docker 内部署的 nginx，结合免费的ssl let’s encrypt 部署 https，自动更新证书有效期，给你的浏览器地址栏加个绿色的锁，让你的站点更加安全。

docker

镜像

docker pull certbot

配置

注：修改 nginx 配置，在 rver 模块下新增如上配置，注意路径变更，且该路径为 docker 下的路径。

location ^~ /.well-known/acme-challenge/ {    default_type "text/plain";    root /www/makeit;}location = /.well-known/acme-challenge/ {    return 404;}

运行

注：这里采用 webroot 验证方式，–w老师说ebroot -w 所配置的参数为 docker 下的目录。

docker run -it --rm --name certbot -v /makeit/docker/nginx/letncrypt:/etc/letncrypt -v /var/lib/letncrypt:/var/lib/letncrypt -v /makeit/web/home:/www/makeit certbot/certbot certonly --webroot -w /www/makeit --email makeit@makeit.vip -d www.makeit.vip

成功生成证书的提示

有效期

# 可根据如下命令查看证书有效时长# -in 后面为刚刚生成时存放的证书路径openssl x509 -noout -dates -in /makeit/docker/nginx/letncrypt/live/www.makeit.vip/cert.pem

自动更新

新建脚本

touch renew.sh

脚本内容

#!/bin/bashdocker run -it --rm --name certbot -v /makeit/docker/nginx/letncrypt:/etc/letncrypt -v /var/lib/letncrypt:/var/lib/letncrypt -v /makeit/web/home:/www/home certbot/certbot certonly --webroot -w /www/home --force-renew --email makeit@makeit.vip -d www.makeit.vipdocker kill nginxdocker start nginx

修改权限

chmod +x /makeit/docker/nginx/renew.sh

定时任务（每月1号执行1次脚本）

crontab关于范成大的资料 -e0 0 1 * * /makeit/docker/nginx/renew.sh

pfs键值

pfs（perfect forward crecy），中文可叫做完全前向保密。要求一个密钥只能访问由它所保护的数据；用来产生密钥的元素一次一换，不能再产生其他的密钥；一个密钥被破解，并不影响其他密钥的安全性

mkdir /makeit/docker/nginx/ssl/private -pcd /makeit/docker/nginx/ssl/privateopenssl dhparam 2048 -out dhparam.pem

nginx

配置示例

rver {    listen80;    listen443 ssl;    rver_namemakeit.vip www.makeit.vip;    root /www/makeit;    access_log /var/log/nginx/access.log main;    error_log /var/log/nginx/error.log warn;    ssl_certificate             letncrypt/live/www.makeit.vip/fullchain.pem;    ssl_certificate_key         letncrypt/live/www.makeit.vip/privkey.pem;    ssl_protocols               tlsv1 tlsv1.1 tlsv1.2;    ssl_ciphers                 ecdhe-rsa-aes128-gcm-sha256:ecdhe:ecdh:aes:high:!null:!anull:!md5:!adh:!rc4;    ssl_prefer_rver_ciphers   on;    ssl_ssion_timeout         5m;    ssl_ssion_tickets         on;    ssl_dhparam                 ssl/private/dhparam.pem;    location / {        index   index.html index.htm index.php index.jsp;    }    error_page  500 502 503 504 /50x.html;    location /50x.html {  美白祛斑小窍门      root /www;    }    location ~ /. {        return 403;    }    location ~* ^.+.(jpg|jpeg|gif|png|bmp|css|js|swf)$ {        access_l春天有什么景色og off;    }    location ~ .php$ {        root           /www/makeit;        fastcgi_pass   php:9000;        fastcgi_index  index.php;        fastcgi_split_path_info ^(.+.php)(.*)$;        fastcgi_param  path_info        $fastcgi_path_info;        fastcgi_param  script_filename  $document_root$fastcgi_script_name;        include        fastcgi_params;    }    location ~ /.ht {        deny  all;    }}

nginx

注：后3个 -v 映射的目录，请都映射在 nginx 容器的根目录下。

docker run --name nginx -d -p 80:80 -p 443:443 --restart=always -v /makeit/web:/www -v /makeit/logs/nginx:/var/log/nginx -v /makeit/docker/nginx/nginx.conf:/etc/nginx/nginx.conf:ro -v /makeit/docker/nginx/conf.d:/etc/nginx/conf.d -v /makeit/docker/nginx/letncrypt:/etc/nginx/letncrypt -v /makeit/docker/nginx/ssl:/etc/nginx/s经典爱情日志sl --link php nginx

查看效果

证书生效

证书已经生效，浏览器已经加了“锁”标识，成功啦 ~