В данной статье я хочу поделиться с вами способом создания SSL сертификата для вашего веб-приложения работающего на Docker, т.к. в рускоязычной части интернета — подобного решения я не нашел.
Подробнее под катом.
У нас был docker v.17.05, docker-compose v.1.21, Ubuntu Server 18 и пинта чистого Let'sEncrypt. Не то что бы обязательно нужно было разворачивать продакшен на Docker. Но если начал собирать Docker, становится трудно остановиться.
Итак для начала приведу стандартные настройки — которые у нас были на этапе dev, т.е. без 443 порта и SSL в целом:
version: '2'
services:
php:
build: ./php-fpm
volumes:
- ./StomUp:/var/www/StomUp
- ./php-fpm/php.ini:/usr/local/etc/php/php.ini
depends_on:
- mysql
container_name: "StomPHP"
web:
image: nginx:latest
ports:
- "80:80"
- "443:443"
volumes:
- ./StomUp:/var/www/StomUp
- ./nginx/main.conf:/etc/nginx/conf.d/default.conf
depends_on:
- php
mysql:
image: mysql:5.7
command: mysqld --sql_mode=""
environment:
MYSQL_ROOT_PASSWORD: xxx
ports:
- "3333:3306"
server {
listen 80;
server_name *.stomup.ru stomup.ru;
root /var/www/StomUp/public;
client_max_body_size 5M;
location / {
# try to serve file directly, fallback to index.php
try_files $uri /index.php$is_args$args;
}
location ~ ^/index.php(/|$) {
#fastcgi_pass unix:/var/run/php7.2-fpm.sock;
fastcgi_pass php:9000;
fastcgi_split_path_info ^(.+.php)(/.*)$;
include fastcgi_params;
fastcgi_param SCRIPT_FILENAME $realpath_root$fastcgi_script_name;
fastcgi_param DOCUMENT_ROOT $realpath_root;
fastcgi_buffer_size 128k;
fastcgi_buffers 4 256k;
fastcgi_busy_buffers_size 256k;
internal;
}
location ~ .php$ {
return 404;
}
error_log /var/log/nginx/project_error.log;
access_log /var/log/nginx/project_access.log;
}
Далее собственно нам необходимо реализовать SSL. Честно сказать — штудировал com зону я порядка часов 2-х. Все предложенные варианты там — интересные. Но на текушем этапе проекта, нам(бизнесу) нужно было быстро и надежно прикрутить SSL Let'sEnctypt к nginx контейнеру и не более.
В первую очередь мы установили на сервер certbot
sudo apt-get install certbot
Далее мы сгенерили сертификаты wildcard для нашего домена
sudo certbot certonly -d stomup.ru -d *.stomup.ru --manual --preferred-challenges dns
после выполнения certbot предоставит нам 2 TXT записи, которые нужно указать в настройках DNS.
_acme-challenge.stomup.ru TXT {тотКлючКоторыйВамВыдалCertBot}
И нажимаем enter.
После этого certbot проверит наличие этих записей в DNS и создаст для вас сертификаты.
если вы добавили сертификат, но certbot его не нашел — пробуйте перезапустить команду через 5-10 минут.
Ну вот мы и гордые обладатели Let'sEncrypt сертификата на 90 дней, но теперь нам нужно его прокинуть в Docker.
Для этого банальнейшим образом в docker-compose.yml, в секции nginx — прилинковываем дирректории.
version: '2'
services:
php:
build: ./php-fpm
volumes:
- ./StomUp:/var/www/StomUp
- /etc/letsencrypt/live/stomup.ru/:/etc/letsencrypt/live/stomup.ru/
- ./php-fpm/php.ini:/usr/local/etc/php/php.ini
depends_on:
- mysql
container_name: "StomPHP"
web:
image: nginx:latest
ports:
- "80:80"
- "443:443"
volumes:
- ./StomUp:/var/www/StomUp
- /etc/letsencrypt/:/etc/letsencrypt/
- ./nginx/main.conf:/etc/nginx/conf.d/default.conf
depends_on:
- php
mysql:
image: mysql:5.7
command: mysqld --sql_mode=""
environment:
MYSQL_ROOT_PASSWORD: xxx
ports:
- "3333:3306"
Прилинковали? Супер — продолжаем:
Теперь нам нужно изменить конфиг nginx на работу с 443 портом и SSL в целом:
#
server {
listen 443 ssl http2;
listen [::]:443 ssl http2;
server_name *.stomup.ru stomup.ru;
set $base /var/www/StomUp;
root $base/public;
# SSL
ssl_certificate /etc/letsencrypt/live/stomup.ru/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/stomup.ru/privkey.pem;
ssl_trusted_certificate /etc/letsencrypt/live/stomup.ru/chain.pem;
client_max_body_size 5M;
location / {
# try to serve file directly, fallback to index.php
try_files $uri /index.php$is_args$args;
}
location ~ ^/index.php(/|$) {
#fastcgi_pass unix:/var/run/php7.2-fpm.sock;
fastcgi_pass php:9000;
fastcgi_split_path_info ^(.+.php)(/.*)$;
include fastcgi_params;
fastcgi_param SCRIPT_FILENAME $realpath_root$fastcgi_script_name;
fastcgi_param DOCUMENT_ROOT $realpath_root;
fastcgi_buffer_size 128k;
fastcgi_buffers 4 256k;
fastcgi_busy_buffers_size 256k;
internal;
}
location ~ .php$ {
return 404;
}
error_log /var/log/nginx/project_error.log;
access_log /var/log/nginx/project_access.log;
}
# HTTP redirect
server {
listen 80;
listen [::]:80;
server_name *.stomup.ru stomup.ru;
location / {
return 301 https://stomup.ru$request_uri;
}
}
Собственно после этих манипуляций — идем в дирректорию с Docker-compose, пишем docker-compose up -d. И проверяем работоспособность SSL. Должно все взлететь.
Главное не забывайте что Let'sEnctypt сертификат выдается на 90 дней и вам необходимо будет его обновить через команду sudo certbot renew
, а после перезапустить проект командой docker-compose restart
Как вариант — добавить данную последовательность в crontab.
На мой взгляд это самый простой способ подключения SSL к Docker Web-app.
P.S. Прошу принять во внимание что все скрипты представленные в тексте — не окончательны, сейчас проект находится на стадии глубокого Dev, по этому хочу вас попросить не критиковать конфиги- они будут еще много раз видоизменяться.
Автор: Overvoid