Início / server / Perguntas / 890961
Accepted
Mohammed Noureldin
Asked: 2018-01-06 16:46:30 +0800 CST

Como definir o certificado de fallback no Nginx se o primário não existir?

  • 772

Normalmente, ao Nginxtentar ler um certificado que não existe, ele sairá e gerará um erro.

Posso definir qualquer certificado alternativo caso o certificado primário não exista?

nginx

2 respostas

  1. Eu me deparei com este mesmo problema. Estou implantando um cluster docker para produção para o qual desejo certificados SSL gerados automaticamente. Quando os certificados SSL estão em vigor, quero forçar todo o tráfego a redirecionar para https. Não é super glamoroso, mas esta é a solução que encontrei.

    Meu servidor nginx tem 2 arquivos de configuração: app.conf e tlsapp.conf

    app.conf

    server {
    listen 80;
    server_name example.com;
    location /.well-known/acme-challenge/ {
        allow all;
        root /var/www/public;
    }
}

    tlsapp.conf

    server {
    listen 80;
    server_name example.com;
    location / {
        return 301 https://example.com$request_uri;
    }
}

server {
    listen 443 ssl http2;
    server_name example.com;
    ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
    include /etc/nginx/opt/options-ssl-nginx.conf;
    ssl_dhparam /etc/nginx/opt/ssl-dhparams.pem;
    root /var/www/public;
    index index.php;
    error_log /var/log/nginx/error.log;
    access_log /var/log/nginx/access.log;
    ...
}

    Em seguida, implante meu contêiner nginx de uma imagem personalizada.

    nginx.Dockerfile

    FROM nginx:alpine

COPY docker-config/nginx/conf.d/app.conf /etc/nginx/conf.d/app.conf
COPY docker-config/nginx/conf.d/tlsapp.conf /etc/nginx/conf.d/tlsapp.bkp
COPY docker-config/nginx/opt/ /etc/nginx/opt/
COPY docker-config/nginx/entrypoint.sh /custom-entrypoint.sh

RUN chmod 775 /custom-entrypoint.sh

ENTRYPOINT ["/custom-entrypoint.sh"]
RUN ["/docker-entrypoint.sh"]
CMD ["nginx", "-g", "daemon off;"]

    Por fim, minha imagem nginx personalizada tem um ponto de entrada personalizado. Basicamente, tudo o que esse ponto de entrada faz é verificar se os certificados SSL já foram criados. Se tiverem, habilita a configuração tlsapp e desabilita a configuração que estava em vigor apenas para inicializar os certificados com certbot.

    entrypoint.sh

    #!/usr/bin/env sh

set -e

if [ -d "/etc/letsencrypt/live" ]; then
    mv /etc/nginx/conf.d/app.conf /etc/nginx/conf.d/app.bkp
    mv /etc/nginx/conf.d/tlsapp.bkp /etc/nginx/conf.d/tlsapp.conf
fi

exec "$@"

    Essa configuração permite que meu contêiner nginx seja iniciado em um novo ambiente de produção quando os certificados SSL não tiverem sido gerados. Ele fornece ao certbot acesso suficiente para gerar os certificados em um volume persistente compartilhado. Então, tudo o que preciso fazer é reimplantar o contêiner nginx e ele será inicializado, ver os certificados e habilitar a configuração real do meu site que força todo o tráfego através de https.

    Eu não amo essa configuração porque ela requer uma reimplantação complicada para um novo ambiente de produção e pode ser problemática se sua configuração for mais complexa do que um aplicativo em um servidor nginx, mas funciona.

    • 6
  2. Best Answer

    Não. Por que sua chave não existe?

    • 0

relate perguntas