error.log;
      access_log /var/log/nginx/project_access.log;
}


# HTTP redirect
server {
	listen 80;
	listen [::]:80;

	server_name *.stomup.ru stomup.ru;

	location / {
		return 301 https://stomup.ru$request_uri;
	}
}

БобствСнно послС этих манипуляций β€” ΠΈΠ΄Π΅ΠΌ Π² Π΄ΠΈΡ€Ρ€Π΅ΠΊΡ‚ΠΎΡ€ΠΈΡŽ с Docker-compose, пишСм docker-compose up -d. И провСряСм Ρ€Π°Π±ΠΎΡ‚ΠΎΡΠΏΠΎΡΠΎΠ±Π½ΠΎΡΡ‚ΡŒ SSL. Π”ΠΎΠ»ΠΆΠ½ΠΎ всС Π²Π·Π»Π΅Ρ‚Π΅Ρ‚ΡŒ.

Π“Π»Π°Π²Π½ΠΎΠ΅ Π½Π΅ Π·Π°Π±Ρ‹Π²Π°ΠΉΡ‚Π΅ Ρ‡Ρ‚ΠΎ Let’sEnctypt сСртификат выдаСтся Π½Π° 90 Π΄Π½Π΅ΠΉ ΠΈ Π²Π°ΠΌ Π½Π΅ΠΎΠ±Ρ…ΠΎΠ΄ΠΈΠΌΠΎ Π±ΡƒΠ΄Π΅Ρ‚ Π΅Π³ΠΎ ΠΎΠ±Π½ΠΎΠ²ΠΈΡ‚ΡŒ Ρ‡Π΅Ρ€Π΅Π· ΠΊΠΎΠΌΠ°Π½Π΄Ρƒ sudo certbot renew, Π° послС ΠΏΠ΅Ρ€Π΅Π·Π°ΠΏΡƒΡΡ‚ΠΈΡ‚ΡŒ ΠΏΡ€ΠΎΠ΅ΠΊΡ‚ ΠΊΠΎΠΌΠ°Π½Π΄ΠΎΠΉ docker-compose restart

Как Π²Π°Ρ€ΠΈΠ°Π½Ρ‚ β€” Π΄ΠΎΠ±Π°Π²ΠΈΡ‚ΡŒ Π΄Π°Π½Π½ΡƒΡŽ ΠΏΠΎΡΠ»Π΅Π΄ΠΎΠ²Π°Ρ‚Π΅Π»ΡŒΠ½ΠΎΡΡ‚ΡŒ Π² crontab.

На ΠΌΠΎΠΉ взгляд это самый простой способ ΠΏΠΎΠ΄ΠΊΠ»ΡŽΡ‡Π΅Π½ΠΈΡ SSL ΠΊ Docker Web-app.

P.S. ΠŸΡ€ΠΎΡˆΡƒ ΠΏΡ€ΠΈΠ½ΡΡ‚ΡŒ Π²ΠΎ Π²Π½ΠΈΠΌΠ°Π½ΠΈΠ΅ Ρ‡Ρ‚ΠΎ всС скрипты прСдставлСнныС Π² тСкстС β€” Π½Π΅ ΠΎΠΊΠΎΠ½Ρ‡Π°Ρ‚Π΅Π»ΡŒΠ½Ρ‹, сСйчас ΠΏΡ€ΠΎΠ΅ΠΊΡ‚ находится Π½Π° стадии Π³Π»ΡƒΠ±ΠΎΠΊΠΎΠ³ΠΎ Dev, ΠΏΠΎ этому Ρ…ΠΎΡ‡Ρƒ вас ΠΏΠΎΠΏΡ€ΠΎΡΠΈΡ‚ΡŒ Π½Π΅ ΠΊΡ€ΠΈΡ‚ΠΈΠΊΠΎΠ²Π°Ρ‚ΡŒ ΠΊΠΎΠ½Ρ„ΠΈΠ³ΠΈ- ΠΎΠ½ΠΈ Π±ΡƒΠ΄ΡƒΡ‚ Π΅Ρ‰Π΅ ΠΌΠ½ΠΎΠ³ΠΎ Ρ€Π°Π· Π²ΠΈΠ΄ΠΎΠΈΠ·ΠΌΠ΅Π½ΡΡ‚ΡŒΡΡ.

Π˜ΡΡ‚ΠΎΡ‡Π½ΠΈΠΊ: habr.com