docker nginx + https 子域名配置詳細教程
發(fā)布時(shí)間:2021-08-15 18:37
來(lái)源:
閱讀:0
作者:稀土掘金
欄目: 服務(wù)器
歡迎投稿:712375056
今天剛好要幫朋友的服務(wù)器搬家�,因此把服務(wù)器的基礎設備都配置了一次, 但在配置的時(shí)候遇到了一些問(wèn)題��。原來(lái)現在的 google chrome / safari 是會(huì ) 強制性把http轉換成為https �����。
剛開(kāi)始的時(shí)候并不知道什么回事��,還將域名的記錄重新設置了一遍�。而且在 ping 的時(shí)候域名是能夠成功被解析出服務(wù)器地址的����,因此把矛頭轉向了 http -> https的過(guò)程中 ��,我用微信的內置的瀏覽器發(fā)現是能夠訪(fǎng)問(wèn)http的域名���。因此要設置一下ssl/' target='_blank'>證書(shū)��。
這邊我使用的證書(shū)也是免費的 acme.sh 在github上就能夠找到該了���。我們先把他下載下來(lái)
curl https://get.acme.sh | sh
然后重新加載一下 bash
source ~/.bashrc
這時(shí)候你輸入 acme.sh --help 就能夠很清晰地看到相關(guān)輸出了
配置acme
在完成安裝以后我們開(kāi)始生產(chǎn)證書(shū)�,這邊我們直接使用DNS API 來(lái)完成域名校驗等操作
具體的請看
假設我這邊以godady為例子
先在終端配置文件中 設置key和secret (從服務(wù)商中獲取)
export GD_Key="sdfsdfsdfljlbjkljlkjsdfoiwje"
export GD_Secret="asdfsdfsfsdfsdfdfsdf"
接下來(lái)我們直接輸入命令
acme.sh --issue --dns dns_gd -d demo.com -d *.demo.com
這里會(huì )生成證書(shū)文件����。通常都是保存在 /root/.acme.sh/xxx.com/xxx.com.cer 下面���,
為了方便維護我們的docker volume 我們重新創(chuàng )建一個(gè)文件夾放這些證書(shū)
mkdir /opt/www/nginx/ssl
再輸入命令把證書(shū)放在ssl目錄下
acme.sh --install-cert -d demo.com \
--key-file /opt/www/nginx/ssl/demo.com.key \
--fullchain-file /opt/www/nginx/ssl/demo.com.crt\
這時(shí)候你在 /opt/www/nginx/ssl 下可以看到有2個(gè)文件在這
這時(shí)候域名證書(shū)的配置就算完成了�。然后我們配置一下docker-compose.yml
使用docker-compose創(chuàng )建容器
version: '3.5'
services:
app:
image: nginx:1.19.8
ports:
- 80:80
- 443:443
volumes:
- ./conf/nginx.conf:/etc/nginx/nginx.conf # 配置文件
- /opt/www:/opt/www # 項目的目錄
- /opt/www/nginx/ssl:/opt/www/ssl # 證書(shū)文件
restart: always
networks:
default:
name: defualt-network
寫(xiě)好yml文件以后, 我們再來(lái)配置一下nginx的配置, 在配置nginx 設置之前我們要先配置一下密匙交換的文件 DHE參數文件
openssl dhparam -out /opt/www/nginx/ssl/dhparam.pem 2048
然后我再配置一下 /.well-known/acme-challenge 此目錄是必須要讓let's encrypt 去訪(fǎng)問(wèn)的 因此我們必須要先配置一下該目錄
先創(chuàng )建一個(gè)目錄 mkdir /opt/www/letsencrypt 然后再把下面的server 配置在nginx 配置文件中
server {
listen 80 default_server;
listen [::]:80 default_server;
server_name _;
location /.well-known/acme-challenge {
root /opt/www/letsencrypt;
}
location / {
return 301 https://$host$request_uri;
}
}
上方的配置是把所有http請求跳轉到https中,
然后我們在配置一下自己的域名,
server {
listen 443 ssl http2 default_server;
listen [::]:443 ssl http2 default_server;
server_name demo.com;
root /opt/www/html;
index index.html index.htm index.php;
# 迪菲-赫爾曼密鑰交換
ssl_dhparam /opt/www/ssl/dhparam.pem;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers 'ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS';
ssl_prefer_server_ciphers on;
ssl_session_cache shared:SSL:50m;
ssl_session_timeout 1d;
#證書(shū)文件
ssl_certificate /opt/www/ssl/demo.com.crt;
ssl_certificate_key /opt/www/ssl/demo.com.key;
# 開(kāi)啟 HSTS Preload 支持
add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload";
add_header X-Frame-Options SAMEORIGIN;
add_header X-Content-Type-Options nosniff;
add_header X-XSS-Protection "1; mode=block";
access_log /var/log/nginx/demo.com.access.log;
error_log /var/log/nginx/demo.com.error.log;
}
如果有子域名需要配置的話(huà) 只需要復制一份上方的配置 修改一下這些位置, 其他的配置可保持不變����。 域名服務(wù)商那邊也要加一條A記錄
server {
listen 443 ssl http2; #注意此處無(wú)default server
listen [::]:443 ssl http2; #注意此處無(wú)default server
server_name example.demo.com; #子域名
access_log /var/log/nginx/example.demo.com.access.log;
error_log /var/log/nginx/example.demo.com.error.log;
}
最終的nginx conf為:
events {
worker_connections 1024;
}
http {
include mime.types;
default_type application/octet-stream;
sendfile on;
keepalive_timeout 300;
server {
listen 80 default_server;
listen [::]:80 default_server;
server_name _;
location /.well-known/acme-challenge {
root /opt/www/letsencrypt;
}
location / {
return 301 https://$host$request_uri;
}
}
server {
listen 443 ssl http2 default_server;
listen [::]:443 ssl http2 default_server;
server_name demo.com;
root /opt/www/html;
index index.html index.htm index.php;
# 迪菲-赫爾曼密鑰交換
ssl_dhparam /opt/www/ssl/dhparam.pem;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers 'ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS';
ssl_prefer_server_ciphers on;
ssl_session_cache shared:SSL:50m;
ssl_session_timeout 1d;
#證書(shū)文件
ssl_certificate /opt/www/ssl/demo.com.crt;
ssl_certificate_key /opt/www/ssl/demo.com.key;
# 開(kāi)啟 HSTS Preload 支持
add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload";
add_header X-Frame-Options SAMEORIGIN;
add_header X-Content-Type-Options nosniff;
add_header X-XSS-Protection "1; mode=block";
access_log /var/log/nginx/demo.com.access.log;
error_log /var/log/nginx/demo.com.error.log;
}
}
到目前位置 我們的配置就基本上告一段落了
現在只需要運行命令
docker-compose -f docker-compose.yml up -d
就可以完成docker 內 nginx的+https多域名配置
到此這篇關(guān)于docker nginx + https 子域名配置詳細教程的文章就介紹到這了,更多相關(guān)docker nginx https 配置內容請搜索腳本之家以前的文章或繼續瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家�����!
