• 企业400电话
  • 微网小程序
  • AI电话机器人
  • 电商代运营
  • 全 部 栏 目

    企业400电话 网络优化推广 AI电话机器人 呼叫中心 网站建设 商标✡知产 微网小程序 电商运营 彩铃•短信 增值拓展业务
    docker nginx + https 子域名配置详细教程

    今天刚好要帮朋友的服务器搬家,因此把服务器的基础设备都配置了一次, 但在配置的时候遇到了一些问题。原来现在的 google chrome / safari 是会 强制性把http转换成为https 。

    刚开始的时候并不知道什么回事,还将域名的记录重新设置了一遍。而且在 ping 的时候域名是能够成功被解析出服务器地址的,因此把矛头转向了 http -> https的过程中 ,我用微信的内置的浏览器发现是能够访问http的域名。因此要设置一下证书。

    这边我使用的证书也是免费的 acme.sh 在github上就能够找到该了。我们先把他下载下来

    curl https://get.acme.sh | sh

    然后重新加载一下 bash

    source ~/.bashrc

    这时候你输入 acme.sh --help 就能够很清晰地看到相关输出了

    配置acme

    在完成安装以后我们开始生产证书,这边我们直接使用DNS API 来完成域名校验等操作

    具体的请看 dnsapi

    假设我这边以godady为例子

    先在终端配置文件中 设置key和secret (从服务商中获取)

    export GD_Key="sdfsdfsdfljlbjkljlkjsdfoiwje"
    export GD_Secret="asdfsdfsfsdfsdfdfsdf"

    接下来我们直接输入命令

    acme.sh --issue --dns dns_gd -d demo.com -d *.demo.com

    这里会生成证书文件。通常都是保存在 /root/.acme.sh/xxx.com/xxx.com.cer 下面,

    为了方便维护我们的docker volume 我们重新创建一个文件夹放这些证书

    mkdir /opt/www/nginx/ssl

    再输入命令把证书放在ssl目录下

    acme.sh --install-cert -d demo.com \
    
    --key-file /opt/www/nginx/ssl/demo.com.key \
    
    --fullchain-file /opt/www/nginx/ssl/demo.com.crt\

    这时候你在 /opt/www/nginx/ssl 下可以看到有2个文件在这

    这时候域名证书的配置就算完成了。然后我们配置一下docker-compose.yml

    使用docker-compose创建容器

    version: '3.5'
    services:
     app:
      image: nginx:1.19.8
      ports:
       - 80:80
       - 443:443
      volumes:
       - ./conf/nginx.conf:/etc/nginx/nginx.conf # 配置文件
       - /opt/www:/opt/www            # 项目的目录
       - /opt/www/nginx/ssl:/opt/www/ssl     # 证书文件
      restart: always
    networks:
     default:
      name: defualt-network

    写好yml文件以后, 我们再来配置一下nginx的配置, 在配置nginx 设置之前我们要先配置一下密匙交换的文件 DHE参数文件

    openssl dhparam -out /opt/www/nginx/ssl/dhparam.pem 2048

    然后我再配置一下 /.well-known/acme-challenge 此目录是必须要让let's encrypt 去访问的 因此我们必须要先配置一下该目录

    先创建一个目录 mkdir /opt/www/letsencrypt 然后再把下面的server 配置在nginx 配置文件中

    server {
        listen 80 default_server;
        listen [::]:80 default_server;
        server_name _;
    
        location /.well-known/acme-challenge {
            root /opt/www/letsencrypt;
        }
    
        location / {
            return 301 https://$host$request_uri;
        }
     }

    上方的配置是把所有http请求跳转到https中,

    然后我们在配置一下自己的域名,

    server {
        listen 443 ssl http2 default_server;
        listen [::]:443 ssl http2 default_server;
    
        server_name demo.com;
    
        root /opt/www/html;
        index index.html index.htm index.php;
    
       # 迪菲-赫尔曼密钥交换
        ssl_dhparam /opt/www/ssl/dhparam.pem;
    
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
        ssl_ciphers 'ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS';
        ssl_prefer_server_ciphers on;
    
        ssl_session_cache shared:SSL:50m;
        ssl_session_timeout 1d;
    
    
        #证书文件
        ssl_certificate /opt/www/ssl/demo.com.crt;
        ssl_certificate_key /opt/www/ssl/demo.com.key;
    
        # 开启 HSTS Preload 支持
        add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"; 
        add_header X-Frame-Options SAMEORIGIN;
        add_header X-Content-Type-Options nosniff;
        add_header X-XSS-Protection "1; mode=block";
    
        access_log /var/log/nginx/demo.com.access.log;
        error_log /var/log/nginx/demo.com.error.log;
     }

    如果有子域名需要配置的话 只需要复制一份上方的配置 修改一下这些位置, 其他的配置可保持不变。 域名服务商那边也要加一条A记录

    server {
        listen 443 ssl http2;     #注意此处无default server 
        listen [::]:443 ssl http2;  #注意此处无default server
    
        server_name example.demo.com; #子域名
        
        access_log /var/log/nginx/example.demo.com.access.log;
        error_log /var/log/nginx/example.demo.com.error.log;
     }

    最终的nginx conf为:

    events {
    worker_connections 1024;
    }
    
    http {
     include mime.types;
     default_type application/octet-stream;
    
     sendfile on;
    
     keepalive_timeout 300;
     
     server {
        listen 80 default_server;
        listen [::]:80 default_server;
        server_name _;
    
        location /.well-known/acme-challenge {
            root /opt/www/letsencrypt;
        }
    
        location / {
            return 301 https://$host$request_uri;
        }
     }
     
     server {
        listen 443 ssl http2 default_server;
        listen [::]:443 ssl http2 default_server;
    
        server_name demo.com;
    
        root /opt/www/html;
        index index.html index.htm index.php;
    
       # 迪菲-赫尔曼密钥交换
        ssl_dhparam /opt/www/ssl/dhparam.pem;
    
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
        ssl_ciphers 'ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS';
        ssl_prefer_server_ciphers on;
    
        ssl_session_cache shared:SSL:50m;
        ssl_session_timeout 1d;
    
    
        #证书文件
        ssl_certificate /opt/www/ssl/demo.com.crt;
        ssl_certificate_key /opt/www/ssl/demo.com.key;
    
        # 开启 HSTS Preload 支持
        add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"; 
        add_header X-Frame-Options SAMEORIGIN;
        add_header X-Content-Type-Options nosniff;
        add_header X-XSS-Protection "1; mode=block";
    
        access_log /var/log/nginx/demo.com.access.log;
        error_log /var/log/nginx/demo.com.error.log;
     }
    
    }

    到目前位置 我们的配置就基本上告一段落了

    现在只需要运行命令

    docker-compose -f docker-compose.yml up -d

    就可以完成docker 内 nginx的+https多域名配置

    到此这篇关于docker nginx + https 子域名配置详细教程的文章就介绍到这了,更多相关docker nginx https 配置内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家!

    上一篇:Docker安装Oracle_11g的方法
    下一篇:VMware + Ubuntu18.04 搭建Hadoop集群环境的图文教程
  • 相关文章
  • 

    © 2016-2020 巨人网络通讯 版权所有

    《增值电信业务经营许可证》 苏ICP备15040257号-8

    docker nginx + https 子域名配置详细教程 docker,nginx,https,子,域名,