پدې مقاله کې ، زه غواړم تاسو سره ستاسو د ویب غوښتنلیک لپاره د SSL سند رامینځته کولو لپاره میتود شریک کړم چې په ډاکر کې روان دی ، ځکه چې ... ما د انټرنیټ په روسی ژبه برخه کې داسې حل ونه موند.
نور جزیات د کټ لاندې.
موږ د docker v.17.05، docker-compose v.1.21، Ubuntu Server 18 او د خالص Let'sEncrypt یو پینټ درلود. دا نده چې دا اړینه ده چې په ډاکر کې تولید ځای په ځای کړئ. مګر یوځل چې تاسو د ډاکر جوړول پیل کړئ ، نو ودرول یې ستونزمن کیږي.
نو، د پیل کولو لپاره، زه به معیاري ترتیبات درکړم - کوم چې موږ د dev په مرحله کې درلود، د بیلګې په توګه. پرته له پورټ 443 او SSL په عمومي ډول:
ډاکر - compose.yml
version: '2'
services:
php:
build: ./php-fpm
volumes:
- ./StomUp:/var/www/StomUp
- ./php-fpm/php.ini:/usr/local/etc/php/php.ini
depends_on:
- mysql
container_name: "StomPHP"
web:
image: nginx:latest
ports:
- "80:80"
- "443:443"
volumes:
- ./StomUp:/var/www/StomUp
- ./nginx/main.conf:/etc/nginx/conf.d/default.conf
depends_on:
- php
mysql:
image: mysql:5.7
command: mysqld --sql_mode=""
environment:
MYSQL_ROOT_PASSWORD: xxx
ports:
- "3333:3306"
nginx/main.conf
server {
listen 80;
server_name *.stomup.ru stomup.ru;
root /var/www/StomUp/public;
client_max_body_size 5M;
location / {
# try to serve file directly, fallback to index.php
try_files $uri /index.php$is_args$args;
}
location ~ ^/index.php(/|$) {
#fastcgi_pass unix:/var/run/php7.2-fpm.sock;
fastcgi_pass php:9000;
fastcgi_split_path_info ^(.+.php)(/.*)$;
include fastcgi_params;
fastcgi_param SCRIPT_FILENAME $realpath_root$fastcgi_script_name;
fastcgi_param DOCUMENT_ROOT $realpath_root;
fastcgi_buffer_size 128k;
fastcgi_buffers 4 256k;
fastcgi_busy_buffers_size 256k;
internal;
}
location ~ .php$ {
return 404;
}
error_log /var/log/nginx/project_error.log;
access_log /var/log/nginx/project_access.log;
}
بل، موږ واقعیا د SSL پلي کولو ته اړتیا لرو. د ریښتیني کیدو لپاره ، ما شاوخوا 2 ساعته د کام زون په مطالعه کې تیر کړل. دلته وړاندیز شوي ټول اختیارونه په زړه پوري دي. مګر د پروژې په اوسني پړاو کې، موږ (سوداګرۍ) ته اړتیا درلوده چې په چټکه او باوري توګه پیچل کړو SSL راځئ چې Enctypt کړو к نګینکس کانتینر او نور څه نه.
لومړی، موږ دا په سرور کې نصب کړ تصدیق پاڼه
sudo apt-get install certbot
بیا، موږ د خپل ډومین لپاره د وائلډ کارډ سندونه تولید کړل
sudo certbot certonly -d stomup.ru -d *.stomup.ru --manual --preferred-challenges dns
د اجرا کولو وروسته، certbot به موږ ته د 2 TXT ریکارډونه چمتو کړي چې د DNS ترتیباتو کې مشخص کولو ته اړتیا لري.
_acme-challenge.stomup.ru TXT {тотКлючКоторыйВамВыдалCertBot}
او انټر فشار ورکړئ.
له دې وروسته ، سرټ بوټ به په DNS کې د دې ریکارډونو شتون وګوري او ستاسو لپاره سندونه رامینځته کړي.
که تاسو یو سند اضافه کړی وي مګر تصدیق پاڼه دا ونه موندل شو - د 5-10 دقیقو وروسته د کمانډ بیا پیل کولو هڅه وکړئ.
ښه، دلته موږ د 90 ورځو لپاره د Let'sEncrypt سند ویاړونکي مالکان یو، مګر اوس موږ اړتیا لرو چې دا ډاکر ته اپلوډ کړو.
د دې کولو لپاره، په خورا کوچني طریقه کې، په docker-compose.yml کې، د nginx برخه کې، موږ لارښودونه نښلوو.
د SSL سره docker-compose.yml بېلګه
version: '2'
services:
php:
build: ./php-fpm
volumes:
- ./StomUp:/var/www/StomUp
- /etc/letsencrypt/live/stomup.ru/:/etc/letsencrypt/live/stomup.ru/
- ./php-fpm/php.ini:/usr/local/etc/php/php.ini
depends_on:
- mysql
container_name: "StomPHP"
web:
image: nginx:latest
ports:
- "80:80"
- "443:443"
volumes:
- ./StomUp:/var/www/StomUp
- /etc/letsencrypt/:/etc/letsencrypt/
- ./nginx/main.conf:/etc/nginx/conf.d/default.conf
depends_on:
- php
mysql:
image: mysql:5.7
command: mysqld --sql_mode=""
environment:
MYSQL_ROOT_PASSWORD: xxx
ports:
- "3333:3306"
لینک شوی؟ عالي - راځئ چې دوام ورکړو:
اوس موږ اړتیا لرو چې ترتیب بدل کړو نګینکس سره کار کول 443 بندر او ایس ایس عموما:
د SSL سره main.conf ترتیب مثال
#
server {
listen 443 ssl http2;
listen [::]:443 ssl http2;
server_name *.stomup.ru stomup.ru;
set $base /var/www/StomUp;
root $base/public;
# SSL
ssl_certificate /etc/letsencrypt/live/stomup.ru/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/stomup.ru/privkey.pem;
ssl_trusted_certificate /etc/letsencrypt/live/stomup.ru/chain.pem;
client_max_body_size 5M;
location / {
# try to serve file directly, fallback to index.php
try_files $uri /index.php$is_args$args;
}
location ~ ^/index.php(/|$) {
#fastcgi_pass unix:/var/run/php7.2-fpm.sock;
fastcgi_pass php:9000;
fastcgi_split_path_info ^(.+.php)(/.*)$;
include fastcgi_params;
fastcgi_param SCRIPT_FILENAME $realpath_root$fastcgi_script_name;
fastcgi_param DOCUMENT_ROOT $realpath_root;
fastcgi_buffer_size 128k;
fastcgi_buffers 4 256k;
fastcgi_busy_buffers_size 256k;
internal;
}
location ~ .php$ {
return 404;
}
error_log /var/log/nginx/project_error.log;
access_log /var/log/nginx/project_access.log;
}
# HTTP redirect
server {
listen 80;
listen [::]:80;
server_name *.stomup.ru stomup.ru;
location / {
return 301 https://stomup.ru$request_uri;
}
}
په حقیقت کې، د دې لاسوهنو وروسته، موږ د Docker-compose سره ډایرکټر ته ځو، د docker-compose up -d لیکو. او موږ د SSL فعالیت چیک کوو. هرڅه باید واخیستل شي.
اصلي شی دا مه هیروئ چې د Let'sEnctypt سند د 90 ورځو لپاره صادر شوی او تاسو به یې د قوماندې له لارې نوي کولو ته اړتیا ولرئ sudo certbot renew
، او بیا د قوماندې سره پروژه بیا پیل کړئ docker-compose restart
بله لاره دا ده چې دا ترتیب په کرونټاب کې اضافه کړئ.
زما په نظر دا د ډاکر ویب ایپ سره د SSL سره وصل کولو ترټولو اسانه لار ده.
PS مهرباني وکړئ په پام کې ونیسئ چې په متن کې وړاندې شوي ټول سکریپټونه حتمي ندي ، پروژه اوس د ژور دیو مرحلې کې ده ، نو زه غواړم له تاسو څخه وغواړم چې په تشکیلاتو نیوکه مه کوئ - دوی به څو ځله تعدیل شي.
سرچینه: www.habr.com