Docker 内部署的 Nginx，结合免费的SSL Let’s Encrypt 部署 HTtps，自动更新证书有效期，给你的浏览器地址栏加个绿色的锁，让你的站点更加安全。

Docker

镜像

docker pull certbot

配置

注：修改 nginx 配置，在 server 模块下新增如上配置，注意路径变更，且该路径为 docker 下的路径。

location ^~ /.well-known/acme-challenge/ {    default_type "text/plain";    root /www/makeit;}location = /.well-known/acme-challenge/ {    return 404;}

运行

注：这里采用 webroot 验证方式，–webroot -w 所配置的参数为 docker 下的目录。

docker run -it --rm --name certbot -v /makeit/docker/nginx/letsencrypt:/etc/letsencrypt -v /var/lib/letsencrypt:/var/lib/letsencrypt -v /makeit/web/home:/www/makeit certbot/certbot certonly --webroot -w /www/makeit --email makeit@makeit.vip -d www.makeit.vip

成功生成证书的提示

有效期

# 可根据如下命令查看证书有效时长# -in 后面为刚刚生成时存放的证书路径openssl x509 -noout -dates -in /makeit/docker/nginx/letsencrypt/live/www.makeit.vip/cert.pem

自动更新

新建脚本

touch renew.sh

脚本内容

#!/bin/bashdocker run -it --rm --name certbot -v /makeit/docker/nginx/letsencrypt:/etc/letsencrypt -v /var/lib/letsencrypt:/var/lib/letsencrypt -v /makeit/web/home:/www/home certbot/certbot certonly --webroot -w /www/home --force-renew --email makeit@makeit.vip -d www.makeit.vipdocker kill nginxdocker start nginx

修改权限

chmod +x /makeit/docker/nginx/renew.sh

定时任务（每月1号执行1次脚本）

crontab -e0 0 1 * * /makeit/docker/nginx/renew.sh

PFS键值

PFS（perfect forward secrecy），中文可叫做完全前向保密。要求一个密钥只能访问由它所保护的数据；用来产生密钥的元素一次一换，不能再产生其他的密钥；一个密钥被破解，并不影响其他密钥的安全性

mkdir /makeit/docker/nginx/ssl/private -pcd /makeit/docker/nginx/ssl/privateopenssl dhparam 2048 -out dhparam.pem

NGINX

配置示例

server {    listen80;    listen443 ssl;    server_namemakeit.vip www.makeit.vip;    root /www/makeit;    access_log /var/log/nginx/access.log main;    error_log /var/log/nginx/error.log warn;    ssl_certificate             letsencrypt/live/www.makeit.vip/fullchain.pem;    ssl_certificate_key         letsencrypt/live/www.makeit.vip/privkey.pem;    ssl_protocols               TLSv1 TLSv1.1 TLSv1.2;    ssl_ciphers                 ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;    ssl_prefer_server_ciphers   on;    ssl_session_timeout         5m;    ssl_session_tickets         on;    ssl_dhparam                 ssl/private/dhparam.pem;    location / {        index   index.html index.htm index.php index.jsp;    }    error_page  500 502 503 504 /50x.html;    location /50x.html {        root /www;    }    location ~ /. {        return 403;    }    location ~* ^.+.(jpg|jpeg|gif|png|bmp|css|js|swf)$ {        access_log off;    }    location ~ .php$ {        root           /www/makeit;        fastcgi_pass   php:9000;        fastcgi_index  index.php;        fastcgi_split_path_info ^(.+.php)(.*)$;        fastcgi_param  PATH_INFO        $fastcgi_path_info;        fastcgi_param  SCRIPT_FILENAME  $document_root$fastcgi_script_name;        include        fastcgi_params;    }    location ~ /.ht {        deny  all;    }}

NGINX

注：后3个 -v 映射的目录，请都映射在 nginx 容器的根目录下。

docker run --name nginx -d -p 80:80 -p 443:443 --restart=always -v /makeit/web:/www -v /makeit/logs/nginx:/var/log/nginx -v /makeit/docker/nginx/nginx.conf:/etc/nginx/nginx.conf:ro -v /makeit/docker/nginx/conf.d:/etc/nginx/conf.d -v /makeit/docker/nginx/letsencrypt:/etc/nginx/letsencrypt -v /makeit/docker/nginx/ssl:/etc/nginx/ssl --link php nginx

查看效果

证书生效

证书已经生效，浏览器已经加了“锁”标识，成功啦 ~