Docker 内部署的 Nginx，连系免费的SSL Let’s Encrypt 部署 HTTPS，自动更新证书有用期，给你的浏览器地址栏加个绿色的锁，让你的站点加倍平安。

Docker

镜像

docker pull certbot

设置

注：修改 nginx 设置，在 server 模块下新增如上设置，注重路径调换，且该路径为 docker 下的路径。

location ^~ /.well-known/acme-challenge/ {    default_type "text/plain";    root /www/makeit;}location = /.well-known/acme-challenge/ {    return 404;}

运行

注：这里接纳 webroot 验证方式，–webroot -w 所设置的参数为 docker 下的目录。

docker run -it --rm --name certbot -v /makeit/docker/nginx/letsencrypt:/etc/letsencrypt -v /var/lib/letsencrypt:/var/lib/letsencrypt -v /makeit/web/home:/www/makeit certbot/certbot certonly --webroot -w /www/makeit --email makeit@makeit.vip -d www.makeit.vip

乐成天生证书的提醒

有用期

# 可根据如下下令查看证书有用时长# -in 后面为刚刚天生时存放的证书路径openssl x509 -noout -dates -in /makeit/docker/nginx/letsencrypt/live/www.makeit.vip/cert.pem

自动更新

新建剧本

touch renew.sh

剧本内容

站长买空间哪种最合适（推荐性价比高的空间）

#!/bin/bashdocker run -it --rm --name certbot -v /makeit/docker/nginx/letsencrypt:/etc/letsencrypt -v /var/lib/letsencrypt:/var/lib/letsencrypt -v /makeit/web/home:/www/home certbot/certbot certonly --webroot -w /www/home --force-renew --email makeit@makeit.vip -d www.makeit.vipdocker kill nginxdocker start nginx

修改权限

chmod +x /makeit/docker/nginx/renew.sh

准时义务（每月1号执行1次剧本）

crontab -e0 0 1 * * /makeit/docker/nginx/renew.sh

PFS键值

PFS（perfect forward secrecy），中文可叫做完全前向保密。要求一个密钥只能接见由它所珍爱的数据；用来发生密钥的元素一次一换，不能再发生其他的密钥；一个密钥被破解，并不影响其他密钥的平安性

mkdir /makeit/docker/nginx/ssl/private -pcd /makeit/docker/nginx/ssl/privateopenssl dhparam 2048 -out dhparam.pem

NGINX

设置示例

server {    listen	80;    listen	443 ssl;    server_name	makeit.vip www.makeit.vip;    root /www/makeit;    access_log /var/log/nginx/access.log main;    error_log /var/log/nginx/error.log warn;    ssl_certificate             letsencrypt/live/www.makeit.vip/fullchain.pem;    ssl_certificate_key         letsencrypt/live/www.makeit.vip/privkey.pem;    ssl_protocols               TLSv1 TLSv1.1 TLSv1.2;    ssl_ciphers                 ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;    ssl_prefer_server_ciphers   on;    ssl_session_timeout         5m;    ssl_session_tickets         on;    ssl_dhparam                 ssl/private/dhparam.pem;    location / {        index   index.html index.htm index.php index.jsp;    }    error_page  500 502 503 504 /50x.html;    location /50x.html {        root /www;    }    location ~ /. {        return 403;    }    location ~* ^.+.(jpg|jpeg|gif|png|bmp|css|js|swf)$ {        access_log off;    }    location ~ .php$ {        root           /www/makeit;        fastcgi_pass   php:9000;        fastcgi_index  index.php;        fastcgi_split_path_info ^(.+.php)(.*)$;        fastcgi_param  PATH_INFO        $fastcgi_path_info;        fastcgi_param  SCRIPT_FILENAME  $document_root$fastcgi_script_name;        include        fastcgi_params;    }    location ~ /.ht {        deny  all;    }}

NGINX

注：后3个 -v 映射的目录，请都映射在 nginx 容器的根目录下。

docker run --name nginx -d -p 80:80 -p 443:443 --restart=always -v /makeit/web:/www -v /makeit/logs/nginx:/var/log/nginx -v /makeit/docker/nginx/nginx.conf:/etc/nginx/nginx.conf:ro -v /makeit/docker/nginx/conf.d:/etc/nginx/conf.d -v /makeit/docker/nginx/letsencrypt:/etc/nginx/letsencrypt -v /makeit/docker/nginx/ssl:/etc/nginx/ssl --link php nginx

查看效果

证书生效

证书已经生效，浏览器已经加了“锁”标识，乐成啦 ~