由于nginx早期版本有安全问题，需要升级版本。于是nginx升级成了docker，顺便上了ssl证书，记录一下操作过程。

一，证书合并

一般nginx的ssl证书，包含有一个key私钥文件，一个crt公钥证书文件。如果有chain.crt中间证书文件，可以将这个中间证书的内容cp出来，放到公钥crt的后面即可。

中间证书的作用，参考url：https://www.myssl.cn/home/article-0403-22.html
为了保证Nginx可以兼容所有浏览器，我们必须在服务器上安装中间证书，请到中间证书下载工具，输入您的Server.crt，然后下载中间证书，请将中间证书保存为Chain.crt。

我们需要将中间证书Chain.crt加入到服务器证书Server.crt文件中，请将Chain.crt中的所有内容复制，并粘贴到Server.crt，顺序是: 第一段，服务器证书；第二段，中间证书，如下：

二，nginx conf更新

在想启用ssl的server段，加上如下配置，实现https访问，并自动从80端口跳转。

        listen       80;
        listen       443 ssl;
        server_name  do.it.com.cn;

        ssl_certificate      /etc/nginx/conf.d/it.com.cn.crt;
        ssl_certificate_key  /etc/nginx/conf.d/it.com.cn.key;
        ssl_protocols        TLSv1 TLSv1.1 TLSv1.2;
        ssl_ciphers          ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;
        ssl_prefer_server_ciphers  on;

        if ($server_port = 80) {
                rewrite ^(.*)$ https://$host$1 permanent;
        }
        root /usr/share/nginx/html;

三，Dockerfile生成

如果nginx是作为后端代理用途，nginx的所有东东，最好固定无变化，保证性能和稳定性。（那两个证书文件copy的位置，要契合nginx.conf中配置的定位）

FROM it.com.cn/base/middleware/nginx:1.18-alpine

MAINTAINER 'It'
LABEL version="1.0"

COPY conf/nginx.conf /etc/nginx/
COPY conf/it.conf /etc/nginx/conf.d/
COPY conf/notice.conf /etc/nginx/conf.d/
COPY conf/jenkins.conf /etc/nginx/conf.d/
COPY ssl/it.com.cn.key /etc/nginx/conf.d/
COPY ssl/it.com.cn.crt /etc/nginx/conf.d/
COPY html  /usr/share/nginx/html

RUN rm -rf /etc/nginx/conf.d/default.conf \
    && chmod -R 755 /usr/share/nginx/html \
    && echo "finished."

四，启动命令

方便日常维护

#/bin/sh
docker run -itd \
  --name do-it \
  -p 80:80  -p 443:443 \
  it.com.cn/it/https-do-it:nginx-1.18-alpine

五，测试

略。。。

nginx 1.18配置有chain中间证书的ssl服务

一，证书合并

二，nginx conf更新

三，Dockerfile生成

四，启动命令

五，测试

你可能感兴趣的:(nginx 1.18配置有chain中间证书的ssl服务)