目录

步骤一：在宿主机生成服务端的公钥证书和私钥文件

步骤二：准备Dockerfile文件构建镜像

步骤三：docker run启动容器并将其映射到443端口

---

步骤一：在宿主机生成服务端的公钥证书和私钥文件

//生成ca证书
（1）创建ca私钥
openssl genrsa -aes256 -out ca-key.pem 4096			#输入123123
----------------------------------------------------------------------------------------------------------
genrsa：使用RSA算法产生私钥
-aes256：使用256位密钥的AES算法对私钥进行加密，这样每次使用私钥文件都将输入密码，可省略
-out：输出文件的路径，若未指定输出文件，则为标准输出
4096：指定私钥长度，默认为1024。该项必须为命令行的最后一项参数
----------------------------------------------------------------------------------------------------------

（2）创建ca证书
openssl req -new -x509 -days 1000 -key ca-key.pem -sha256 -subj "/CN=*" -out ca.pem			#输入123123
----------------------------------------------------------------------------------------------------------
req：执行证书签发命令
-new：新证书签发请求
-x509：生成x509格式证书，专用于创建私有CA时使用
-days：证书的有效时长,单位是天
-key：指定私钥路径
-sha256：证书摘要采用sha256算法
-subj：证书相关的用户信息(subject的缩写)
-out：输出文件的路径
----------------------------------------------------------------------------------------------------------

//用 ca 证书签发 server 端证书
（3）创建服务器私钥
openssl genrsa -out server-key.pem 4096

（4）生成证书签名请求文件（csr文件）
openssl req -new -key server-key.pem -sha256 -subj "/CN=*" -out server.csr

（5）使用ca 证书与私钥证书签发服务端签名证书，输入 123123，（需要签名请求文件，ca 证书，ca 密钥）
openssl x509 -req -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -days 1000 -out server-cert.pem
----------------------------------------------------------------------------------------------------------
x509：生成x509格式证书
-req：输入csr文件
-in：要输入的csr文件
-CA：指定ca证书的路径
-CAkey：指定ca证书的私钥路径
-CAcreateserial：表示创建证书序列号文件，创建的序列号文件默认名称为ca.srl
----------------------------------------------------------------------------------------------------------

步骤二：准备Dockerfile文件构建镜像

[root@localhost nginx]#ls
cert  Dockerfile  html  nginx-1.24.0.tar.gz  nginx.conf
[root@localhost nginx]#ls cert/
server-cert.pem  server-key.pem
[root@localhost nginx]#ls html/
index.php  test.html  wordpress
[root@localhost nginx]#cat html/test.html 
test
[root@localhost nginx]#cat Dockerfile 
FROM centos:7 as build
#基于centos7镜像
MAINTAINER nginx on centos7 by lxy-20240125
#注释信息
ADD nginx-1.24.0.tar.gz /opt/
#将nginx安装包传输到镜像中
RUN yum -y install pcre-devel zlib-devel gcc gcc-c++ make openssl openssl-devel&& \
    cd /opt/nginx-1.24.0 && \
    ./configure --prefix=/usr/local/nginx --user=nginx --group=nginx --with-http_stub_status_module --with-http_ssl_module && \
    make && make install
#下载编译安装nginx的依赖环境，以及创建nginx用户，进入nginx目录中，完成配置--编译--安装
ENV PATH=$PATH:/usr/local/nginx/sbin/
#创建镜像的环境变量
COPY cert/ /usr/local/nginx/cert/
ADD nginx.conf /usr/local/nginx/conf/nginx.conf
#将配置文件传输的镜像中,覆盖原有的nginx.conf文件
RUN chmod 777 -R /usr/local/nginx/html/
#修改权限

FROM centos:7
#再次基于centos7
COPY --from=build /usr/local/nginx /usr/local/nginx
#把第一阶段的安装目录复制到第二阶段
RUN useradd -M -s /sbin/nologin nginx
#必须的有个nginx用户
EXPOSE 443
EXPOSE 80
#暴露80端口
CMD ["/usr/local/nginx/sbin/nginx", "-g", "daemon off;"]
#设置启动命令
[root@localhost nginx]#vim nginx.conf 
[root@localhost nginx]#docker build -t nginx:https .

        server {
        listen       443 ssl;
        server_name  www.benet.com;
        ssl_certificate /usr/local/nginx/cert/server-cert.pem;
        ssl_certificate_key /usr/local/nginx/cert/server-key.pem;
        ssl_session_timeout  5m;
        ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
        ssl_prefer_server_ciphers on;

        location ~ \.html$ {
            root   html;
            index  index.html index.htm;
        }
    }

 

 

步骤三：docker run启动容器并将其映射到443端口

[root@localhost nginx]#docker run -id --name n1 -v /docker/nginx/html/:/usr/local/nginx/html/ -p 443:443 nginx:https 
##将443端口映射到宿主机的443端口
[root@localhost nginx]#docker ps -a

测试页面

再来一个容器