SSL באַווייַזן פֿאַר דאָקער וועב-אַפּ

אין דעם אַרטיקל, איך ווילן צו טיילן מיט איר אַ אופֿן פֿאַר קריייטינג אַ SSL באַווייַזן פֿאַר דיין וועב אַפּלאַקיישאַן פליסנדיק אויף דאָקקער, ווייַל ... איך האָב ניט געפֿונען אַזאַ אַ לייזונג אין דער רוסיש-שפּראַך טייל פון דער אינטערנעץ.

מער דעטאַילס אונטער די אָפּטיילונג.

מיר האָבן docker v.17.05, docker-compose v.1.21, Ubuntu Server 18 און אַ פּינט פון ריין Let'sEncrypt. עס איז נישט אַז עס איז נייטיק צו צעוויקלען פּראָדוקציע אויף דאָקקער. אָבער אַמאָל איר אָנהייבן צו בויען דאָקער, עס ווערט שווער צו האַלטן.

אַזוי, צו אָנהייבן מיט, איך וועל געבן די נאָרמאַל סעטטינגס - וואָס מיר האָבן אין די דעוו בינע, ד.ה. אָן פּאָרט 443 און SSL אין אַלגעמיין:

דאָקקער-קאָמפּאָסע.ימל

version: '2'
services:
    php:
        build: ./php-fpm
        volumes:
            - ./StomUp:/var/www/StomUp
            - ./php-fpm/php.ini:/usr/local/etc/php/php.ini
        depends_on:
            - mysql
        container_name: "StomPHP"
    web:
        image: nginx:latest
        ports:
            - "80:80"
            - "443:443"
        volumes:
            - ./StomUp:/var/www/StomUp
            - ./nginx/main.conf:/etc/nginx/conf.d/default.conf
        depends_on:
            - php
    mysql:
        image: mysql:5.7
        command: mysqld --sql_mode=""
        environment:
            MYSQL_ROOT_PASSWORD: xxx
        ports:
            - "3333:3306"

nginx/main.conf

 server {
    listen 80;
    server_name *.stomup.ru stomup.ru;
   root /var/www/StomUp/public;
     client_max_body_size 5M;

    location / {
        # try to serve file directly, fallback to index.php
        try_files $uri /index.php$is_args$args;
  }

    location ~ ^/index.php(/|$) {
      #fastcgi_pass unix:/var/run/php7.2-fpm.sock;
       fastcgi_pass php:9000;
       fastcgi_split_path_info ^(.+.php)(/.*)$;
      include fastcgi_params;
        fastcgi_param SCRIPT_FILENAME $realpath_root$fastcgi_script_name;
       fastcgi_param DOCUMENT_ROOT $realpath_root;
        fastcgi_buffer_size 128k;
       fastcgi_buffers 4 256k;
        fastcgi_busy_buffers_size 256k;
       internal;
    }

    location ~ .php$ {
        return 404;
    }

     error_log /var/log/nginx/project_error.log;
    access_log /var/log/nginx/project_access.log;
}

דערנאָך, מיר טאַקע דאַרפֿן צו ינסטרומענט SSL. צו זיין ערלעך, איך פארבראכט וועגן 2 שעה צו לערנען די קאַם זאָנע. אַלע די אָפּציעס געפֿינט דאָרט זענען טשיקאַווע. אבער אין די קראַנט בינע פון ​​די פּרויעקט, מיר (די געשעפט) דארף צו געשווינד און רילייאַבלי שרויף SSL זאל סענקטיפּט к נגינקס קאַנטיינער און גאָרנישט מער.

ערשטער פון אַלע, מיר אינסטאַלירן עס אויף די סערווער certbot
sudo apt-get install certbot

דערנאָך, מיר דזשענערייטאַד ווילדקאַרד סערטיפיקאַץ פֿאַר אונדזער פעלד

sudo certbot certonly -d stomup.ru -d *.stomup.ru --manual --preferred-challenges dns

נאָך דורכפירונג, סערטבאָט וועט צושטעלן אונדז 2 טקסט רעקאָרדס וואָס דאַרפֿן צו זיין ספּעסיפיעד אין די דנס סעטטינגס.

_acme-challenge.stomup.ru TXT {тотКлючКоторыйВамВыдалCertBot}

און דריקן אַרייַן.

נאָך דעם, סערטבאָט וועט קאָנטראָלירן די בייַזייַן פון די רעקאָרדס אין דנס און שאַפֿן סערטיפיקאַץ פֿאַר איר.
אויב איר האָט צוגעגעבן אַ באַווייַזן אָבער certbot איך קען נישט געפֿינען עס - פּרוּווט ריסטאַרטינג די באַפֿעל נאָך 5-10 מינוט.

נו, דאָ מיר זענען די שטאָלץ אָונערז פון אַ Let'sEncrypt באַווייַזן פֿאַר 90 טעג, אָבער איצט מיר דאַרפֿן צו צופֿעליקער עס צו דאָקער.

צו טאָן דאָס, אין די מערסט טריוויאַל וועג, אין docker-compose.yml, אין די nginx אָפּטיילונג, מיר לינק די דירעקטעריז.

בייַשפּיל docker-compose.yml מיט ססל

version: '2'
services:
    php:
        build: ./php-fpm
        volumes:
            - ./StomUp:/var/www/StomUp
            - /etc/letsencrypt/live/stomup.ru/:/etc/letsencrypt/live/stomup.ru/
            - ./php-fpm/php.ini:/usr/local/etc/php/php.ini
        depends_on:
            - mysql
        container_name: "StomPHP"
    web:
        image: nginx:latest
        ports:
            - "80:80"
            - "443:443"
        volumes:
            - ./StomUp:/var/www/StomUp
            - /etc/letsencrypt/:/etc/letsencrypt/
            - ./nginx/main.conf:/etc/nginx/conf.d/default.conf
        depends_on:
            - php
    mysql:
        image: mysql:5.7
        command: mysqld --sql_mode=""
        environment:
            MYSQL_ROOT_PASSWORD: xxx
        ports:
            - "3333:3306"

פֿאַרבונדן? גרויס - לאָמיר פאָרזעצן:

איצט מיר דאַרפֿן צו טוישן די קאַנפיגיעריישאַן נגינקס צו אַרבעטן מיט 443 פּאָרט און ססל בכלל:

בייַשפּיל main.conf config מיט ססל

#
server {
	listen 443 ssl http2;
	listen [::]:443 ssl http2;

	server_name *.stomup.ru stomup.ru;
	set $base /var/www/StomUp;
	root $base/public;

	# SSL
	ssl_certificate /etc/letsencrypt/live/stomup.ru/fullchain.pem;
	ssl_certificate_key /etc/letsencrypt/live/stomup.ru/privkey.pem;
	ssl_trusted_certificate /etc/letsencrypt/live/stomup.ru/chain.pem;

      client_max_body_size 5M;

      location / {
          # try to serve file directly, fallback to index.php
          try_files $uri /index.php$is_args$args;
      }

      location ~ ^/index.php(/|$) {
          #fastcgi_pass unix:/var/run/php7.2-fpm.sock;
          fastcgi_pass php:9000;
          fastcgi_split_path_info ^(.+.php)(/.*)$;
          include fastcgi_params;
          fastcgi_param SCRIPT_FILENAME $realpath_root$fastcgi_script_name;
          fastcgi_param DOCUMENT_ROOT $realpath_root;
          fastcgi_buffer_size 128k;
          fastcgi_buffers 4 256k;
          fastcgi_busy_buffers_size 256k;
          internal;
      }

      location ~ .php$ {
          return 404;
      }

      error_log /var/log/nginx/project_error.log;
      access_log /var/log/nginx/project_access.log;
}


# HTTP redirect
server {
	listen 80;
	listen [::]:80;

	server_name *.stomup.ru stomup.ru;

	location / {
		return 301 https://stomup.ru$request_uri;
	}
}

אַקטואַללי, נאָך די מאַניפּיאַליישאַנז, מיר גיין צו די וועגווייַזער מיט Docker-compose, שרייַבן docker-compose up -d. און מיר קאָנטראָלירן די פאַנגקשאַנאַליטי פון SSL. אַלץ זאָל נעמען אַוועק.

די הויפּט זאַך איז נישט צו פאַרגעסן אַז די Let'sEnctypt באַווייַזן איז ארויס פֿאַר 90 טעג און איר וועט דאַרפֿן צו באַנייַען עס דורך די באַפֿעל. sudo certbot renew, און דעמאָלט ריסטאַרט די פּרויעקט מיט די באַפֿעל docker-compose restart

אן אנדער אָפּציע איז צו לייגן דעם סיקוואַנס צו Crontab.

אין מיין מיינונג, דאָס איז די יזיאַסט וועג צו פאַרבינדן ססל צו דאָקער וועב-אַפּ.

פּס ביטע נעמען אין חשבון אַז אַלע די סקריפּס דערלאנגט אין דעם טעקסט זענען נישט לעצט, די פּרויעקט איז איצט אין די טיף דעוו בינע, אַזוי איך וואָלט ווי צו פרעגן איר נישט צו קריטיקירן די קאַנפיגיעריישאַנז - זיי וועלן זיין מאַדאַפייד פילע מאָל.

מקור: www.habr.com