我要评论前言
配置https已经成为网站部署的必要步骤。本教程将详细介绍如何在docker环境下为nginx配置https,使用自签名证书来实现加密通信。虽然在生产环境中建议使用权威ca机构颁发的证书,但在开发测试或内网环境中,自签名证书是一个很好的选择。
前置条件
在开始之前,确保系统已经安装:
docker(建议版本 20.10 或更高)openssl(用于生成证书)
可以通过以下命令检查版本:
docker --version openssl version
一、项目结构
项目的目录结构:
project/
├── dockerfile
├── nginx/
│ ├── nginx.conf # nginx主配置文件
│ ├── conf.d/
│ │ └── default.conf # 默认站点配置
│ └── ssl/ # 将要创建的ssl证书目录
│ ├── nginx.crt # 证书文件
│ └── nginx.key # 私钥文件
├── source/
└── dist/ # 编译后的静态文件二、生成自签名证书
2.1 创建证书目录
# 在项目根目录下执行 mkdir -p nginx/ssl cd nginx/ssl
2.2 生成ssl证书和私钥
使用openssl生成自签名证书。这个过程分为几个步骤:
生成私钥:
openssl genrsa -out nginx.key 2048
生成证书签名请求(csr):
openssl req -new -key nginx.key -out nginx.csr \
-subj "/c=cn/st=yourstate/l=yourcity/o=yourcompany/ou=it department/cn=your-domain.com"参数说明:
- /c:国家代码(例如cn代表中国)
- /st:省/州名
- /l:城市名
- /o:组织名称
- /ou:部门名称
- /cn:域名
使用私钥签名证书:
openssl x509 -req -days 3650 \
-in nginx.csr \
-signkey nginx.key \
-out nginx.crt2.3 设置正确的权限
chmod 600 nginx.key chmod 644 nginx.crt
三、配置nginx
3.1 创建新的nginx配置文件
编辑 nginx/conf.d/default.conf:
# http服务器(重定向到https)
server {
listen 80;
listen [::]:80;
server_name localhost; # 在实际环境中替换为你的域名
# 将所有http请求重定向到https
return 301 https://$server_name$request_uri;
}
# https服务器
server {
listen 443 ssl;
listen [::]:443 ssl;
server_name localhost; # 在实际环境中替换为你的域名
# ssl证书配置
ssl_certificate /etc/nginx/ssl/nginx.crt;
ssl_certificate_key /etc/nginx/ssl/nginx.key;
# ssl会话配置
ssl_session_timeout 1d;
ssl_session_cache shared:ssl:50m;
ssl_session_tickets off;
# ssl协议配置
ssl_protocols tlsv1.2 tlsv1.3;
ssl_ciphers ecdhe-ecdsa-aes128-gcm-sha256:ecdhe-rsa-aes128-gcm-sha256:ecdhe-ecdsa-aes256-gcm-sha384:ecdhe-rsa-aes256-gcm-sha384:ecdhe-ecdsa-chacha20-poly1305:ecdhe-rsa-chacha20-poly1305:dhe-rsa-aes128-gcm-sha256:dhe-rsa-aes256-gcm-sha384;
ssl_prefer_server_ciphers off;
# hsts配置(如果需要)
# add_header strict-transport-security "max-age=63072000" always;
# 静态文件配置
location / {
root /opt/dist;
index index.html index.htm;
try_files $uri $uri/ /index.html;
}
# 错误页面配置
error_page 500 502 503 504 /50x.html;
location = /50x.html {
root /usr/share/nginx/html;
}
}3.2 修改dockerfile
编辑项目根目录下的dockerfile:
from nginx:stable
# 复制nginx配置文件
copy ./nginx/nginx.conf /etc/nginx/nginx.conf
copy ./nginx/conf.d/default.conf /etc/nginx/conf.d/default.conf
# 复制ssl证书
copy ./nginx/ssl/nginx.crt /etc/nginx/ssl/
copy ./nginx/ssl/nginx.key /etc/nginx/ssl/
# 复制应用文件
copy ./source/dist /opt/dist/
# 设置时区
env tz=asia/shanghai
run ln -snf /usr/share/zoneinfo/$tz /etc/localtime && echo $tz > /etc/timezone
# 设置证书权限
run chmod 600 /etc/nginx/ssl/nginx.key \
&& chmod 644 /etc/nginx/ssl/nginx.crt
entrypoint ["/docker-entrypoint.sh"]
cmd ["nginx", "-g", "daemon off;"]四、构建和运行
4.1 构建docker镜像
# 在项目根目录下执行 docker build -t my-nginx-ssl:v1 .
4.2 运行容器
docker run -d \
--name my-nginx-ssl \
-p 80:80 \
-p 443:443 \
my-nginx-ssl:v14.3 验证配置
检查容器是否正常运行:
docker ps
查看容器日志:
docker logs my-nginx-ssl
测试https连接:
curl -k https://localhost
4.4 成功访问
ps:可以直接使用 https://ip+端口 如果使用域名要先在hosts文件中添加
五、常见问题解决
5.1 证书不受信任警告
在使用自签名证书时,浏览器会显示证书不受信任的警告,这是正常的。你可以:
在开发环境中,点击"高级"然后"继续前往"(具体文字根据浏览器不同可能有所差异)将证书添加到系统的受信任证书存储中在生产环境中使用受信任的ca机构颁发的证书 5.2 无法访问https
如果无法访问https站点,请检查:
端口映射是否正确:
docker port my-nginx-ssl
防火墙是否开放443端口:
# linux系统 sudo ufw status # 如果需要开放端口 sudo ufw allow 443
证书文件权限是否正确:
# 进入容器检查 docker exec -it my-nginx-ssl bash ls -l /etc/nginx/ssl/
5.3 配置测试
在应用到生产环境之前,可以使用以下命令测试nginx配置:
# 进入容器 docker exec -it my-nginx-ssl bash # 测试nginx配置 nginx -t
六、安全建议
- 定期更新证书
- 使用强密码算法
- 启用http/2
- 配置适当的ssl会话缓存
- 考虑启用hsts
- 定期更新nginx版本以修复安全漏洞
七、维护建议
证书更新
# 生成新证书
openssl x509 -req -days 365 \
-in nginx.csr \
-signkey nginx.key \
-out nginx.crt.new
# 备份旧证书
mv /etc/nginx/ssl/nginx.crt /etc/nginx/ssl/nginx.crt.old
mv nginx.crt.new /etc/nginx/ssl/nginx.crt
# 重启nginx
nginx -s reload日志检查
# 查看访问日志 tail -f /var/log/nginx/access.log # 查看错误日志 tail -f /var/log/nginx/error.log
总结
- 生成自签名ssl证书
- 配置nginx支持https
- 使用docker部署https服务
- 常见问题的解决方法
- 维护操作
自签名证书适用于开发和测试环境。在生产环境中,建议使用受信任的ca机构颁发的证书。
到此这篇关于在docker环境下为nginx配置https的文章就介绍到这了,更多相关docker nginx配置https内容请搜索代码网以前的文章或继续浏览下面的相关文章希望大家以后多多支持代码网!
发表评论