Контекст
Я запускаю экземпляр nginx в альпийском док-контейнере (nginx:stable-alpine
). Цель состоит в том, чтобы использовать nginx в качестве обратного прокси-сервера для одного (или нескольких)док-контейнеров, которые имеют только HTTP, и превратить их в HTTPS с этим внешним-экземпляром nginx.
Configs/environment
Я не менял стандартный конфиг из Docker-контейнера,:
user nginx;
worker_processes auto;
error_log /var/log/nginx/error.log warn;
pid /var/run/nginx.pid;
events {
worker_connections 1024;
}
http {
include /etc/nginx/mime.types;
default_type application/octet-stream;
log_format main '$remote_addr - $remote_user [$time_local] "$request" '
'$status $body_bytes_sent "$http_referer" '
'"$http_user_agent" "$http_x_forwarded_for"';
access_log /var/log/nginx/access.log main;
sendfile on;
#tcp_nopush on;
keepalive_timeout 65;
#gzip on;
include /etc/nginx/conf.d/*.conf;
}
Кроме того, у меня есть два файла в папке conf.d sub-:
ssl-forward. conf
server {
listen 80;
server_tokens off;
server_name sub.example.com;
location /.well-known/acme-challenge/ {
root /var/www/certbot;
}
location / {
return 301 https://$host$request_uri;
}
}
django.conf
server {
listen 443 ssl;
server_name sub.example.com;
server_tokens off;
ssl_certificate /etc/letsencrypt/live/$server_name/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/$server_name/privkey.pem;
include /etc/letsencrypt/options-ssl-nginx.conf;
ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem;
location / {
proxy_pass http://127.0.0.1:8000;
proxy_redirect off;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}
}
Папка сертификата letsencrypt имеет следующие права доступа к папке/файлу, что означает, что сертификаты доступны для чтения только пользователю root, файлы поступают из смонтированного тома:
drwxr-xr-x 3 root root 4096 May 15 10:09 accounts
drwx------ 3 root root 4096 May 15 10:09 archive
drwxr-xr-x 2 root root 4096 May 15 10:09 csr
drwx------ 2 root root 4096 May 15 10:09 keys
drwx------ 3 root root 4096 May 15 10:09 live
-rw-r--r-- 1 root root 721 May 16 11:20 options-ssl-nginx.conf
drwxr-xr-x 2 root root 4096 May 15 10:09 renewal
drwxr-xr-x 5 root root 4096 May 15 10:09 renewal-hooks
-rw-r--r-- 1 root root 424 May 16 11:20 ssl-dhparams.pem
Основной процесс nginx под пользователем root
, sub-процессы под пользователемnginx
:
13 11 nginx S 16788 2% 0 0% nginx: worker process
11 1 root S 16304 2% 0 0% nginx: master process nginx -g daemon off;
Nginx config test дает мне:
# nginx -t
nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful
Проблема
Несмотря на все это, когда я пытаюсь получить доступ https://sub.example.com
, я получаю
13#13: *9 cannot load certificate "/etc/letsencrypt/live/sub.example.com/fullchain.pem": BIO_new_file() failed (SSL: error:0200100D:system library:fopen:Permission denied:fopen('/etc/letsencrypt/live/sub.example.com/fullchain.pem','r') error:2006D002:BIO routines:BIO_new_file:system lib) while SSL handshaking, client:..., server: 0.0.0.0:443
Почему это / как я могу это исправить? Это потому, что это подчиненная конфигурация -в conf.d
, и nginx пытается получить доступ к сертификатам через рабочий процесс вместо основного процесса (и, следовательно, как пользователь nginx
)? Это как-то связано с тем, что включение происходит в директиве http{}
в основном конфиге?
Старый вопрос, но начнем:
Я создаю/использую группу, например ssl-cert
, к которой принадлежат root
и пользователь nginx, например www-data
.
Затем я устанавливаю права на /etc/letsencrypt/archive
каталоги и файлы, как показано здесь, в этом фрагменте ansible
. Обратите внимание на большой `X'
- name: "Fix the access rights of the certificates"
become: true
ansible.builtin.file:
path: "/etc/letsencrypt/archive/{{ cert_domain }}"
owner: root
group: ssl-cert
mode: "u=rwX,g=rX,o="
recurse: true