Как получить SSL Let’sEncrypt сертификат для Docker web-app

0
1464
Как получить SSL сертификат для Docker web-app
Как получить SSL сертификат для Docker web-app

Как получить SSL Let’sEncrypt? У нас был docker v.17.05, docker-compose v.1.21, Ubuntu Server 18 и пинта чистого Let’sEncrypt. Не то что бы обязательно нужно было разворачивать продакшене на Docker. Но если начал собирать Docker, становится трудно остановиться.

Итак для начала приведу стандартные настройки — которые у нас были на этапе dev, т.е. без 443 порта и SSL в целом:

docker-compose.yml

version: '2'
services:
    php:
        build: ./php-fpm
        volumes:
            - ./yourapp:/var/www/yourapp
            - ./php-fpm/php.ini:/usr/local/etc/php/php.ini
        depends_on:
            - mysql
        container_name: "yourapp"
    web:
        image: nginx:latest
        ports:
            - "80:80"
            - "443:443"
        volumes:
            - ./yourapp:/var/www/yourapp
            - ./nginx/main.conf:/etc/nginx/conf.d/default.conf
        depends_on:
            - php
    mysql:
        image: mysql:5.7
        command: mysqld --sql_mode=""
        environment:
            MYSQL_ROOT_PASSWORD: xxx
        ports:
            - "3333:3306"

nginx/main.conf

server {
    listen 80;
    server_name *.yourapp.ru yourapp.ru;
   root /var/www/yourapp/public;
     client_max_body_size 5M;

    location / {
        # try to serve file directly, fallback to index.php
        try_files $uri /index.php$is_args$args;
  }

    location ~ ^/index\.php(/|$) {
       fastcgi_pass php:9000;
       fastcgi_split_path_info ^(.+\.php)(/.*)$;
      include fastcgi_params;
        fastcgi_param SCRIPT_FILENAME $realpath_root$fastcgi_script_name;
       fastcgi_param DOCUMENT_ROOT $realpath_root;
        fastcgi_buffer_size 128k;
       fastcgi_buffers 4 256k;
        fastcgi_busy_buffers_size 256k;
       internal;
    }

    location ~ \.php$ {
        return 404;
    }

     error_log /var/log/nginx/project_error.log;
    access_log /var/log/nginx/project_access.log;
}

Далее собственно нам необходимо реализовать SSL. Честно сказать — штудировал com зону я порядка часов 2-х. Все предложенные варианты там — интересные. Но на текушем этапе проекта, нам(бизнесу) нужно было быстро и надежно прикрутить SSL Let’sEnctypt к nginx контейнеру и не более.

В первую очередь мы установили на сервер certbot
sudo apt-get install certbot

Далее мы сгенерили сертификаты wildcard для нашего домена

sudo certbot certonly -d yourapp.ru -d *.yourapp.ru --manual --preferred-challenges dns

после выполнения certbot предоставит нам 2 TXT записи, которые нужно указать в настройках DNS.

_acme-challenge.yourapp.ru TXT {тотКлючКоторыйВамВыдалCertBot}

И нажимаем enter.

После этого certbot проверит наличие этих записей в DNS и создаст для вас сертификаты.
если вы добавили сертификат, но certbot его не нашел — пробуйте перезапустить команду через 5-10 минут.

Ну вот мы и гордые обладатели Let’sEncrypt сертификата на 90 дней, но теперь нам нужно его прокинуть в Docker.

Для этого банальнейшим образом в docker-compose.yml, в секции nginx — прилинковываем дирректории.

Пример docker-compose.yml с SSL
version: '2'
services:
    php:
        build: ./php-fpm
        volumes:
            - ./yourapp:/var/www/yourapp
            - /etc/letsencrypt/live/yourapp.ru/:/etc/letsencrypt/live/yourapp.ru/
            - ./php-fpm/php.ini:/usr/local/etc/php/php.ini
        depends_on:
            - mysql
        container_name: "yourappPHP"
    web:
        image: nginx:latest
        ports:
            - "80:80"
            - "443:443"
        volumes:
            - ./yourapp:/var/www/yourapp
            - /etc/letsencrypt/:/etc/letsencrypt/
            - ./nginx/main.conf:/etc/nginx/conf.d/default.conf
        depends_on:
            - php
    mysql:
        image: mysql:5.7
        command: mysqld --sql_mode=""
        environment:
            MYSQL_ROOT_PASSWORD: xxx
        ports:
            - "3333:3306"

Прилинковали? Супер — продолжаем:

Теперь нам нужно изменить конфиг nginx на работу с 443 портом и SSL в целом:

Пример конфига main.conf с SSL
#
server {
    listen 443 ssl http2;
    listen [::]:443 ssl http2;

    server_name *.yourapp.ru yourapp.ru;
    set $base /var/www/yourapp;
    root $base/public;

    # SSL
    ssl_certificate /etc/letsencrypt/live/yourapp.ru/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/yourapp.ru/privkey.pem;
    ssl_trusted_certificate /etc/letsencrypt/live/yourapp.ru/chain.pem;

      client_max_body_size 5M;

      location / {
          # try to serve file directly, fallback to index.php
          try_files $uri /index.php$is_args$args;
      }

      location ~ ^/index\.php(/|$) {
          #fastcgi_pass unix:/var/run/php7.2-fpm.sock;
          fastcgi_pass php:9000;
          fastcgi_split_path_info ^(.+\.php)(/.*)$;
          include fastcgi_params;
          fastcgi_param SCRIPT_FILENAME $realpath_root$fastcgi_script_name;
          fastcgi_param DOCUMENT_ROOT $realpath_root;
          fastcgi_buffer_size 128k;
          fastcgi_buffers 4 256k;
          fastcgi_busy_buffers_size 256k;
          internal;
      }

      location ~ \.php$ {
          return 404;
      }

      error_log /var/log/nginx/project_error.log;
      access_log /var/log/nginx/project_access.log;
}


# HTTP redirect
server {
    listen 80;
    listen [::]:80;

    server_name *.yourapp.ru yourapp.ru;

    location / {
        return 301 https://yourapp.ru$request_uri;
    }
}

Собственно после этих манипуляций — идем в директорию с Docker-compose, пишем docker-compose up -d. И проверяем работоспособность SSL. Должно все взлететь.

Как получить SSL Let’sEncrypt, главное не забывайте что Let’sEnctypt сертификат выдается на 90 дней и вам необходимо будет его обновить через команду sudo certbot renew, а после перезапустить проект командой docker-compose restart

Как вариант — добавить данную последовательность в crontab.

На мой взгляд это самый простой способ подключения SSL к Docker Web-app.

Но есть и альтернативный способ — используем Traefik в качестве прокси для контейнеров Docker.