Почему nginx из Docker контейнера не реагирует на проброшенные в него сертификаты?

Question

EVOSandru6 @EVOSandru6

Nginx
Docker

Почему nginx из Docker контейнера не реагирует на проброшенные в него сертификаты?

Привет, ребят.

Подскажите, в как продиагностировать проблему. Аналогично указанному туториалу https://medium.com/@marksta/this-was-so-useful-tha...
прописал связку контейнеров и запустил скрипт создания фейковых сертификатов. Разница только в конфиге nginx (domen.ru - условно):

server {
    listen 80;
    server_name domen.ru;
    server_tokens off;
    root /public_html;

    location /.well-known/acme-challenge/ {
        root /var/www/certbot;
    }
}

server {
    listen 443 ssl;
    server_name domen.ru;
    server_tokens off;
    root /public_html;

    ssl_certificate /etc/letsencrypt/live/domen.ru/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/domen.ru/privkey.pem;
    include /etc/letsencrypt/options-ssl-nginx.conf;
    ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

    location / {
        index index.html;
    }
}

docker-compose.yml:

version: '3'

services:
  nginx:
    image: nginx:1.15-alpine
    restart: unless-stopped
    volumes:
      - ./public_html:/public_html
      - ./data/nginx:/etc/nginx/conf.d
      - ./data/certbot/conf:/etc/letsencrypt
      - ./data/certbot/www:/var/www/certbot
    ports:
      - "80:80"
      - "443:443"
    command: "/bin/sh -c 'while :; do sleep 6h & wait $${!}; nginx -s reload; done & nginx -g \"daemon off;\"'"
  certbot:
    image: certbot/certbot
    restart: unless-stopped
    volumes:
      - ./data/certbot/conf:/etc/letsencrypt
      - ./data/certbot/www:/var/www/certbot
    entrypoint: "/bin/sh -c 'trap exit TERM; while :; do certbot renew; sleep 12h & wait $${!}; done;'"

Следующей коммандой убеждаюсь, что предпочитаемые серитификаты есть:

docker exec nginx-certbot_nginx_1 ls /etc/letsencrypt/live/domen.ru;

cert.pem
chain.pem
fullchain.pem
privkey.pem

При запуске из директории проекта:
docker-compose up -d;

Обращаюсь на https://domen.ru - https перечеркивается.

Общее имя (CN) domen.ru
Организация (O) <Не является частью сертификата>
Подразделение (OU) <Не является частью сертификата>
Общее имя (CN) Fake LE Intermediate X1
Организация (O) <Не является частью сертификата>
Подразделение (OU) <Не является частью сертификата>
Дата выдачи воскресенье, 1 декабря 2019 г., 11:43:16
Срок действия суббота, 29 февраля 2020 г., 11:43:16
Отпечаток SHA-256 64 F6 68 51 A1 79 AA CA 2D 4C EF EB 42 88 87 9B
D9 11 E7 4A 17 C5 0C 0D BE 67 F4 CE E7 84 8A 6B
Отпечаток SHA-1 F3 9E C8 7D EA A9 06 A9 E9 1D 30 92 0A 9F 32 B7
63 57 8A EB

Может ли быть причиной то, что это фейковый серт и сертботовские еще не прогрузились?

При попытке обновить сертификат:

docker exec nginx-certbot_certbot_1 certbot renew;

Saving debug log to /var/log/letsencrypt/letsencrypt.log

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Processing /etc/letsencrypt/renewal/domen.ru.conf
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Cert not yet due for renewal

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

The following certs are not due for renewal yet:
/etc/letsencrypt/live/domen.ru/fullchain.pem expires on 2020-02-29 (skipped)
No renewals were attempted.

Что может быть не так?

Вопрос задан более трёх лет назад
385 просмотров

15 комментариев

Подписаться 1 Простой 15 комментариев

mureevms @mureevms

Есть предположение, что сертификаты не попадают в контейнер с nginx. Покажите docker-compose файл

Написано более трёх лет назад
Pavel Zamyatin @corw
прописал связку контейнеров и запустил скрипт создания фейковых сертификатов.
Может ли быть причиной то, что это фейковый серт и сертботовские еще не прогрузились?

А какого вы еще результата ждете от браузера? Он вашим сертификатам не доверяет и это нормально.
/etc/letsencrypt/live/domen.ru/fullchain.pem expires on 2020-02-29 (skipped)

Говорит вам прямо о том, что бот не пытался даже обновить сертификат, потому что времени еще предостаточно.
Написано более трёх лет назад

EVOSandru6 @EVOSandru6 Автор вопроса

mureevms,

Спасибо. docker-compose.yml:

version: '3'

services:
  nginx:
    image: nginx:1.15-alpine
    restart: unless-stopped
    volumes:
      - ./public_html:/public_html
      - ./data/nginx:/etc/nginx/conf.d
      - ./data/certbot/conf:/etc/letsencrypt
      - ./data/certbot/www:/var/www/certbot
    ports:
      - "80:80"
      - "443:443"
    command: "/bin/sh -c 'while :; do sleep 6h & wait $${!}; nginx -s reload; done & nginx -g \"daemon off;\"'"
  certbot:
    image: certbot/certbot
    restart: unless-stopped
    volumes:
      - ./data/certbot/conf:/etc/letsencrypt
      - ./data/certbot/www:/var/www/certbot
    entrypoint: "/bin/sh -c 'trap exit TERM; while :; do certbot renew; sleep 12h & wait $${!}; done;'"

Написано более трёх лет назад

EVOSandru6 @EVOSandru6 Автор вопроса
Pavel Zamyatin, Здравствуйте, получается, что внедренные фэйковые сертификаты не подлежат обновлению? Я не совсем понимаю какие сертификаты сейчас активны. Насколько я понял - что это не letsencrypt. Можно ли сделать в таком случае что-то вроде:

docker exec nginx-certbot_certbot_1 certbot renew --force;

? Не знаю как это синтаксически правильно. Ибо вариант, описанный в вопросе:

docker exec nginx-certbot_certbot_1 certbot renew

К успеху не привел.
Написано более трёх лет назад
Pavel Zamyatin @corw

EVOSandru6, Мне кажется, вы пропустили целую часть по ссылке, которую привели выше:

Now for the tricky part. We need nginx to perform the Let’s Encrypt validation But nginx won’t start if the certificates are missing. So what do we do? Create a dummy certificate, start nginx, delete the dummy and request the real certificates.

Но вообще это какие-то танцы с бубнами, если честно. Посмотрите в сторону traefik или вот здесь.

Написано более трёх лет назад

Дмитрий @q2digger

Я далаю вот так.

proxy:
    build: ./proxy
    restart: always
    ports:
      - 80:80
      - 443:443
    labels:
      com.github.jrcs.letsencrypt_nginx_proxy_companion.nginx_proxy: "true"
    volumes:
      - certs:/etc/nginx/certs:ro
      - vhost.d:/etc/nginx/vhost.d
      - html:/usr/share/nginx/html
      - /var/run/docker.sock:/tmp/docker.sock:ro
    networks:
      - proxy-tier

  letsencrypt-companion:
    image: jrcs/letsencrypt-nginx-proxy-companion
    restart: always
    volumes:
      - certs:/etc/nginx/certs
      - vhost.d:/etc/nginx/vhost.d
      - html:/usr/share/nginx/html
      - /var/run/docker.sock:/var/run/docker.sock:ro
    networks:
      - proxy-tier
    depends_on:
      - proxy

там где контейнер proxy , там просто собирается nginx с простым конфигом.

Написано более трёх лет назад

EVOSandru6 @EVOSandru6 Автор вопроса
Дмитрий, Спасибо. А каким образом Вы генерируете сертификаты для доменов - таким же образом как я или по другому? При данной сборке - есть ли необходимость генерировать фейковые сертификаты для первого запуска?

labels: com.github.jrcs.letsencrypt_nginx_proxy_companion.nginx_proxy: "true"

Не совсем понял из документации - зачем нужен этот фрагмент.
Написано более трёх лет назад
EVOSandru6 @EVOSandru6 Автор вопроса

Pavel Zamyatin,
Спасибо, ознакомлюсь.
В последней ссылке - профиль некоего автора. Вы подразумевали этот репозиторий - docker-letsencrypt-nginx-proxy-companion?

Написано более трёх лет назад
Дмитрий @q2digger

нет, контейнер-компаньон делает все сам.
строка нужна, чтобы он понял, что ему надо генерить сертификаты для данного контейнера (у меня просто два контейнера nginx , для разных целей, думаю Вы можете удалить это)

Написано более трёх лет назад
Pavel Zamyatin @corw

EVOSandru6, Да. У меня тостеру не нравился комментарий, пока я не удалил оттуда полную ссылку, без понятия почему.

Написано более трёх лет назад
EVOSandru6 @EVOSandru6 Автор вопроса

Дмитрий,
*там где контейнер proxy , там просто собирается nginx с простым конфигом.*
А в случае, если доменов несколько, он справится? Там еще Dockefile в proxy содержится? Случайно не в нем определяются настройки для letcencrypt - домены, почта и т.д?

Написано более трёх лет назад
Дмитрий @q2digger

у меня только один виртуальный хост, так что я не могу ответить про несколько доменов.
Надо разбирать скрипты автора этого контейнера , чтобы посмотреть как именно он генерит сертификаты, ну либо написать ему напрямую.

Написано более трёх лет назад
EVOSandru6 @EVOSandru6 Автор вопроса

Понял. спасибо, буду думать.

Написано более трёх лет назад
EVOSandru6 @EVOSandru6 Автор вопроса

Дмитрий,
Привет, если не трудно.ю можешь показать - какие пути получаются к сертификатам в nginx конфигурации относительно сборки:
proxy:
build: ./proxy
...

Если я правильно понимаю, то в conf должен быть default.conf , так?

И что должно храниться в папках
conf
vhost
html
dhparam
?

Где должен быть сам сайт и настройки nginx?

Написано более трёх лет назад
Дмитрий @q2digger

конейнер letsencrypt-companion поместит сертификаты в volume certs. Для контейнера proxy это папка /etc/nginx/certs.
В конфигурации nginx указано читать сертификаты оттуда, но я сам эти дериктивы в конфиг не вписывал, это все сделал контейнер-компаньон.
Сам сайт вообще находится в третьем контейнере, а фронтовый nginx настроек не имеет он просто кидает весь входящий на бакэнд.
Вот проект, который прекрасно иллюстрирует весь этот механизм.
https://github.com/nextcloud/docker/tree/master/.e...

Написано более трёх лет назад

Пригласить эксперта

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

Docker

+2 ещё

Простой
Docker+3Proxy + Radius «failed with code 1»?
- 1 подписчик
- 22 часа назад
- 31 просмотр
1

ответ
Docker

Простой
Как при использовании Docker получить доступ к ssl сертификатам во время сборки?
- 1 подписчик
- вчера
- 111 просмотров
0

ответов
C#

+2 ещё

Простой
Почему получается подключить Core в Dockerfile?
- 3 подписчика
- 22 апр.
- 682 просмотра
3

ответа
Linux

+2 ещё

Средний
Как автоматизировать установку и настройку VPN сервера?
- 4 подписчика
- 21 апр.
- 2075 просмотров
2

ответа
Docker

+1 ещё

Простой
Почему эластику стало не хватать место в докере?
- 4 подписчика
- 21 апр.
- 2108 просмотров
1

ответ
Docker

Средний
Не удается подключиться к ClickHouse container?
- 1 подписчик
- 19 апр.
- 70 просмотров
1

ответ
Nginx

Простой
Запрос статичной картинки не зная формата?
- 1 подписчик
- 19 апр.
- 73 просмотра
1

ответ
Docker

+1 ещё

Сложный
В Nuxt 3 useFetch() вызывает ошибку Vue Router в Docker?
- 1 подписчик
- 18 апр.
- 45 просмотров
0

ответов
Docker

Средний
Как получить удалённый доступ к http контейнеру?
- 1 подписчик
- 17 апр.
- 81 просмотр
3

ответа
Java

+3 ещё

Средний
Пытаюсь подключиться к postgresql 16 через docker-compose, использую spring-boot 3.2.4, что не так?
- 1 подписчик
- 17 апр.
- 197 просмотров
3

ответа
Показать ещё Загружается…

Системный администратор

А5000 Event Solutions • Москва

от 100 000 до 150 000 ₽

Прикладной администратор SberApps

Сбер • Москва

от 230 000 ₽

DevOps-инженер

Автошкола «Светофор»

от 80 000 ₽

Доработать дизайн лендинга

25 апр. 2024, в 09:29

2500 руб./за проект

Сделать красивый лендинг в Тильде

25 апр. 2024, в 09:27

4000 руб./за проект

Создание видео. Моушен дизайн

25 апр. 2024, в 09:20

10000 руб./за проект

Есть предположение, что сертификаты не попадают в контейнер с nginx. Покажите docker-compose файл
прописал связку контейнеров и запустил скрипт создания фейковых сертификатов.
Может ли быть причиной то, что это фейковый серт и сертботовские еще не прогрузились?

А какого вы еще результата ждете от браузера? Он вашим сертификатам не доверяет и это нормально.
/etc/letsencrypt/live/domen.ru/fullchain.pem expires on 2020-02-29 (skipped)

Говорит вам прямо о том, что бот не пытался даже обновить сертификат, потому что времени еще предостаточно.
mureevms,

Спасибо. docker-compose.yml:

version: '3' services: nginx: image: nginx:1.15-alpine restart: unless-stopped volumes: - ./public_html:/public_html - ./data/nginx:/etc/nginx/conf.d - ./data/certbot/conf:/etc/letsencrypt - ./data/certbot/www:/var/www/certbot ports: - "80:80" - "443:443" command: "/bin/sh -c 'while :; do sleep 6h & wait $${!}; nginx -s reload; done & nginx -g \"daemon off;\"'" certbot: image: certbot/certbot restart: unless-stopped volumes: - ./data/certbot/conf:/etc/letsencrypt - ./data/certbot/www:/var/www/certbot entrypoint: "/bin/sh -c 'trap exit TERM; while :; do certbot renew; sleep 12h & wait $${!}; done;'"
Pavel Zamyatin, Здравствуйте, получается, что внедренные фэйковые сертификаты не подлежат обновлению? Я не совсем понимаю какие сертификаты сейчас активны. Насколько я понял - что это не letsencrypt. Можно ли сделать в таком случае что-то вроде:

docker exec nginx-certbot_certbot_1 certbot renew --force;

? Не знаю как это синтаксически правильно. Ибо вариант, описанный в вопросе:

docker exec nginx-certbot_certbot_1 certbot renew

К успеху не привел.
EVOSandru6, Мне кажется, вы пропустили целую часть по ссылке, которую привели выше:

Now for the tricky part. We need nginx to perform the Let’s Encrypt validation But nginx won’t start if the certificates are missing. So what do we do? Create a dummy certificate, start nginx, delete the dummy and request the real certificates.

Но вообще это какие-то танцы с бубнами, если честно. Посмотрите в сторону traefik или вот здесь.
Я далаю вот так.
proxy: build: ./proxy restart: always ports: - 80:80 - 443:443 labels: com.github.jrcs.letsencrypt_nginx_proxy_companion.nginx_proxy: "true" volumes: - certs:/etc/nginx/certs:ro - vhost.d:/etc/nginx/vhost.d - html:/usr/share/nginx/html - /var/run/docker.sock:/tmp/docker.sock:ro networks: - proxy-tier letsencrypt-companion: image: jrcs/letsencrypt-nginx-proxy-companion restart: always volumes: - certs:/etc/nginx/certs - vhost.d:/etc/nginx/vhost.d - html:/usr/share/nginx/html - /var/run/docker.sock:/var/run/docker.sock:ro networks: - proxy-tier depends_on: - proxy

там где контейнер proxy , там просто собирается nginx с простым конфигом.
Дмитрий, Спасибо. А каким образом Вы генерируете сертификаты для доменов - таким же образом как я или по другому? При данной сборке - есть ли необходимость генерировать фейковые сертификаты для первого запуска?

labels: com.github.jrcs.letsencrypt_nginx_proxy_companion.nginx_proxy: "true"

Не совсем понял из документации - зачем нужен этот фрагмент.
Pavel Zamyatin,
Спасибо, ознакомлюсь.
В последней ссылке - профиль некоего автора. Вы подразумевали этот репозиторий - docker-letsencrypt-nginx-proxy-companion?
нет, контейнер-компаньон делает все сам.
строка нужна, чтобы он понял, что ему надо генерить сертификаты для данного контейнера (у меня просто два контейнера nginx , для разных целей, думаю Вы можете удалить это)
EVOSandru6, Да. У меня тостеру не нравился комментарий, пока я не удалил оттуда полную ссылку, без понятия почему.
Дмитрий,
*там где контейнер proxy , там просто собирается nginx с простым конфигом.*
А в случае, если доменов несколько, он справится? Там еще Dockefile в proxy содержится? Случайно не в нем определяются настройки для letcencrypt - домены, почта и т.д?
у меня только один виртуальный хост, так что я не могу ответить про несколько доменов.
Надо разбирать скрипты автора этого контейнера , чтобы посмотреть как именно он генерит сертификаты, ну либо написать ему напрямую.
Дмитрий,
Привет, если не трудно.ю можешь показать - какие пути получаются к сертификатам в nginx конфигурации относительно сборки:
proxy:
build: ./proxy
...

Если я правильно понимаю, то в conf должен быть default.conf , так?

И что должно храниться в папках
conf
vhost
html
dhparam
?

Где должен быть сам сайт и настройки nginx?
конейнер letsencrypt-companion поместит сертификаты в volume certs. Для контейнера proxy это папка /etc/nginx/certs.
В конфигурации nginx указано читать сертификаты оттуда, но я сам эти дериктивы в конфиг не вписывал, это все сделал контейнер-компаньон.
Сам сайт вообще находится в третьем контейнере, а фронтовый nginx настроек не имеет он просто кидает весь входящий на бакэнд.
Вот проект, который прекрасно иллюстрирует весь этот механизм.
https://github.com/nextcloud/docker/tree/master/.e...

Почему nginx из Docker контейнера не реагирует на проброшенные в него сертификаты?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт