In questu articulu, vogliu sparte cun voi un metudu per creà un certificatu SSL per a vostra applicazione web in esecuzione in Docker, perchè ... Ùn aghju micca trovu una tale suluzione in a parte in lingua russa di Internet.
Più dettagli sottu u cut.
Avemu avutu docker v.17.05, docker-compose v.1.21, Ubuntu Server 18 è una pinta di pura Let'sEncrypt. Ùn hè micca chì hè necessariu di implementà a produzzione in Docker. Ma quandu avete principiatu à custruisce Docker, diventa difficiule di piantà.
Allora, per cumincià, daraghju i paràmetri standard - chì avemu avutu in u stadiu di dev, i.e. senza portu 443 è SSL in generale:
docker-compose.yml
version: '2'
services:
php:
build: ./php-fpm
volumes:
- ./StomUp:/var/www/StomUp
- ./php-fpm/php.ini:/usr/local/etc/php/php.ini
depends_on:
- mysql
container_name: "StomPHP"
web:
image: nginx:latest
ports:
- "80:80"
- "443:443"
volumes:
- ./StomUp:/var/www/StomUp
- ./nginx/main.conf:/etc/nginx/conf.d/default.conf
depends_on:
- php
mysql:
image: mysql:5.7
command: mysqld --sql_mode=""
environment:
MYSQL_ROOT_PASSWORD: xxx
ports:
- "3333:3306"
nginx/main.conf
server {
listen 80;
server_name *.stomup.ru stomup.ru;
root /var/www/StomUp/public;
client_max_body_size 5M;
location / {
# try to serve file directly, fallback to index.php
try_files $uri /index.php$is_args$args;
}
location ~ ^/index.php(/|$) {
#fastcgi_pass unix:/var/run/php7.2-fpm.sock;
fastcgi_pass php:9000;
fastcgi_split_path_info ^(.+.php)(/.*)$;
include fastcgi_params;
fastcgi_param SCRIPT_FILENAME $realpath_root$fastcgi_script_name;
fastcgi_param DOCUMENT_ROOT $realpath_root;
fastcgi_buffer_size 128k;
fastcgi_buffers 4 256k;
fastcgi_busy_buffers_size 256k;
internal;
}
location ~ .php$ {
return 404;
}
error_log /var/log/nginx/project_error.log;
access_log /var/log/nginx/project_access.log;
}
Dopu, avemu bisognu di implementà SSL. Per esse onesto, aghju passatu circa 2 ore à studià a zona com. Tutte l'opzioni offerte quì sò interessanti. Ma in u stadiu attuale di u prugettu, noi (l'affari) avemu bisognu di sbulicà rapidamente è affidabile SSL Let'sEnctypt к nginx cuntainer è nunda di più.
Prima di tuttu, avemu stallatu nantu à u servitore certbot
sudo apt-get install certbot
Dopu, avemu generatu certificati wildcard per u nostru duminiu
sudo certbot certonly -d stomup.ru -d *.stomup.ru --manual --preferred-challenges dns
dopu à l'esekzione, certbot ci furnisce 2 registri TXT chì deve esse specificatu in i paràmetri DNS.
_acme-challenge.stomup.ru TXT {тотКлючКоторыйВамВыдалCertBot}
È appughjà enter.
Dopu questu, certbot verificarà a presenza di sti registri in DNS è creà certificati per voi.
se avete aghjustatu un certificatu ma certbot ùn l'avete trovu - pruvate à riavvia u cumandamentu dopu à 5-10 minuti.
Ebbè, quì simu i fieri pruprietarii di un certificatu Let'sEncrypt per 90 ghjorni, ma avà avemu bisognu di caricallu in Docker.
Per fà questu, in a manera più triviale, in docker-compose.yml, in a sezione nginx, ligate i cartulari.
Esempiu docker-compose.yml cù SSL
version: '2'
services:
php:
build: ./php-fpm
volumes:
- ./StomUp:/var/www/StomUp
- /etc/letsencrypt/live/stomup.ru/:/etc/letsencrypt/live/stomup.ru/
- ./php-fpm/php.ini:/usr/local/etc/php/php.ini
depends_on:
- mysql
container_name: "StomPHP"
web:
image: nginx:latest
ports:
- "80:80"
- "443:443"
volumes:
- ./StomUp:/var/www/StomUp
- /etc/letsencrypt/:/etc/letsencrypt/
- ./nginx/main.conf:/etc/nginx/conf.d/default.conf
depends_on:
- php
mysql:
image: mysql:5.7
command: mysqld --sql_mode=""
environment:
MYSQL_ROOT_PASSWORD: xxx
ports:
- "3333:3306"
Ligatu? Grande - cuntinuemu:
Avà avemu bisognu di cambià a cunfigurazione nginx per travaglià cun 443 portu è SSL in generale:
Esempiu main.conf config cù SSL
#
server {
listen 443 ssl http2;
listen [::]:443 ssl http2;
server_name *.stomup.ru stomup.ru;
set $base /var/www/StomUp;
root $base/public;
# SSL
ssl_certificate /etc/letsencrypt/live/stomup.ru/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/stomup.ru/privkey.pem;
ssl_trusted_certificate /etc/letsencrypt/live/stomup.ru/chain.pem;
client_max_body_size 5M;
location / {
# try to serve file directly, fallback to index.php
try_files $uri /index.php$is_args$args;
}
location ~ ^/index.php(/|$) {
#fastcgi_pass unix:/var/run/php7.2-fpm.sock;
fastcgi_pass php:9000;
fastcgi_split_path_info ^(.+.php)(/.*)$;
include fastcgi_params;
fastcgi_param SCRIPT_FILENAME $realpath_root$fastcgi_script_name;
fastcgi_param DOCUMENT_ROOT $realpath_root;
fastcgi_buffer_size 128k;
fastcgi_buffers 4 256k;
fastcgi_busy_buffers_size 256k;
internal;
}
location ~ .php$ {
return 404;
}
error_log /var/log/nginx/project_error.log;
access_log /var/log/nginx/project_access.log;
}
# HTTP redirect
server {
listen 80;
listen [::]:80;
server_name *.stomup.ru stomup.ru;
location / {
return 301 https://stomup.ru$request_uri;
}
}
In verità, dopu à sti manipulazioni, andemu à u cartulare cù Docker-compose, scrivite docker-compose up -d. E cuntrollemu a funziunalità di SSL. Tuttu duverebbe piglià.
A cosa principal ùn hè micca di scurdà chì u certificatu Let'sEnctypt hè emessu per 90 ghjorni è avete bisognu di rinnuvà cù u cumandimu. sudo certbot renew, è dopu ripigliate u prugettu cù u cumandimu docker-compose restart
Un'altra opzione hè di aghjunghje sta sequenza à crontab.
In u mo parè, questu hè u modu più faciule per cunnette SSL à Docker Web-app.
PS Per piacè piglià in contu chì tutti i scripts presentati in u testu ùn sò micca finali, u prugettu hè avà in u stadiu di Dev prufonda, per quessa, vogliu dumandà micca di criticà e cunfigurazioni - seranu mudificate parechje volte.
Source: www.habr.com