I denne artikkelen vil jeg dele med deg en metode for å lage et SSL-sertifikat for nettapplikasjonen din som kjører på Docker, fordi... Jeg fant ikke en slik løsning på den russiskspråklige delen av Internett.
Flere detaljer under kuttet.
Vi hadde docker v.17.05, docker-compose v.1.21, Ubuntu Server 18 og en halvliter ren Let'sEncrypt. Det er ikke det at det er nødvendig å distribuere produksjon på Docker. Men når du først begynner å bygge Docker, blir det vanskelig å stoppe.
Så til å begynne med vil jeg gi standardinnstillingene - som vi hadde på utviklingsstadiet, dvs. uten port 443 og SSL generelt:
Docker-compose.yml
version: '2'
services:
php:
build: ./php-fpm
volumes:
- ./StomUp:/var/www/StomUp
- ./php-fpm/php.ini:/usr/local/etc/php/php.ini
depends_on:
- mysql
container_name: "StomPHP"
web:
image: nginx:latest
ports:
- "80:80"
- "443:443"
volumes:
- ./StomUp:/var/www/StomUp
- ./nginx/main.conf:/etc/nginx/conf.d/default.conf
depends_on:
- php
mysql:
image: mysql:5.7
command: mysqld --sql_mode=""
environment:
MYSQL_ROOT_PASSWORD: xxx
ports:
- "3333:3306"
nginx/main.conf
server {
listen 80;
server_name *.stomup.ru stomup.ru;
root /var/www/StomUp/public;
client_max_body_size 5M;
location / {
# try to serve file directly, fallback to index.php
try_files $uri /index.php$is_args$args;
}
location ~ ^/index.php(/|$) {
#fastcgi_pass unix:/var/run/php7.2-fpm.sock;
fastcgi_pass php:9000;
fastcgi_split_path_info ^(.+.php)(/.*)$;
include fastcgi_params;
fastcgi_param SCRIPT_FILENAME $realpath_root$fastcgi_script_name;
fastcgi_param DOCUMENT_ROOT $realpath_root;
fastcgi_buffer_size 128k;
fastcgi_buffers 4 256k;
fastcgi_busy_buffers_size 256k;
internal;
}
location ~ .php$ {
return 404;
}
error_log /var/log/nginx/project_error.log;
access_log /var/log/nginx/project_access.log;
}
Deretter må vi faktisk implementere SSL. For å være ærlig brukte jeg omtrent 2 timer på å studere com-sonen. Alle alternativene som tilbys der er interessante. Men på det nåværende stadiet av prosjektet trengte vi (bedriften) å skru raskt og pålitelig SSL Let'sEnctypt к nginx container og ingenting mer.
Først av alt installerte vi det på serveren certbot
sudo apt-get install certbot
Deretter genererte vi jokertegnsertifikater for domenet vårt
sudo certbot certonly -d stomup.ru -d *.stomup.ru --manual --preferred-challenges dns
etter kjøring vil certbot gi oss 2 TXT-poster som må spesifiseres i DNS-innstillingene.
_acme-challenge.stomup.ru TXT {тотКлючКоторыйВамВыдалCertBot}
Og trykk enter.
Etter dette vil certbot sjekke tilstedeværelsen av disse postene i DNS og opprette sertifikater for deg.
hvis du har lagt til et sertifikat men certbot fant den ikke - prøv å starte kommandoen på nytt etter 5-10 minutter.
Vel, her er vi de stolte eierne av et Let'sEncrypt-sertifikat i 90 dager, men nå må vi laste det opp til Docker.
For å gjøre dette, på den mest trivielle måten, i docker-compose.yml, i nginx-delen, kobler vi katalogene.
Eksempel docker-compose.yml med SSL
version: '2'
services:
php:
build: ./php-fpm
volumes:
- ./StomUp:/var/www/StomUp
- /etc/letsencrypt/live/stomup.ru/:/etc/letsencrypt/live/stomup.ru/
- ./php-fpm/php.ini:/usr/local/etc/php/php.ini
depends_on:
- mysql
container_name: "StomPHP"
web:
image: nginx:latest
ports:
- "80:80"
- "443:443"
volumes:
- ./StomUp:/var/www/StomUp
- /etc/letsencrypt/:/etc/letsencrypt/
- ./nginx/main.conf:/etc/nginx/conf.d/default.conf
depends_on:
- php
mysql:
image: mysql:5.7
command: mysqld --sql_mode=""
environment:
MYSQL_ROOT_PASSWORD: xxx
ports:
- "3333:3306"
Koblet? Flott - la oss fortsette:
Nå må vi endre konfigurasjonen nginx å jobbe med 443 port og SSL som regel:
Eksempel main.conf config med SSL
#
server {
listen 443 ssl http2;
listen [::]:443 ssl http2;
server_name *.stomup.ru stomup.ru;
set $base /var/www/StomUp;
root $base/public;
# SSL
ssl_certificate /etc/letsencrypt/live/stomup.ru/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/stomup.ru/privkey.pem;
ssl_trusted_certificate /etc/letsencrypt/live/stomup.ru/chain.pem;
client_max_body_size 5M;
location / {
# try to serve file directly, fallback to index.php
try_files $uri /index.php$is_args$args;
}
location ~ ^/index.php(/|$) {
#fastcgi_pass unix:/var/run/php7.2-fpm.sock;
fastcgi_pass php:9000;
fastcgi_split_path_info ^(.+.php)(/.*)$;
include fastcgi_params;
fastcgi_param SCRIPT_FILENAME $realpath_root$fastcgi_script_name;
fastcgi_param DOCUMENT_ROOT $realpath_root;
fastcgi_buffer_size 128k;
fastcgi_buffers 4 256k;
fastcgi_busy_buffers_size 256k;
internal;
}
location ~ .php$ {
return 404;
}
error_log /var/log/nginx/project_error.log;
access_log /var/log/nginx/project_access.log;
}
# HTTP redirect
server {
listen 80;
listen [::]:80;
server_name *.stomup.ru stomup.ru;
location / {
return 301 https://stomup.ru$request_uri;
}
}
Faktisk, etter disse manipulasjonene, går vi til katalogen med Docker-compose, skriver docker-compose up -d. Og vi sjekker funksjonaliteten til SSL. Alt skal ta av.
Det viktigste er ikke å glemme at Let'sEnctypt-sertifikatet er utstedt i 90 dager, og du må fornye det gjennom kommandoen sudo certbot renew, og start deretter prosjektet på nytt med kommandoen docker-compose restart
Et annet alternativ er å legge til denne sekvensen i crontab.
Etter min mening er dette den enkleste måten å koble SSL til Docker Web-app.
PS Vennligst ta i betraktning at alle skriptene som presenteres i teksten ikke er endelige, prosjektet er nå på det dype Dev-stadiet, så jeg vil be deg om ikke å kritisere konfigurasjonene - de vil bli endret mange ganger.
Kilde: www.habr.com