2. 程式人生 > >docker項目ssl 安全證書的種種

docker項目ssl 安全證書的種種

阿新 發佈:2019-02-01
gin cert hpa 9.png 只需要 切換 dns info 方法

一,使用nginx代理,將證書掛著宿主的nginx上

這個很簡單,只需要修改宿主nginx的配置文件即可

server {
        listen 443 ssl default;
        server_name www.abc.com; #項目域名
        ssl_certificate "cert/ssl_certificate.pem"; #證書文件
        ssl_certificate_key "cert/ssl_certificate.key"; #秘鑰文件
        ssl_session_cache shared:SSL:1m;
        ssl_session_timeout  10m;
        ssl_ciphers ECDHE
 
-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4; #SSL算法加密選項
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
        ssl_prefer_server_ciphers on;
        location / {
            proxy_redirect off;
            proxy_set_header Host $host;
            proxy_set_header X-Real-IP $remote_addr
 
;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
            proxy_pass http://127.0.0.1:9001; #指向本機docker 容器端口
        }
        error_page 404 /404.html;
            location = /40x.html {
        }
        error_page 500 502 503 504 /50x.html;
            location = /50x.html {
        }
    }

二,spingboot項目內部掛在證書

項目目錄結構如下:

技術分享圖片

即我們在項目根目錄創建一個cert目錄裏面存放證書,然後我們修改項目配置文件application.yml掛上證書

server:
  ssl:
    key-store: classpath:cert/ssl_certificate.pfx #證書文件
    key-store-password: 123456 #證書密碼

打包成docker image

 docker build -t springio/demo-docker .

運行 

 docker run -t -p 8433:8080 springio/demo-docker

本地輸入http://www.abc.com:8433 會提示

Bad Request
This combination of host and port requires TLS.

直接改為 https://www.abc.com:8433 訪問正常

三,使用openssl生成不受信任的證書

上面兩種方法都是在我們有證書的情況,如果你沒有證書,可以使用openssl生產一個測試證書,在我們的Dokcerfile中加入證書生成

FROM openjdk
VOLUME /tmp
ADD demo-docker-0.0.1-SNAPSHOT.war app.war
RUN sh -c touch /app.war
RUN echo "Asia/Shanghai" > /etc/timezone
ENV JAVA_OPTS=""
ENV spring.profiles.active="prod"

#以下是生成證書
#定義簽名密碼
ENV certPassword 123456 
RUN openssl genrsa -des3 -passout pass:${certPassword} -out server.key 2048
RUN openssl rsa -passin pass:${certPassword} -in server.key -out server.key
RUN openssl req -sha256 -new -key server.key -out server.csr -subj /CN=www.abc.com #這裏是證書綁定的域名
RUN openssl x509 -req -sha256 -days 365 -in server.csr -signkey server.key -out server.crt
RUN openssl pkcs12 -export -out server.pfx -inkey server.key -in server.crt -certfile server.crt -passout pass:${certPassword}
#將證書文件綁定到項目中
ENV key-store="server.pfx"
#將證書密碼傳遞給項目
ENV key-password=${certPassword}
#編譯選項
ENTRYPOINT ["java", "-jar", "/app.war"]

這裏有兩點要註意,dockerfile文件中FROM 不能來源於簡化版即不是“FROM openjdk:8-jdk-alpine” ,因為alpine版本的jdk中不包含openssl,關於openssl詳細使用可以參考這裏 https://www.cnblogs.com/yangxiaolan/p/6256838.html

對應的項目配置文件application.yml內容如下

server:
  ssl:
    key-store: ${key-store} #接收證書文件
    key-store-password: ${key-password} #接收證書密碼

啟動docker項目,瀏覽器輸入 https://www.abc.com,會提示證書不受信任

技術分享圖片

登錄到docker bash 會看到對應的證書文件

技術分享圖片

四,使用Let‘s Encrypt 生成受信任的證書

Let‘s Encrypt生成證書有多種方式:

Plugin

認證

安裝

備註

認證方式 (端口)

apache

Y

Y

自動獲取和安裝證書,適用於Apache2.4 on OSes with libaugeas0 1.0+。

tls-sni-01 (443)

webroot

Y

N

通過webserver的root目錄認證來獲取證書,適用於處於運行狀態的webserver。

http-01 (80)

nginx

Y

Y

自動獲取和安裝證書,適用於Nginx。

tls-sni-01 (443)

standalone

Y

N

通過letsencrypt自帶的standalone服務來獲取證書,standalone服務將占用服務器的80或443端口,這就意味著服務器本身的webserver需要處於關閉狀態,除非它使用特殊端口。

http-01 (80) or tls-sni-01 (443)

DNS plugins

Y

N

通過修改DNS記錄來認證域名所有者以獲取證書,這是使用letsencrypt為通配符域名獲取證書的唯一方式。

dns-01 (53)

manual

Y

N

以用戶自定義的方式獲取證書,根據提示指令,用戶自己來完成域名認證。即使用交互式或腳本鉤子的方式獲取證書。

http-01 (80), dns-01 (53) or tls-sni-01 (443)

使用,Let‘s Encrypt生成證書必須在你的服務器上完成,而且必須確認你的域名已經解析到服務器上,否者無法完成驗證,會提示沒有權限“ urn:ietf:params:acme:error:unauthorized” ,這裏介紹兩種比較常用方式

必須保證你在網站在運行,可以通過域名的80端口正常訪問,需要在你的服務器上安裝 certbot,最好不要使用yum install certbot 安裝 這裏會有依賴問題,因為Certbot是Python程序,最好先創建一個Python虛擬環境,然後再安裝Certbot,具體步驟如下: 

sudo yum install python-virtualenv #安裝虛擬環境軟件包(針對於Python2.7)
sudo virtualenv /usr/local/python-certbot #創建虛擬環境
source /usr/local/python-certbot/bin/activate #激活虛擬環境
pip install certbot #安裝Certbot
pip install certbot-nginx #安裝nginx插件,如果不使用 nginx模式生成證書可不需要

也可以不安裝certbot,使用“quay.io/letsencrypt/letsencrypt”鏡像完成只需要在你的服務器上 docker pull quay.io/letsencrypt/letsencrypt 然後通過下面命令啟動

1,webroot方式:

執行證書生成命令

certbot certonly --webroot -w /usr/share/nginx/html -d www.abc.com -m ejiyuan@163.com --agree-tos

docker 鏡像方式

docker run --rm -p 8770:80 -v /etc/letsencrypt:/etc/letsencrypt -v /usr/share/nginx/html:/usr/share/nginx/html quay.io/letsencrypt/letsencrypt auth --webroot -w /usr/share/nginx/html -d q.meylink.cn -m [email protected] --agree-tos

-w 指定網站項目目錄,這個項目必須是可用的,而且是通過你的域名80端口能正常訪問的

-d 指定生成蒸魚的域名 這個域名必須已經解析到執行命令的本服務器上

-m 指定一個email 最好是真實的電郵地址

webroot方式,必須你的服務的 80 端口上運行一個能處理靜態文件的 web 服務,我這裏 nginx 為例 (註意,webroot + nginx 與 nginx 是完全不同的兩種方式)

    server {
        listen       80 default_server;  # 必須是80端口
        server_name  www.abc.com;  # 必須能夠解析到本機
        root         /usr/share/nginx/html; #項目所在目錄
        location / {
           index index.html;
        }
    }

在執行命令後,certbot 會向指定的 webroot 目錄中添加一個隨機文件,隨後 letsencrypt 會通過 http 訪問那個文件,比如 http://www.abc.com/.well-known/acme-challenge/gdEMr7ZXOiZE51he9QwuvnbrrTnkwlpFhNAcArBt2uE, 如果能返回正確的數據則通過認證,否則認證失敗,執行結果如下:

技術分享圖片

2,standalone方式:

這個方式不需要先部署項目,但是必須保證你的域名能解析到服務器上

certbot certonly --standalone -n --agree-tos --email you@gmail.com --preferred-challenges http -d you.domain.com

docker 鏡像方式

docker run --rm -p 80:80 -p 443:443 -v /etc/letsencrypt:/etc/letsencrypt  quay.io/letsencrypt/letsencrypt auth --standalone -m ejiyuan@email.com --agree-tos -d www.meylink.cn

-n 非交互式
--email 指定賬戶
--agree-tos 同意服務協議
--preferred-challenges http 使用http模式 必須保證80端口沒有被占用
--preferred-challenges tls-sni:使用443端口必須保證80端口沒有被占用

默認 standalone 是使用 443 端口,也就是說要停止服務器現在占用 443 端口的進程,我們也可以將其改為使用 80 端口,同樣道理,這時需要停止 80 端口的占用,執行結果

技術分享圖片

3,apache與nginx模式,可是非常簡單的生成並掛在證書這裏以nginx為例

保證你的域名可以解析到本機,並且nginx已安裝,設置nginx配置文件 

server {
        server_name you.domain.com;
}

然後執行

certbot --nginx -d a.abc.com

執行結果如下:

技術分享圖片

nginx配置文件修改如下:

server {
  server_name a.abc.com;
  ....
  #一下內容是 Certbot 加入
  listen 443 ssl; # managed by Certbot
  ssl_certificate /etc/letsencrypt/live/a.abc.com/fullchain.pem; # managed by Certbot
  ssl_certificate_key /etc/letsencrypt/live/a.abc.com/privkey.pem; # managed by Certbot
  include /etc/letsencrypt/options-ssl-nginx.conf; # managed by Certbot
  ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem; # managed by Certbot
}

4,生成證書部署docker image

FROM alpine
#安裝證書生成工具
RUN apk add --update bash certbot
RUN apk add --no-cache libressl
#掛在一個外部路徑
VOLUME ["/etc/letsencrypt"]

RUN apk add --update bash nginx
#拷貝證書
#COPY ./cert /etc/letsencrypt/live
#拷貝項目文件
COPY ./www /usr/share/nginx/html
#拷貝項目配置文件
COPY ./nginx/nginx.conf /etc/nginx/nginx.conf
COPY ./nginx/conf.d/default.conf /etc/nginx/conf.d/default.conf
#切換目錄設置權限
WORKDIR /usr/share/nginx/html
RUN chown -R daemon:daemon * && chmod -R 755 *
EXPOSE 80
EXPOSE 433
#切換到nginx目錄,啟動nginx
WORKDIR /run/nginx  
#ENTRYPOINT nginx -g "daemon off;"
ENTRYPOINT certbot certonly --standalone -n --agree-tos --email [email protected] --preferred-challenges http -d www.meylink.cn && nginx -g "daemon off;"

參考文檔

全民https時代,Let‘s Encrypt免費SSL證書的申請及使用(Tomcat版)

https 證書工具 Letsencrypt 簡單教程

Certbot 自動化生成 https 證書

Letsencrypt SSL免費證書申請(Docker)

CentOS7運行Certbot提示:ImportError: ‘pyOpenSSL‘ module missing required functionality. Try upgrading to v0.14 or newer.

Docker:使用Dockerfile構建Nginx鏡像

通過Laradock學Docker-HTTPS

給Docker中的Nginx搭建HTTPS環境

docker項目ssl 安全證書的種種

相關推薦

dockerssl 安全證書種種

gin cert hpa 9.png 只需要 切換 dns info 方法 一,使用nginx代理,將證書掛著宿主的nginx上 這個很簡單,只需要修改宿主nginx的配置文件即可 server { listen 443 ssl default;

SSL安全證書-概念解析

安全 ssl 一、關於證書數字證書是一種認證機制。簡單點說,它代表了一種由權威機構頒發授權的安全標誌。由來在以前,傳統網站采用HTTP協議進行數據傳輸,所有的數據幾乎都用的明文,很容易發生隱私泄露。為了解決安全問題,大家開始考慮采用加解密的方案,於是乎誕生了公鑰加密(非對稱加解密)及簽名算法。瀏覽器從

怎樣購買及安裝ssl安全證書

現在越來越多的網站都開始用安全連結了,在國外的話,如果不是一個安全連結,使用者很大程度上會拒絕使用,所有安全連結是未來的趨勢,樓主第一次配安全證書的時候,剛剛大學畢業,是完完全全小白一個,後來工作中需要配置,自己也各種查資料,最終花了幾天,在Tomcat、nodejs、Nginx上都配好了安全連

https\SSL安全證書配置,Tomcat、nodejs、Nginx伺服器安全證書配置

安全證書的好處我就不多說,直接上圖、申請ssl證書、做個耿直boy。 前提條件:阿里雲服務、域名、linux系統、Tomcat(nodejs或Nginx)、購買ssl證書。 用jdk生成的安全證書裝到Tomcat上,由於沒有通過認證,效果如下圖: 購買安全證書,安裝之後s

免費 SSL 安全證書

為了保證網上傳輸資訊的安全而在自己的 Linode VPS 上部署 SSL 加密服務。商業 CA 較貴,所以使用了自己簽發的 CA。網友神愛的留言提到了 StartSSL 的免費 CA,稍做了一些調查,在此分享兩個發放免費 CA 的機構:StartSSL 和 CAcert。  

LNMP下配置免費SSL安全證書(https)

環境要求 LNMP 域名 安裝依賴 $ cd /root/ $ wget https://dl.eff.org/certbot-auto --no-check-certificate $ chmod +x ./certbot-auto $ ./certbo

Nginx配置SSL安全證書避免啟動輸入Enter PEM pass phrase

Nginx配置SSL安全證書避免啟動輸入Enter PEM pass phrase 介紹了Nginx配置SSL的一些情況,配置好的Nginx每次啟動都要輸兩遍PEM pass phrase,很是不爽,尤其是在伺服器重啟後,Nginx壓根就無法自動啟動,必須手動啟動並輸入那麻煩的PEM pas

使用nginx實現一個主機部署多域名指向不同docker

host world war 進行 image 名稱 ade -c itl 外網 1,安裝 docker yum install docker 使用Docker 中國加速器 vim /etc/docker/daemon.json 添加下面

Tomcat 配置阿里的ssl安全證書,實現https訪問

        要做微信小程式,必須要能https訪問,做下安全協議。好吧,只能實現了。最初始我用的是apache配置的,但是,按照他那個步驟,不行。也沒找到問題出現在哪。好吧,實在是沒有辦法了。只能用了tomcat。感覺很坑。 配置的話,總得需要知道屬性代表的意思。不然,

https 之 ssl安全證書的獲取和安裝

基於便宜ssl生成ssl證書 然後再apace配置達到HTTPS協議 1.在便宜平臺註冊賬號 賬號可以選擇是否免費體驗ssl 2.在便宜平臺完成資訊後現在進入csr(自動生成)生成提交頁面 3.提交後有三種域名驗證方式 ( 推薦第三種) 總結就一個模式將獲取到的驗證檔

Android實戰_手機安全衛士系統加速

存儲 abs andro ddc mat author empty ring send ## 1.本地數據庫自動更新的工作機制1. 開啟一個服務,定時訪問服務器2. 進行版本對比,如果最新版本比較高,獲取需要更新的內容3. 將新內容插入到本地數據庫中 ## 2.如何處理橫豎

利用Docker搭建java開發環境

測試 制作 需要 oot tomcat 啟動 分享 http 創建 一、需求 一臺 Ubuntu 16.0.4 LTS ,安裝了Docker服務,Rancher服務,也制作了Tomcat相關的image,接下來我們就來說一下如何快速的構建一個開發環境和測試環境 二、步驟

Docker容器中運行.Net Core web Api

c99 images sof 以及 store .com 查看 .html microsoft 安裝Docker環境 參考本人這篇《CentOS 7 下Docker的安裝》文章進行安裝以及環境配置,這裏不做贅述。 通過.NetCore開發WebApi項目 1. 創建.Net

【新書推薦】“十三五”國家重點出版規劃《網絡安全技術及應用》第3版出版發行

“十三五”國家重點出版規劃項目 《網絡安全技術及應用》第3版出版發行 【新書推薦】“十三五”國家重點出版規劃項目《網絡安全技術及應用》第3版出版發行 新書特色:“十三五”國家重點出版規劃項目暨上海市高校精品課程特色教材(立體化.新型態.雙色印刷-掃描二維碼可看視頻等),上海市高校優秀教材獎,核心

gitlab+jenkins+maven+docker持續集成(五)——Maven 構建配置

jenkins gitlab maven 首先,安裝插件Maven Integration plugin接下來我們配置Global Tool Configuration前提先在系統裏安裝好jdk, maven,創建maven項目其它配置大同小異,主要說明下這步pom.xml 我這裏的是在項目中,如

Java精品高級課,架構課,java8新特性,P2P金融,程序設計,功能設計,數據庫設計,第三方支付,web安全,視頻教程

數據庫設計 zfs 調優 pex 完整版 city 後臺 中間件 集群 36套精品Java架構師,高並發,高性能,高可用,分布式,集群,電商,緩存,性能調優,設計模式,項目實戰,P2P金融項目,大型分布式電商實戰視頻教程 視頻課程包含: 高級Java架構師包含:Sp

httpd-2.2(虛擬主機、用戶認證、私有網絡安全實現)

strive struggle endeavo attempt實驗環境提供兩個基於名稱的虛擬主機wp.mykernel.cn,頁面文件目錄為/web/vhosts/www1;錯誤日誌為/var/log/httpd/www1.err,訪問日誌為/var/log/httpd/www1.access;www.

如何使用windows版Docker並在IntelliJ IDEA使用Docker運行Spring Cloud

如何更加安全、高效地選擇開源(內附詳解)

編譯 com 再次 即時聊天 能力 時代 核心 只需要 重新編譯   前言在平時的開發過程中,難免會遇到這樣那樣的難題,或者一些繁瑣且不想純手工完成的功能,對於這些問題,解決的姿勢有很多種,可以通過同事間的交流、上網查資料、去官網找文檔等,隨著開源的推動和完善,尋找合適的開

“十三五”國家重點出版規劃、教育部暨上海精品課程“網絡安全”技術更新推出

安全 分享 png tex vpd mage shadow alt 技術分享 “十三五”國家重點出版規劃項目、教育部項目暨上海精品課程“網絡安全”技術更新推出,歡迎光臨指導、資源共享!“十三五”國家重點出版規劃項目、教育部項目暨上海精品課程“網絡安全”技術更新推出