Как установить let's encrypt сертификат в docker совместно с nginx и certbot?

Question

[georgich]

Приветствую.
Настройку производил по этому мануалу, но есть загвоздка. Вот файл docker-compose.yml:

version: "3.1"
services:
    db:
      image: mariadb
      container_name: test-mariadb
      restart: always
      volumes:
        - ./db/data/:/var/lib/mysql/
        - ./db/etc/:/etc/mysql/conf.d
        - ./db/logs/:/var/lib/mysql/logs/
      environment:
        - MYSQL_ROOT_PASSWORD=pass
        - MYSQL_USER=sqluser
        - MYSQL_PASSWORD=pass
      ports:
        - "127.0.0.1:3306:3306"
    
    php:
      build: 
        context: ./php
        dockerfile: Dockerfile.dockerfile
      container_name: test-php
      volumes:
        - ./public_html/:/var/www/html
      depends_on:
        - db

    apache:
      image: httpd:2.4
      container_name: test-apache
      volumes:
        - ./public_html/:/var/www/html
        - ./httpd/httpd.conf:/usr/local/apache2/conf/httpd.conf
      depends_on:
        - php

    nginx:
      image: nginx:1.17
      container_name: test-nginx
      volumes:
        - ./public_html/:/var/www/html
        - ./nginx/nginx.conf:/etc/nginx/nginx.conf
        - ./certbot/conf:/etc/letsencrypt
        - ./certbot/www:/var/www/certbot
      ports:
        - "80:80"
        - "443:443"

    certbot:
      image: certbot/certbot
      container_name: test-certbot
      restart: always
      volumes:
        - ./certbot/conf:/etc/letsencrypt
        - ./certbot/www:/var/www/certbot

Сами сертификаты у меня получены через SSL for free. Так я верифицировал домен руками через ./well-known. На руках у меня два сертификата (ca_bundle.crt, certificate.crt) и ключ private.key. Если я правильно понял, то данные из ca_bundle можно спокойно прописать в certificate.crt в конце и переименовать файлы в certificate.pem и private.pem.
Вопрос: исходя из файла docker-compose.yml куда мне нужно положить данные сертификаты и что прописать в nginx.conf? Сейчас в нём в блоке http следующее:

server {
        listen 80 default_server;
        return 444;
    }

    server {
        listen      80;
        server_name domain.ru www.domain.ru;
        root        /var/www/html;

        location / {
            index   index.html index.php;
        }

        location ^~ /.well-known/acme-challenge/ {
            default_type "text/plain";
            root        /var/www/html;
        }
    }

Заранее большое спасибо!

Comments

[WinPooh32]

Если не делаете все по гайду, то забудьте про него.

Просто пробросьте папку с сертификатами (точно так же, как вы пробросили конфиги) в образ с nginx и пропишите в конфигах путь к ним. Все.

П.C. И зачем вам одновременно apache и nginx? :)

[georgich]

WinPooh32, в мануале для конфига написаны такие строки:

ssl_certificate /etc/letsencrypt/live/example.org/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/example.org/privkey.pem;

Т.е. мне в папке /certbot/conf надо создать папки live, в ней domain.ru и туда положить ключи?

nginx у меня в качестве прокси.

[WinPooh32]

georgich, вам sertbot не нужен вообще, если вы кладёте сертификаты вручную. Он нужен для автоматического их получения.

Т.е. мне в папке /certbot/conf надо создать папки live, в ней domain.ru и туда положить ключи?

положите их куда угодно, главное чтобы они были доступны в этом образе и прописаны в конфиге nginx.

nginx у меня в качестве прокси.

странная у вас архитектура, потому что nginx может запускать php-скрипты сам с помощью php-fpm.

[georgich]

WinPooh32, сертбот мне нужен для дальнейшего их получения. Первое получение сертификата я сделал руками, чтобы не куралеситься со скриптами и временными сертификатами, как написано в мануале. Поэтому у меня задача теперь засунуть валидные сертификаты куда-то (пока ещё не разобрался) и далее сертбот уже будет проверять срок истечения и отправлять запрос на перевыпуск. Надеюсь, что разъяснил.

Проекта всё равно ещё нет. Мне ничего не мешает в дальнейшем, после настройки сертификатов, отключить httpd контейнер. Он всё равно не сконфигурирован ещё.

[developer007]

называется ожидание реальность) когда в мануале всё красиво модно молодежно а в реальности говно получается

[georgich]

hwnd32, и главное - за 5 минут!

[Сергей]

WinPooh32, ну nginx+apache достаточно популярная схема работы, особенно когда это какой-нибудь битрикс

[Сергей]

georgich, может тогда стоит и получать первый раз автоматически.

[WinPooh32]

Сергей, не работал с битриксом. Он привязан к apache2? Если даже так, то тогда зачем nginx?

[deadlymercury]

WinPooh32, обрабатывать статику апачем - очень ресурсоемко.
Хотя да, обычно nginx+apache используется не для php: для этого обычно используют nginx+php-fpm и здесь отдельно стоит заметить, что php-fpm - это практически веб-сервер (или точнее SAPI), а не "модуль nginx": то есть nginx не "обрабатывает php с помощью php-fpm" - nginx проксирует запросы в php-fpm и тот на них отвечает; технически такая связка от nginx+apache ничем не отличается, как и от nginx+uwsgi. А что использовать - apache, php-fpm или еще что-то зависит от задач и ресурсов, ну и конечно знаний.

[deadlymercury]

georgich, вам в принципе на ваш вопрос ответили - вы можете положить ключи куда угодно и ничего от этого зависеть не будет. То есть условно кладете ключи в например /root/ssl, далее в докер-контейнер например добавляете том /root/ssl:/etc/nginx/ssl и потом в конфигурации пишите:

listen 443 ssl;
ssl_certificate     /etc/nginx/ssl/blablabla.crt;
ssl_certificate_key /etc/nginx/ssl/blablabla.key;

blablabla

В этом вопросе вы никак не зависите от сертбота и вам на его существование наплевать. Просто абстрагируетесь от него и настраиваете https :)

Что касается certbot - то для него не надо "делать сертификаты вручную", там более сложная процедура и фактически для того, чтобы сертификат продлевался или выписывался автоматически - вам надо добиться, чтобы домен проходил проверку автоматически. Это отдельный вопрос и он никак не связан с подключением сертификата в nginx. Опять же, надо думать про него как отдельный вопрос и экспериментировать с тем, как вы можете настроить автопроверку домена.

Описана она здесь:
https://certbot.eff.org/docs/using.html

Фактически проверка возможна двумя вариантами: либо на сайте автоматически появляется проверочный файлик (сюда относятся авторизация с помощью nginx, apache, haproxy и тд), либо в dns-записях домена автоматически появляется txt-запись. Именно автоматическая проверка - ключ к возможности автоматического продления сертификата. Без нее никак - то есть нельзя один раз валидировать домен вручную, а потом автоматически продлевать выданный сертификат.

Соответственно какой вариант авторизации выбрать - зависит от ваших требований. У нас было два основных требования: а) нам нужен wildcard (то есть проверка на уровне вебсервера уже не подходит) и б) желательно, чтобы перевыпуск сертификата мог запускаться на любой инфраструктурной машине, а не на балансировщиках с nginx (что дополнительно поставило крест на проверке с помощью вебсервера). В результате был выбран метод с проверкой через днс и поскольку у нас свои днс - плагин certbot-dns-rfc2136:
https://certbot-dns-rfc2136.readthedocs.io/en/stable/

Соответственно уже после того, как вы обеспечите автоматический выпуск сертификата сертботом (отдельно можно заметить, что можно сертификат не продлевать - а тупо каждый раз выписывать новый; продлить сертификат можно примерно за месяц до его окончания, тогда как выписать его можно например раз в месяц, а точнее у летсенкрипта есть лимит на 10 сертификатов для связки домен+аккаунт в неделю) - уже можно посмотреть, в какую папку складывает файлы сертбот - и монтировать ее в контейнер с nginx, чтобы он подхватывал новые сертификаты. Отдельно надо заметить, что при обновлении сертификата нужно будет скомандовать nginx -s reload.

Answer 1

[neatsoft]

Проблема в неправильном выборе инструмента. Для решения этой задачи гораздо лучше подходит Traefik: он умеет динамически подхватывать контейнеры, которым необходим доступ извне, автоматически получать let's encrypt сертификаты, роутить запросы на основании имени домена / пути, и выступать в качестве load balancer-а. Настраивается гораздо проще, чем Nginx: вся конфигурация - несколько строк.

Comments

[Trahibidadido]

Traefik все равно будет нуждаться в бекенде, в виде того же nginx. Явных плюсов он не даст в этом сценарии, а вот геморроя в настройке сильно больше.

При этом для второй версии толком информации нет, кроме доки

[Георг Гаал]

Аналогом traefik может выступать nginx в сборке от jwilder, но я ее не люблю. Это раз.
Два. Вы там придумали какой-то головняк с необходимостью подсовывать сертификаты. Если машина доступна из интернета - можно получить сертификаты LE на нее. Либо через HTTP проверку, либо через DNS. Приключения с переносом сертификатов начинаются именно, когда проверить напрямую невозможно.

[Георг Гаал]

> исходя из файла docker-compose.yml куда мне нужно положить данные сертификаты и что прописать в nginx.conf?

В любое место, где они будут доступны.
Т.е. в volumes: добавляете две записи вида
- ./my_super.pem:/etc/ssl/my_super.pem
И стандартным образом в nginx прописываете сертификат (приватный ключ) по пути внутри контейнера

[neatsoft]

Trahibidadido,
1. TLS прокси необходимо размещать над load balancer-ом / reverse proxy, иначе невозможно будет роутить запросы между сервисами на базе путей.
2. Один из базовых принципов докеризации: один контейнер - один процесс. Масштабирование контейнеризованных приложений производится увеличением либо уменьшением количества экземляров каждого из сервисов, следовательно reverse proxy для докеризованных приложений должен уметь осуществлять Auto Discovery. Nginx на эту роль не годится.
3. Хранение медиа файлов (user uploaded) - это задача сторонней службы (Backing Service), например, Amazon S3 или Minio. Статические файлы - это часть артефакта, следовательно они должны отдаваться самим приложением, например, с помощью WhiteNoise. Ни там ни там Nginx не нужен.
4. Правильная настройка Traefik в разы проще, чем правильная настройка Nginx.
5. Traefik даёт возможность хостить множество не связанных друг с другом проектов на одном IP адресе (крайне полезно для локальных окружений)
6. Использование Traefik в процессе разработки позволяет интуитивно создавать приложения, готовые к оркестрации и масштабированию в production окружениях.

Nginx - это отличный веб сервер, но как и Apache, он не подходит на роль tls proxy или reverse proxy для приложений внутри docker контейнеров. Традиционный подход к разработке стремительно вытесняется двенадцати факторной методологией (The Twelve-Factor App), и старые инструменты перестают быть универсальными. Я и сам довольно долго держался за Nginx, т.к. привык к нему, но настало время идти дальше. Traefik в 2019 - это как Nginx в 2009: словно глоток свежего воздуха!

[neatsoft]

Trahibidadido, Вторую версию пока не смотрел, использую контейнер с 1.7. Ничего кроме доки для настройки и не требуется - там всё отлично расписано

[georgich]

neatsoft, это вы, конечно, прикольно ворвались в пост :) Я не разобрался пока ни с certbot'ом, ни с вашей поделкой. Я не владелец миллиона доменных имён, про которые не в состоянии помнить об их продлении. Но лично для меня, как для человека неопытного в настройке вот этого вот всего, ни certbot, ни ваш Traefik непонятен.
Для простой задачи перевыпуска сертификата надо городить каких-то монстров... Это печально.

[neatsoft]

georgich, Это не моя поделка, а офигительный инструмент, который позволил многим разработчикам раз и навсегда избавиться от значительной части рутинных задач.
Nginx по прежнему остаётся отличным http сервером для раздачи статики, но разработка современных приложений с его помощью - это всё равно что создание сайтов на голом php.
Советую ознакомиться с двенадцатифакторной методологией - это базис DevOps-а. А после этого поставить Traefik, и перестать мучиться с конфигами Nginx.

Вот мой конфиг Traefik, который автоматически подхватывает все проекты, получает для них необходимые сертификаты, и роутит запросы между контейнерами:

docker-compose.yml:

version: '3'

services:
  traefik:
    image: traefik:v1.7.12
    container_name: traefik
    restart: always
    ports:
      - "80:80"
      - "443:443"
    volumes:
      - /var/run/docker.sock:/var/run/docker.sock
      - ./traefik.toml:/traefik.toml
      - ./rules.toml:/rules.toml
      - ./acme.json:/acme.json

networks:
  default:
    external:
      name: traefik

rules.toml:

[backends]
  [backends.traefik]
    [backends.traefik.servers.server1]
      url = "http://127.0.0.1:8080"

[frontends]
  [frontends.traefik]
    backend = "traefik"
    [frontends.traefik.routes.test]
      rule = "Host:traefik.localhost"

traefik.toml: # на dev серверах

defaultEntryPoints = ["http", "https"]

[entryPoints]
  [entryPoints.http]
  address = ":80"
    [entryPoints.http.redirect]
    entryPoint = "https"
  [entryPoints.https]
  address = ":443"
  [entryPoints.https.tls]
    [[entryPoints.https.tls.certificates]]

[docker]
exposedbydefault = false
network = "traefik"

[api]
  [api.statistics]

[acme]
email = "myemail@gmail.com"
storage = "acme.json"
entryPoint = "https"
onHostRule = true
[acme.httpChallenge]
entryPoint = "http"

[file]
  filename = "rules.toml"
  watch = true

traefik.toml # на рабочей станции

defaultEntryPoints = ["http", "https"]

[entryPoints]
  [entryPoints.http]
  address = ":80"

[docker]
exposedbydefault = false
network = "traefik"

[api]
  [api.statistics]

[file]
  filename = "rules.toml"
  watch = true

Устанавливается и запускается с помощью

docker network create traefik; docker-compose up -d

и больше не требует никакой настройки или обслуживания. После этого для того чтобы захостить любой контейнер, достаточно добавить в docker-compose.yml проекта:

networks:
  traefik:
    external: true

и

labels:
      - "traefik.enable=true"
      - "traefik.frontend.rule=Host:myhostname.mydomain"
      - "traefik.port=8000"

Все необходимые сертификаты запросятся и подключатся автоматически. Через один контейнер с Traefik можно сервить неограниченное количество самых разных проектов - это очень удобно при разработке

Answer 2

[Trahibidadido]

Вы используете nginx как прокси, просто возьмите компаньона.
https://m.habr.com/ru/post/445448/ советую к прочтению.