在Docker环境下为Nginx配置HTTPS

news2024/12/23 17:24:25

前言

配置HTTPS已经成为网站部署的必要步骤。本教程将详细介绍如何在Docker环境下为Nginx配置HTTPS,使用自签名证书来实现加密通信。虽然在生产环境中建议使用权威CA机构颁发的证书,但在开发测试或内网环境中,自签名证书是一个很好的选择。

前置条件

在开始之前,确保系统已经安装:

  1. Docker(建议版本 20.10 或更高)
  2. OpenSSL(用于生成证书)

可以通过以下命令检查版本:

docker --version
openssl version

一、项目结构

项目的目录结构:

project/
├── Dockerfile
├── nginx/
│   ├── nginx.conf                # Nginx主配置文件
│   ├── conf.d/
│   │   └── default.conf         # 默认站点配置
│   └── ssl/                     # 将要创建的SSL证书目录
│       ├── nginx.crt            # 证书文件
│       └── nginx.key            # 私钥文件
├── source/
    └── dist/                    # 编译后的静态文件

二、生成自签名证书

2.1 创建证书目录

# 在项目根目录下执行
mkdir -p nginx/ssl
cd nginx/ssl

2.2 生成SSL证书和私钥

使用OpenSSL生成自签名证书。这个过程分为几个步骤:

  1. 生成私钥:
openssl genrsa -out nginx.key 2048
  1. 生成证书签名请求(CSR):
openssl req -new -key nginx.key -out nginx.csr \
    -subj "/C=CN/ST=YourState/L=YourCity/O=YourCompany/OU=IT Department/CN=your-domain.com"

参数说明:

  • /C:国家代码(例如CN代表中国)
  • /ST:省/州名
  • /L:城市名
  • /O:组织名称
  • /OU:部门名称
  • /CN:域名
  1. 使用私钥签名证书:
openssl x509 -req -days 3650 \
    -in nginx.csr \
    -signkey nginx.key \
    -out nginx.crt

2.3 设置正确的权限

chmod 600 nginx.key
chmod 644 nginx.crt

三、配置Nginx

3.1 创建新的Nginx配置文件

编辑 nginx/conf.d/default.conf

# HTTP服务器(重定向到HTTPS)
server {
    listen 80;
    listen [::]:80;
    server_name localhost;  # 在实际环境中替换为你的域名
    
    # 将所有HTTP请求重定向到HTTPS
    return 301 https://$server_name$request_uri;
}

# HTTPS服务器
server {
    listen 443 ssl;
    listen [::]:443 ssl;
    server_name localhost;  # 在实际环境中替换为你的域名
    
    # SSL证书配置
    ssl_certificate /etc/nginx/ssl/nginx.crt;
    ssl_certificate_key /etc/nginx/ssl/nginx.key;
    
    # SSL会话配置
    ssl_session_timeout 1d;
    ssl_session_cache shared:SSL:50m;
    ssl_session_tickets off;
    
    # SSL协议配置
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;
    ssl_prefer_server_ciphers off;
    
    # HSTS配置(如果需要)
    # add_header Strict-Transport-Security "max-age=63072000" always;
    
    # 静态文件配置
    location / {
        root   /opt/dist;
        index  index.html index.htm;
        try_files $uri $uri/ /index.html;
    }
    
    # 错误页面配置
    error_page   500 502 503 504  /50x.html;
    location = /50x.html {
        root   /usr/share/nginx/html;
    }
}

3.2 修改Dockerfile

编辑项目根目录下的Dockerfile:

FROM nginx:stable

# 复制Nginx配置文件
COPY ./nginx/nginx.conf /etc/nginx/nginx.conf
COPY ./nginx/conf.d/default.conf /etc/nginx/conf.d/default.conf

# 复制SSL证书
COPY ./nginx/ssl/nginx.crt /etc/nginx/ssl/
COPY ./nginx/ssl/nginx.key /etc/nginx/ssl/

# 复制应用文件
COPY ./source/dist /opt/dist/

# 设置时区
ENV TZ=Asia/Shanghai
RUN ln -snf /usr/share/zoneinfo/$TZ /etc/localtime && echo $TZ > /etc/timezone

# 设置证书权限
RUN chmod 600 /etc/nginx/ssl/nginx.key \
    && chmod 644 /etc/nginx/ssl/nginx.crt

ENTRYPOINT ["/docker-entrypoint.sh"]
CMD ["nginx", "-g", "daemon off;"]

四、构建和运行

4.1 构建Docker镜像

# 在项目根目录下执行
docker build -t my-nginx-ssl:v1 .

4.2 运行容器

docker run -d \
    --name my-nginx-ssl \
    -p 80:80 \
    -p 443:443 \
    my-nginx-ssl:v1

4.3 验证配置

  1. 检查容器是否正常运行:
docker ps
  1. 查看容器日志:
docker logs my-nginx-ssl
  1. 测试HTTPS连接:
curl -k https://localhost

4.4 成功访问

ps:可以直接使用 https://ip+端口 如果使用域名要先在hosts文件中添加

五、常见问题解决

5.1 证书不受信任警告

在使用自签名证书时,浏览器会显示证书不受信任的警告,这是正常的。你可以:

  1. 在开发环境中,点击"高级"然后"继续前往"(具体文字根据浏览器不同可能有所差异)
  2. 将证书添加到系统的受信任证书存储中
  3. 在生产环境中使用受信任的CA机构颁发的证书

5.2 无法访问HTTPS

如果无法访问HTTPS站点,请检查:

  1. 端口映射是否正确:
docker port my-nginx-ssl
  1. 防火墙是否开放443端口:
# Linux系统
sudo ufw status
# 如果需要开放端口
sudo ufw allow 443
  1. 证书文件权限是否正确:
# 进入容器检查
docker exec -it my-nginx-ssl bash
ls -l /etc/nginx/ssl/

5.3 配置测试

在应用到生产环境之前,可以使用以下命令测试Nginx配置:

# 进入容器
docker exec -it my-nginx-ssl bash

# 测试Nginx配置
nginx -t

六、安全建议

  1. 定期更新证书
  2. 使用强密码算法
  3. 启用HTTP/2
  4. 配置适当的SSL会话缓存
  5. 考虑启用HSTS
  6. 定期更新Nginx版本以修复安全漏洞

七、维护建议

  1. 证书更新
# 生成新证书
openssl x509 -req -days 365 \
    -in nginx.csr \
    -signkey nginx.key \
    -out nginx.crt.new

# 备份旧证书
mv /etc/nginx/ssl/nginx.crt /etc/nginx/ssl/nginx.crt.old
mv nginx.crt.new /etc/nginx/ssl/nginx.crt

# 重启Nginx
nginx -s reload
  1. 日志检查
# 查看访问日志
tail -f /var/log/nginx/access.log

# 查看错误日志
tail -f /var/log/nginx/error.log

总结

  1. 生成自签名SSL证书
  2. 配置Nginx支持HTTPS
  3. 使用Docker部署HTTPS服务
  4. 常见问题的解决方法
  5. 维护操作

自签名证书适用于开发和测试环境。在生产环境中,建议使用受信任的CA机构颁发的证书。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2240644.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Python →爬虫实践

爬取研究中心的书目 现在&#xff0c;想要把如下网站中的书目信息爬取出来。 案例一 耶鲁 Publications | Yale Law School 分析网页&#xff0c;如下图所示&#xff0c;需要爬取的页面&#xff0c;标签信息是“<p>”&#xff0c;所以用 itemssoup.find_all("p&…

expo5.2运行web报错Cannot find module ‘react‘

修改app.json中的web output 配置为 ‘single’ 可以解决 expo run web 这个错误问题 "web": {"bundler": "metro","output": "single","favicon": "./assets/images/favicon.png"},相关链接&#xff1…

信号保存和信号处理

目录 信号保存中重要的概念 内核中信号的保存 对sigset_t操作的函数 对block&#xff0c;pendding&#xff0c;handler三张表的操作 sigpromask ​编辑 sigpending 是否有sighandler函数呢&#xff1f; 案例 信号处理 操作系统是如何运行的&#xff1f; 硬件中断 …

C#从入门到放弃

C#和.NET的区别 C# C#是一个编程语言 .NET .NET是一个在window下创建程序的框架 .NET框架不仅局限于C#,它还可以支持很多语言 .NET包括了2个组件&#xff0c;一个叫CLR(通用语言运行时)&#xff0c;另一个是用来构建程序的类库 CLR 用C写一个程序&#xff0c;在一台8688的机器…

STM32 HAL 矩阵按键(轮询方式)

1、简介 最近准备做个门禁系统,首先通过4x4矩阵按键实现密码的设定,查看网上资料完成了4x4矩阵按键的初步使用,整理一个傻瓜式操作方便后续的使用与复习。 2、实物图 3、STM32CubeMX配置 4、KEY.C /******************************************************************…

linux网络编程9——无锁队列

文章目录 无锁队列1. 无锁队列原理1.1 多线程并发控制策略介绍1.2 无锁队列概念1.3 无锁队列的分类1.3.1 以生产者消费者数量划分1.3.2 以底层数据结构划分1.3.3 侵入式与非侵入式链表队列 1.4 无锁队列应用场景 2. 无锁队列的实现2.1 MPSCQueue2.2 rte_ring 学习参考 无锁队列…

【电子设计】按键LED控制与FreeRTOS

1. 安装Keilv5 打开野火资料,寻找软件包 解压后得到的信息 百度网盘 请输入提取码 提取码:gfpp 安装526或者533版本都可以 下载需要的 F1、F4、F7、H7 名字的 DFP pack 芯片包 安装完 keil 后直接双击安装 注册操作,解压注册文件夹后根据里面的图示步骤操作 打开说明 STM…

(四)P2Link内置HTTP服务,分享本地文件

P2Link可快速为本地文件目录提供公网HTTP服务地址&#xff0c;用于远程浏览和下载本地文件&#xff0c;类似于nginx等服务器软件的静态资源功能。 相较于前两篇&#xff0c;Windows连接P2Link的WebDAV服务和Windows连接P2Link的FTP服务中描述的方案&#xff0c;通过HTTP分享文件…

Charles抓https包-配置系统证书(雷电)

1、导出证书 2、下载 主页上传资源中有安装包&#xff0c;免费的 openssl 安装教程自己搜 openssl x509 -subject_hash_old -in charles.pem 3、修改证书名、后缀改成点0 雷电打开root和磁盘写入 4、导入雷电证书根目录 证书拖进去&#xff0c;基本就完成了&#xff…

认证鉴权框架SpringSecurity-1--概念和原理篇

1、基本概念 Spring Security 是一个强大且高度可定制的框架&#xff0c;用于构建安全的 Java 应用程序。它是 Spring 生态系统的一部分&#xff0c;提供了全面的安全解决方案&#xff0c;包括认证、授权、CSRF防护、会话管理等功能。 2、认证、授权和鉴权 &#xff08;1&am…

动态规划一>子数组系列

题目&#xff1a; 2.解析&#xff1a; 代码&#xff1a; public int maxSubArray(int[] nums) {int n nums.length;int[] dp new int[n 1];int ret Integer.MIN_VALUE;for(int i 1; i < n; i){dp[i] Math.max(nums[i - 1], dp[i - 1] nums[i - 1]);ret Math.max(…

ctfshow DSBCTF web部分wp

ctfshow 单身杯 web部分wp web 签到好玩的PHP 源码&#xff1a; <?php error_reporting(0); highlight_file(__FILE__);class ctfshow {private $d ;private $s ;private $b ;private $ctf ;public function __destruct() {$this->d (string)$this->d;$this…

【How AI Works】读书笔记2 出发吧! AI纵览 第一部分

目录 1.说明 2.第一部分(P5~P8) 如何控制几乎所有计算机的方式 三个计算机的先驱人物 AI,机器学习和深度学习之间的关系 机器学习的介绍 深度学习的介绍 AI的介绍 模型 3.单词 4.专业术语 1.说明 书全名:How AI Works From Sorcery to Science 作者 Ronald T.Kneus…

MQ集群

目录 MQ集群 集群分类 普通集群 集群结构和特征 集群的部署 获取cookie 准备集群配置 启动集群 镜像模式 镜像模式的特征 镜像模式的配置 exactly模式 仲裁队列 集群特征仲裁队列&#xff1a;仲裁队列是3.8版本以后才有的新功能&#xff0c;用来替代镜像队列&#…

【excel】easy excel如何导出动态列

动态也有多重含义&#xff1a;本文将描述两种动态场景下的解决方案 场景一&#xff1a;例如表头第一列固定为动物&#xff0c;且必定有第二列&#xff0c;第二列的表头可能为猫 也可能为狗&#xff1b;这是列数固定&#xff0c;列名不固定的场景&#xff1b; 场景二&#xff1…

P10901 [蓝桥杯 2024 省 C] 封闭图形个数

铁子们好呀&#xff0c;今天博主给大家更新一道编程题&#xff01;&#xff01;&#xff01; 题目链接如下&#xff1a; P10901 [蓝桥杯 2024 省 C] 封闭图形个数 好&#xff0c;接下来&#xff0c;我将从三个方面讲解这道例题。分别是 题目解析算法原理代码实现 文章目录 1.题…

【深度学习】神经网络优化方法 正则化方法 价格分类案例

神经网络优化方法 正则化方法 价格分类案例 梯度下降法 ​ 梯度下降法是一种寻找损失函数最小的方法,从数学上的角度来看&#xff0c;梯度的方向是函数增长速度最快的方向&#xff0c;那么梯度的反方向就是函数减少最快的方向&#xff0c;所以有&#xff1a; 其中&#xff0c…

UE5 umg学习(四) 将UI控件显示到关卡中

视频资料 7、将UI控件渲染到关卡_哔哩哔哩_bilibili 在前三节里&#xff0c;创建了用户的控件蓝图Widget_BP 目标是运行的时候&#xff0c;开始运行这个蓝图&#xff0c;因此需要在开始事件触发运行 首先&#xff0c;回到主页&#xff0c;点击关卡蓝图 要从事件开始运行时 …

数字图像处理(c++ opencv):图像复原与重建-常见的滤波方法--自适应滤波器

自适应局部降噪滤波器 自适应局部降噪滤波器&#xff08;Adaptive, Local Noise Reduction Filter&#xff09;原理步骤 步骤 &#xff08;1&#xff09;计算噪声图像的方差 &#xff1b; &#xff08;2&#xff09;计算滤波器窗口内像素的均值 和方差 &#xff1b; &…

websocket身份验证

websocket身份验证 前言 上一集我们就完成了websocket初始化的任务&#xff0c;那么我们完成这个内容之后就应该完成一个任务&#xff0c;当客户端与服务端连接成功之后&#xff0c;客户端应该主动发起一个身份认证的消息。 身份认证proto 我们看一眼proto文件的内容。 我…