配置证书443访问
- 前言
- 正文
- 步骤1: 准备证书
- 基于Nginx镜像
前言
由于业务要求需要对当前网络请求服务器不走80端口,进行443 https证书访问。
文档有点丑见谅,我还没加样式
正文
要让运行在Docker容器中的前端应用在443端口上使用SSL/TLS证书,通常需要两部分:用于服务的SSL/TLS证书(通常是一个.crt文件和一个.key文件),以及在容器中配置这些证书并在443端口上提供服务的Web服务器(比如Nginx, Apache等)由于我是通过Dockerfile所以我直接集成到了Niginx
大致流程
步骤1: 准备证书
获取SSL/TLS证书。 如果你还没有证书,可以从认证机构(CA)获取,或者使用Let’s Encrypt免费生成一个,或者自己创建一个自签名的证书(自签名证书在生产环境中不推荐使用)。
证书文件。 一般来说,你会有两个重要的文件:
- 一个是证书文件(比如your_domain.crt)
- 另一个是私钥文件(比如your_domain.key)。
步骤2: 准备Dockerfile和Web服务器配置
编写Dockerfile。 创建或更新你的Dockerfile,包括安装Web服务器(比如Nginx)的步骤,以及添加用来配置Web服务器运行在443端口上并使用SSL证书的配置文件。
配置Web服务器。 根据你的Web服务器(假设使用Nginx为例),你需要一个配置文件(比如称为your_site.conf),在这个文件中,配置服务器监听443端口,并指定证书和私钥文件的位置。
示例的Nginx配置片段:
server {listen 443 ssl;server_name your_domain.com;ssl_certificate /etc/nginx/ssl/your_domain.crt;ssl_certificate_key /etc/nginx/ssl/your_domain.key;location / {index index.html index.htm;}
}
修改Dockerfile。 将证书和私钥文件复制到容器内的某个位置,并确保Web服务器配置文件也被复制并使用。我的Nginx大致这样:
Dockerfile 示范:
基于Nginx镜像
FROM nginx:alpineCOPY ./path/to/your_domain.crt /etc/nginx/ssl/your_domain.crt
COPY ./path/to/your_domain.key /etc/nginx/ssl/your_domain.key
COPY ./path/to/your_site.conf /etc/nginx/conf.d/default.conf
COPY ./path/to/your_frontend_build /usr/share/nginx/html
生成自签名SSL证书的常用工具是openssl。这种证书主要用于测试目的,不建议在生产环境中使用,如果要用生产上面,阿里云有20个免费的证书,大家可以去了解一下,因为客户端浏览器会警告用户这种证书不受信任。下面是我如何使用openssl生成自签名证书的步骤:
生成私钥
首先,使用以下命令生成一个私钥(yourdomain.key):
openssl genrsa -out yourdomain.key 2048
此命令生成一个2048位的 RSA 私钥。
生成证书签名请求(CSR)
使用私钥生成一个证书签名请求(CSR):
openssl req -new -key yourdomain.key -out yourdomain.csr
在执行此命令的过程中,你会被提示输入证书的信息,比如国家、城市、组织名和常用名(Common Name)等。常用名应该是你的域名或服务器的IP地址,也可以不填写直接确认继续。
生成自签名SSL证书,然后,利用CSR和私钥生成自签名的SSL证书(yourdomain.crt),此证书有效期为1年(365天) 自己设置时间
openssl req -x509 -nodes -days 365 -key yourdomain.key -in yourdomain.csr -out yourdomain.crt
使用以上指令后,你将得到两个文件:yourdomain.crt和yourdomain.key。这两个文件分别是你的SSL证书和私钥。
当你有了证书和私钥后,可以在你的web服务器(如nginx或apache)配置中使用它们以启用HTTPS。记得将证书和私钥文件放在服务器上的安全位置,步骤如上,封装到docker容器里面最保险,同时更新web服务器的配置文件,指向正确的证书文件(yourdomain.crt)和私钥文件(yourdomain.key)。