摘要:?jiǎn)?dòng)容器訪問(wèn)驗(yàn)證配置是否正確�,如果能夠正常訪問(wèn)說(shuō)明配置成功,由于是自簽名證書(shū)����,打開(kāi)時(shí)會(huì)提示證書(shū)不安全,忽略即可���。
證書(shū)生成
首先需要有https的證書(shū)文件��,如果你已經(jīng)向證書(shū)授權(quán)中心購(gòu)買(mǎi)了證書(shū)��,可以跳過(guò)這步�,這里介紹如何生成自簽名證書(shū)����,自簽名證書(shū)是指不是證書(shū)授權(quán)中心(Certificate Authority)頒發(fā)的證書(shū)�,而是在個(gè)人計(jì)算機(jī)上通過(guò)相關(guān)工具自己生成的證書(shū)�,一般用于測(cè)試,不可用于生產(chǎn)環(huán)境�����。
為了方便管理證書(shū)(證書(shū)生成過(guò)程中會(huì)產(chǎn)生很多文件)�,我們可以多帶帶創(chuàng)建一個(gè)目錄用于存放證書(shū)文件,下面是通過(guò)openssl工具生成證書(shū)的過(guò)程�。
1. 創(chuàng)建目錄
$ cd ~
$ mkdir ssl
$ cd ssl
2. 創(chuàng)建秘鑰文件
創(chuàng)建秘鑰文件definesys.key,名稱(chēng)可以自定義���,需要指定密碼(隨意密碼即可)
$ openssl genrsa -des3 -out definesys.key 1024
Generating RSA private key, 1024 bit long modulus
.......++++++
..................++++++
e is 65537 (0x10001)
Enter pass phrase for definesys.key:
Verifying - Enter pass phrase for definesys.key:
3. 創(chuàng)建csr證書(shū)
需要輸入相關(guān)信息�����,比較重要的是Common Name,這個(gè)是訪問(wèn)nginx的地址
$ openssl req -new -key definesys.key -out definesys.csr
Enter pass phrase for definesys.key:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter ".", the field will be left blank.
-----
Country Name (2 letter code) [AU]:CN
State or Province Name (full name) [Some-State]:Shanghai
Locality Name (eg, city) []:Shanghai
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Definesys
Organizational Unit Name (eg, section) []:Definesys
Common Name (e.g. server FQDN or YOUR name) []:www.definesys.com
Email Address []:jianfeng.zheng@definesys.com
Please enter the following "extra" attributes
to be sent with your certificate request
A challenge password []:可以不用輸
An optional company name []:可以不用輸
#此時(shí)文件
$ ssl ll
total 16
-rw-r--r-- 1 asan staff 733 1 3 23:57 definesys.csr
-rw-r--r-- 1 asan staff 963 1 3 23:55 definesys.key
4. 去除秘鑰密碼
nginx使用私鑰時(shí)需要去除密碼����,執(zhí)行以下命令時(shí)需要輸入秘鑰的密碼
$ cp definesys.key definesys.key.bak
$ openssl rsa -in definesys.key.bak -out definesys.key
Enter pass phrase for definesys.key.bak:
writing RSA key
5. 生成crt證書(shū)
$ openssl x509 -req -days 3650 -in definesys.csr -signkey definesys.key -out definesys.crt
Signature ok
subject=/C=CN/ST=Shanghai/L=Shanghai/O=Definesys/OU=Definesys/CN=www.definesys.com/emailAddress=jianfeng.zheng@definesys.com
Getting Private key
#此時(shí)文件列表
$ ssl ll
total 32
-rw-r--r-- 1 asan staff 1017 1 4 00:03 definesys.crt
-rw-r--r-- 1 asan staff 733 1 3 23:57 definesys.csr
-rw-r--r-- 1 asan staff 887 1 4 00:02 definesys.key
-rw-r--r-- 1 asan staff 963 1 4 00:01 definesys.key.bak
nginx容器配置
1. 證書(shū)文件上傳
將definesys.crt文件和definesys.key文件拷貝到服務(wù)器上,假設(shè)你服務(wù)器上nginx的配置文件在/etc/nginx/目錄下����,可以在該目錄下創(chuàng)建一個(gè)文件夾�,這里命名certs�����,將文件拷貝至該文件夾下�����。
2. 配置文件修改
修改配置文件nginx.conf
server {
listen 443 ssl;
server_name www.definesys.com;
ssl_certificate /etc/nginx/certs/definesys.crt;
ssl_certificate_key /etc/nginx/certs/definesys.key;
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 5m;
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;
location / {
root /usr/share/nginx/html;
index index.html index.htm;
}
}
如果server配置不在nginx.conf文件上��,可以在conf.d文件夾下找.conf后綴的文件�����,一般有個(gè)default.conf文件��。
3. 啟動(dòng)容器
docker run -d --restart=unless-stopped -p 443:443 -v /etc/nginx/:/etc/nginx -v /var/run/docker.sock:/tmp/docker.sock:ro -v /u01/application:/usr/share/nginx/html nginx
訪問(wèn)https://localhost驗(yàn)證配置是否正確�,如果能夠正常訪問(wèn)說(shuō)明配置成功,由于是自簽名證書(shū)�,打開(kāi)時(shí)會(huì)提示證書(shū)不安全,忽略即可���。
文章版權(quán)歸作者所有����,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除�。
轉(zhuǎn)載請(qǐng)注明本文地址:http://www.ezyhdfw.cn/yun/27641.html
