Как получить SSL Let’sEncrypt? У нас был docker v.17.05, docker-compose v.1.21, Ubuntu Server 18 и пинта чистого Let’sEncrypt. Не то что бы обязательно нужно было разворачивать продакшене на Docker. Но если начал собирать Docker, становится трудно остановиться.
Итак для начала приведу стандартные настройки — которые у нас были на этапе dev, т.е. без 443 порта и SSL в целом:
docker-compose.yml
version: '2' services: php: build: ./php-fpm volumes: - ./yourapp:/var/www/yourapp - ./php-fpm/php.ini:/usr/local/etc/php/php.ini depends_on: - mysql container_name: "yourapp" web: image: nginx:latest ports: - "80:80" - "443:443" volumes: - ./yourapp:/var/www/yourapp - ./nginx/main.conf:/etc/nginx/conf.d/default.conf depends_on: - php mysql: image: mysql:5.7 command: mysqld --sql_mode="" environment: MYSQL_ROOT_PASSWORD: xxx ports: - "3333:3306"
nginx/main.conf
server { listen 80; server_name *.yourapp.ru yourapp.ru; root /var/www/yourapp/public; client_max_body_size 5M; location / { # try to serve file directly, fallback to index.php try_files $uri /index.php$is_args$args; } location ~ ^/index\.php(/|$) { fastcgi_pass php:9000; fastcgi_split_path_info ^(.+\.php)(/.*)$; include fastcgi_params; fastcgi_param SCRIPT_FILENAME $realpath_root$fastcgi_script_name; fastcgi_param DOCUMENT_ROOT $realpath_root; fastcgi_buffer_size 128k; fastcgi_buffers 4 256k; fastcgi_busy_buffers_size 256k; internal; } location ~ \.php$ { return 404; } error_log /var/log/nginx/project_error.log; access_log /var/log/nginx/project_access.log; }
Далее собственно нам необходимо реализовать SSL. Честно сказать — штудировал com зону я порядка часов 2-х. Все предложенные варианты там — интересные. Но на текушем этапе проекта, нам(бизнесу) нужно было быстро и надежно прикрутить SSL Let’sEnctypt к nginx контейнеру и не более.
В первую очередь мы установили на сервер certbot
sudo apt-get install certbot
Далее мы сгенерили сертификаты wildcard для нашего домена
sudo certbot certonly -d yourapp.ru -d *.yourapp.ru --manual --preferred-challenges dns
после выполнения certbot предоставит нам 2 TXT записи, которые нужно указать в настройках DNS.
_acme-challenge.yourapp.ru TXT {тотКлючКоторыйВамВыдалCertBot}
И нажимаем enter.
После этого certbot проверит наличие этих записей в DNS и создаст для вас сертификаты.
если вы добавили сертификат, но certbot его не нашел — пробуйте перезапустить команду через 5-10 минут.
Ну вот мы и гордые обладатели Let’sEncrypt сертификата на 90 дней, но теперь нам нужно его прокинуть в Docker.
Для этого банальнейшим образом в docker-compose.yml, в секции nginx — прилинковываем дирректории.
version: '2' services: php: build: ./php-fpm volumes: - ./yourapp:/var/www/yourapp - /etc/letsencrypt/live/yourapp.ru/:/etc/letsencrypt/live/yourapp.ru/ - ./php-fpm/php.ini:/usr/local/etc/php/php.ini depends_on: - mysql container_name: "yourappPHP" web: image: nginx:latest ports: - "80:80" - "443:443" volumes: - ./yourapp:/var/www/yourapp - /etc/letsencrypt/:/etc/letsencrypt/ - ./nginx/main.conf:/etc/nginx/conf.d/default.conf depends_on: - php mysql: image: mysql:5.7 command: mysqld --sql_mode="" environment: MYSQL_ROOT_PASSWORD: xxx ports: - "3333:3306"
Прилинковали? Супер — продолжаем:
Теперь нам нужно изменить конфиг nginx на работу с 443 портом и SSL в целом:
# server { listen 443 ssl http2; listen [::]:443 ssl http2; server_name *.yourapp.ru yourapp.ru; set $base /var/www/yourapp; root $base/public; # SSL ssl_certificate /etc/letsencrypt/live/yourapp.ru/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/yourapp.ru/privkey.pem; ssl_trusted_certificate /etc/letsencrypt/live/yourapp.ru/chain.pem; client_max_body_size 5M; location / { # try to serve file directly, fallback to index.php try_files $uri /index.php$is_args$args; } location ~ ^/index\.php(/|$) { #fastcgi_pass unix:/var/run/php7.2-fpm.sock; fastcgi_pass php:9000; fastcgi_split_path_info ^(.+\.php)(/.*)$; include fastcgi_params; fastcgi_param SCRIPT_FILENAME $realpath_root$fastcgi_script_name; fastcgi_param DOCUMENT_ROOT $realpath_root; fastcgi_buffer_size 128k; fastcgi_buffers 4 256k; fastcgi_busy_buffers_size 256k; internal; } location ~ \.php$ { return 404; } error_log /var/log/nginx/project_error.log; access_log /var/log/nginx/project_access.log; } # HTTP redirect server { listen 80; listen [::]:80; server_name *.yourapp.ru yourapp.ru; location / { return 301 https://yourapp.ru$request_uri; } }
Собственно после этих манипуляций — идем в директорию с Docker-compose, пишем docker-compose up -d. И проверяем работоспособность SSL. Должно все взлететь.
Как получить SSL Let’sEncrypt, главное не забывайте что Let’sEnctypt сертификат выдается на 90 дней и вам необходимо будет его обновить через команду sudo certbot renew
, а после перезапустить проект командой docker-compose restart
Как вариант — добавить данную последовательность в crontab.
На мой взгляд это самый простой способ подключения SSL к Docker Web-app.
Но есть и альтернативный способ — используем Traefik в качестве прокси для контейнеров Docker.