Yn yr erthygl hon, rwyf am rannu gyda chi ddull ar gyfer creu tystysgrif SSL ar gyfer eich cymhwysiad gwe sy'n rhedeg ar Docker, oherwydd ... Wnes i ddim dod o hyd i ateb o'r fath yn y rhan Rwsieg o'r Rhyngrwyd.
Mwy o fanylion o dan y toriad.
Cawsom docker v.17.05, docker-compose v.1.21, Ubuntu Server 18 a pheint o Let'sEncrypt pur. Nid yw'n angenrheidiol i ddefnyddio cynhyrchu ar Docker. Ond ar Γ΄l i chi ddechrau adeiladu Docker, mae'n dod yn anodd rhoi'r gorau iddi.
Felly, i ddechrau, rhoddaf y gosodiadau safonol - a oedd gennym ar y cam dev, h.y. heb borthladd 443 a SSL yn gyffredinol:
docker-compose.yml
version: '2'
services:
php:
build: ./php-fpm
volumes:
- ./StomUp:/var/www/StomUp
- ./php-fpm/php.ini:/usr/local/etc/php/php.ini
depends_on:
- mysql
container_name: "StomPHP"
web:
image: nginx:latest
ports:
- "80:80"
- "443:443"
volumes:
- ./StomUp:/var/www/StomUp
- ./nginx/main.conf:/etc/nginx/conf.d/default.conf
depends_on:
- php
mysql:
image: mysql:5.7
command: mysqld --sql_mode=""
environment:
MYSQL_ROOT_PASSWORD: xxx
ports:
- "3333:3306"
nginx/main.conf
server {
listen 80;
server_name *.stomup.ru stomup.ru;
root /var/www/StomUp/public;
client_max_body_size 5M;
location / {
# try to serve file directly, fallback to index.php
try_files $uri /index.php$is_args$args;
}
location ~ ^/index.php(/|$) {
#fastcgi_pass unix:/var/run/php7.2-fpm.sock;
fastcgi_pass php:9000;
fastcgi_split_path_info ^(.+.php)(/.*)$;
include fastcgi_params;
fastcgi_param SCRIPT_FILENAME $realpath_root$fastcgi_script_name;
fastcgi_param DOCUMENT_ROOT $realpath_root;
fastcgi_buffer_size 128k;
fastcgi_buffers 4 256k;
fastcgi_busy_buffers_size 256k;
internal;
}
location ~ .php$ {
return 404;
}
error_log /var/log/nginx/project_error.log;
access_log /var/log/nginx/project_access.log;
}
Nesaf, mewn gwirionedd mae angen i ni weithredu SSL. I fod yn onest, treuliais tua 2 awr yn astudio'r parth com. Mae'r holl opsiynau a gynigir yno yn ddiddorol. Ond ar gam presennol y prosiect, roedd angen i ni (y busnes) sgriwio'n gyflym ac yn ddibynadwy SSL Let'sEnctyped ΠΊ nginx cynhwysydd a dim byd mwy.
Yn gyntaf oll, fe wnaethon ni ei osod ar y gweinydd certbot
sudo apt-get install certbot
Nesaf, fe wnaethom gynhyrchu tystysgrifau cerdyn gwyllt ar gyfer ein parth
sudo certbot certonly -d stomup.ru -d *.stomup.ru --manual --preferred-challenges dns
ar Γ΄l ei weithredu, bydd certbot yn darparu 2 gofnod TXT i ni y mae angen eu nodi yn y gosodiadau DNS.
_acme-challenge.stomup.ru TXT {ΡΠΎΡΠΠ»ΡΡΠΠΎΡΠΎΡΡΠΉΠΠ°ΠΌΠΡΠ΄Π°Π»CertBot}
A gwasgwch enter.
Ar Γ΄l hyn, bydd certbot yn gwirio am bresenoldeb y cofnodion hyn yn DNS ac yn creu tystysgrifau i chi.
os ydych wedi ychwanegu tystysgrif ond certbot heb ddod o hyd iddo - ceisiwch ailgychwyn y gorchymyn ar Γ΄l 5-10 munud.
Wel, dyma ni'n berchnogion balch tystysgrif Let'sEncrypt am 90 diwrnod, ond nawr mae angen i ni ei uwchlwytho i Docker.
I wneud hyn, yn y ffordd fwyaf dibwys, yn docker-compose.yml, yn yr adran nginx, rydym yn cysylltu'r cyfeiriaduron.
Enghraifft docker-compose.yml gyda SSL
version: '2'
services:
php:
build: ./php-fpm
volumes:
- ./StomUp:/var/www/StomUp
- /etc/letsencrypt/live/stomup.ru/:/etc/letsencrypt/live/stomup.ru/
- ./php-fpm/php.ini:/usr/local/etc/php/php.ini
depends_on:
- mysql
container_name: "StomPHP"
web:
image: nginx:latest
ports:
- "80:80"
- "443:443"
volumes:
- ./StomUp:/var/www/StomUp
- /etc/letsencrypt/:/etc/letsencrypt/
- ./nginx/main.conf:/etc/nginx/conf.d/default.conf
depends_on:
- php
mysql:
image: mysql:5.7
command: mysqld --sql_mode=""
environment:
MYSQL_ROOT_PASSWORD: xxx
ports:
- "3333:3306"
Wedi'i gysylltu? Gwych - gadewch i ni barhau:
Nawr mae angen i ni newid y ffurfwedd nginx i weithio gyda 443 porthladd a SSL yn gyffredinol:
Enghraifft main.conf config gyda SSL
#
server {
listen 443 ssl http2;
listen [::]:443 ssl http2;
server_name *.stomup.ru stomup.ru;
set $base /var/www/StomUp;
root $base/public;
# SSL
ssl_certificate /etc/letsencrypt/live/stomup.ru/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/stomup.ru/privkey.pem;
ssl_trusted_certificate /etc/letsencrypt/live/stomup.ru/chain.pem;
client_max_body_size 5M;
location / {
# try to serve file directly, fallback to index.php
try_files $uri /index.php$is_args$args;
}
location ~ ^/index.php(/|$) {
#fastcgi_pass unix:/var/run/php7.2-fpm.sock;
fastcgi_pass php:9000;
fastcgi_split_path_info ^(.+.php)(/.*)$;
include fastcgi_params;
fastcgi_param SCRIPT_FILENAME $realpath_root$fastcgi_script_name;
fastcgi_param DOCUMENT_ROOT $realpath_root;
fastcgi_buffer_size 128k;
fastcgi_buffers 4 256k;
fastcgi_busy_buffers_size 256k;
internal;
}
location ~ .php$ {
return 404;
}
error_log /var/log/nginx/project_error.log;
access_log /var/log/nginx/project_access.log;
}
# HTTP redirect
server {
listen 80;
listen [::]:80;
server_name *.stomup.ru stomup.ru;
location / {
return 301 https://stomup.ru$request_uri;
}
}
Mewn gwirionedd, ar Γ΄l y manipulations hyn, rydym yn mynd i'r cyfeiriadur gyda Docker-compose, ysgrifennu docker-compose up -d. Ac rydym yn gwirio ymarferoldeb SSL. Dylai popeth godi.
Y prif beth yw peidio ag anghofio bod y dystysgrif Let'sEnctypt yn cael ei chyhoeddi am 90 diwrnod a bydd angen i chi ei hadnewyddu trwy'r gorchymyn sudo certbot renew
, ac yna ailgychwyn y prosiect gyda'r gorchymyn docker-compose restart
Opsiwn arall yw ychwanegu'r dilyniant hwn i crontab.
Yn fy marn i dyma'r ffordd hawsaf o gysylltu SSL i Docker Web-app.
PS Cymerwch i ystyriaeth nad yw'r holl sgriptiau a gyflwynir yn y testun yn derfynol, mae'r prosiect bellach yn y cam Dev dwfn, felly hoffwn ofyn ichi beidio Γ’ beirniadu'r configs - byddant yn cael eu haddasu lawer gwaith.
Ffynhonnell: hab.com