在Docker容器中设置Certbot与Nginx的SSL证书

152次阅读

问题描述

在Docker容器中已经成功设置了各种技术组合，包括Docker Compose、PHP-FPM、PHPMyAdmin以及Gitlab，并将其通过Nginx进行了反向代理。然而，他现在遇到的问题是如何为自己的网站设置SSL证书，以实现安全的HTTPS访问。他发现在Docker容器中设置Certbot并通过自动续订保持证书的有效性似乎并不是一件轻松的事情，尤其是在缺乏明确指导的情况下。

解决方案

在Docker容器中设置Certbot与Nginx的SSL证书需要一些步骤，包括配置Nginx以及使用Certbot生成和管理证书。以下是详细的解决方案。

请注意以下操作可能因版本差异而有所不同，建议在操作前备份数据。

配置Nginx

首先，你需要在Nginx配置中添加一个用于验证SSL证书的路由规则。这可以通过在Nginx配置文件中添加以下代码来实现：

location ~ /.well-known/acme-challenge {
    allow all;
    try_files $uri $uri/ =404;
}

生成SSL证书

步骤1：测试证书

你可以先使用Certbot的staging环境来测试证书生成，确保一切正常。在Docker容器中执行以下命令：

sudo docker run -it --rm -v /some/place/to/save/letsencrypt:/etc/letsencrypt -v /some/place/to/save/lib:/var/lib/letsencrypt -v /some/place/to/have/html:/data/letsencrypt certbot/certbot certonly --webroot --register-unsafely-without-email --agree-tos --webroot-path=/data/letsencrypt --staging -d example.com

步骤2：生成正式证书

当你准备好时，可以生成正式的SSL证书。执行以下命令：

sudo docker run -it --rm -v /some/place/to/save/letsencrypt:/etc/letsencrypt -v /some/place/to/save/lib:/var/lib/letsencrypt -v /some/place/to/have/html:/data/letsencrypt certbot/certbot certonly --webroot --email someemail@account.com -d example.com

更新Nginx配置

一旦你生成了证书，你需要更新Nginx的配置文件，将HTTP请求重定向到HTTPS，并指定SSL证书的路径。更新Nginx的配置文件，例如：

server {
    listen 80;
    server_name example.com www.example.com;

    location / {
        return 301 https://$host$request_uri;
    }
}

server {
    listen 443 ssl;
    server_name example.com www.example.com;

    ssl_certificate /some/place/to/save/letsencrypt/live/example.com/fullchain.pem;
    ssl_certificate_key /some/place/to/save/letsencrypt/live/example.com/privkey.pem;

    # 其他SSL配置项
    # ...

    location / {
        # 配置用于处理HTTPS请求的代理
    }
}