質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

90.37%

  • Docker

    1151questions

    Dockerは、Docker社が開発したオープンソースのコンテナー管理ソフトウェアの1つです

  • nginx

    1077questions

    nginixは軽量で高性能なwebサーバーの1つです。BSD-likeライセンスのもとリリースされており、あわせてHTTPサーバ、リバースプロキシ、メールプロキシの機能も備えています。MacOSX、Windows、Linux、上で動作します。

  • docker-compose

    274questions

  • proxy

    160questions

    proxy(プロキシー)は、企業などの内部コンピュータとインターネットの中間に位置し、例えば直接インターネットに接続できない内部コンピュータの代理としてインターネットに接続する等をするシステム、もしくは代理として機能を実行するソフトウェアです。内部ネットワークへのアクセスを一元管理し、内部からの特定の種類の接続以外を遮断すること、外部からの不正アクセスを拒否することなどに用いられます。

  • Let's Encrypt

    80questions

dockerでLet's Encriptでhttpsアクセスしたいが証明書エラーが発生してしまいます

受付中

回答 1

投稿 編集

  • 評価
  • クリップ 0
  • VIEW 270

bws

score 44

ホストOS:WindowsServer2016
ゲストOS:CentOS7(VirtualBox)
クライアントOS:Mojave 10.14.5
ゲストOS内にdocker-composeで下記リンクのようなことをしたいと思っています。

letsencrypt-nginx-proxy-companionを使って複数ドメイン名に無料SSL証明書を適用する

困っている事

httpではアクセスできましたが、httpsですと以下のようなエラーが出てアクセス出来ません。

$ curl https://xxx.com
curl: (60) Peer's certificate issuer has been marked as not trusted by the user.
More details here: http://curl.haxx.se/docs/sslcerts.html

curl performs SSL certificate verification by default, using a "bundle"
 of Certificate Authority (CA) public keys (CA certs). If the default
 bundle file isn't adequate, you can specify an alternate file
 using the --cacert option.
If this HTTPS server uses a certificate signed by a CA represented in
 the bundle, the certificate verification probably failed due to a
 problem with the certificate (it might be expired, or the name might
 not match the domain name in the URL).
If you'd like to turn off curl's verification of the certificate, use
 the -k (or --insecure) option.


ホストOS:CentOS7にdocekr-composeでは成功したdocker-compsoe.yml、Dockerfileの構成で試しているのですが、Windows環境ですとどうしてもhttpsで接続する時に証明書エラーが発生してしまいます。

コード

// proxy側のdocker-compose.yml

version: "2"
services:
  proxy:
    image: jwilder/nginx-proxy
    container_name: proxy
    ports:
      - "80:80"
      - "443:443"
    volumes:
      - /var/run/docker.sock:/tmp/docker.sock:ro
      - ./certs:/etc/nginx/certs:ro
      - /etc/nginx/vhost.d
      - /usr/share/nginx/html
    restart: always

  letsencrypt:
    image: jrcs/letsencrypt-nginx-proxy-companion
    container_name: letsencrypt
    volumes:
      - ./certs:/etc/nginx/certs
      - /var/run/docker.sock:/var/run/docker.sock:ro
    volumes_from:
      - proxy
    restart: always

  mysql:
    image: mariadb
    container_name: mysql
    command: >
      --character-set-server=utf8mb4
      --collation-server=utf8mb4_general_ci
      --max-allowed-packet=128M
    ports:
      - "127.0.0.1:3306:3306"
    environment:
      MYSQL_ROOT_USER: root
      MYSQL_ROOT_PASSWORD: pass
      MYSQL_DATABASE: mysql
    volumes:
      - ./mysql:/var/lib/mysql
    restart: always

networks:
  default:
    external:
      name: shared
// アプリケーション側のdocker-compose.yml
version: '2'
services:
  nginx:
    build: ./nginx
    external_links:
      - mysql
    container_name: "nginx"
    volumes:
      - ./src:/src
      - ./nginx/default.conf:/etc/nginx/conf.d/default.conf
      - ./logs/:/var/log/nginx/
    environment:
      VIRTUAL_HOST: xxx.com
      LETSENCRYPT_HOST: xxx.com
      LETSENCRYPT_EMAIL: xxx@xxx.com
    restart: always
  php:
    build: ./php
    container_name: "php"
    volumes:
      - ./src:/src
      - ./php/php.ini:/usr/local/etc/php/php.ini
      - ./php/www.conf:/usr/local/etc/php-fpm.d/zzz-www.conf
    restart: always

networks:
  default:
    external:
      name: shared
// ./nginx/Dockerfile

FROM nginx:latest
ARG AGENT_UID=1000
ARG AGENT_GID=1000
RUN groupadd -g ${AGENT_GID} username\
                && useradd -d /home/docker -u ${AGENT_UID} -g username username\
                && sed -ie "s/nginx;/username;/" /etc/nginx/nginx.conf
// .nginx/default.conf

server {
        listen 80;
        server_name localhost;
        root /src/;
        index index.php index.html index.htm;
        client_max_body_size 20m;

        location / {
                try_files $uri $uri/ /index.php?$query_string;
        }

        location ~* /wp-config.php {
                deny all;
        }

        location ~ \.php$ {
                try_files $uri = 404;
                fastcgi_split_path_info ^(.+\.php)(/.+)$;
                fastcgi_pass php:9000;
                fastcgi_index index.php;
                fastcgi_param SCRIPT_FILENAME  $document_root$fastcgi_script_name;
                fastcgi_param PATH_INFO $fastcgi_path_info;
                include       fastcgi_params;
        }

        location ~* \.(css|js|jpg|png|gif|ico)$ {
                expires 30d;
        }

        gzip on;
        gzip_types text/css application/javascript application/json application/font-woff application/font-tff image/gif image/png image/jpeg application/octet-stream;
        gzip_min_length 1000;
        gzip_proxied any;
        gunzip on;
}

追記3

conf.dの中にはdefault.confのみで、/etc/nginx/nginx.confからdocker-compose.ymlから設定したdefault.confを読み込むような設定になっていました。
コンテナ内は触っていません。

// /etc/nginx/nginx.conf

user  {user};
worker_processes  1;

error_log  /var/log/nginx/error.log warn;
pid        /var/run/nginx.pid;


events {
    worker_connections  1024;
}


http {
    include       /etc/nginx/mime.types;
    default_type  application/octet-stream;

    log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
                      '$status $body_bytes_sent "$http_referer" '
                      '"$http_user_agent" "$http_x_forwarded_for"';

    access_log  /var/log/nginx/access.log  main;

    sendfile        on;
    #tcp_nopush     on;

    keepalive_timeout  65;

    #gzip  on;

    include /etc/nginx/conf.d/*.conf;
}

追記4

https を待ち受けているバーチャルサーバーの設定です。
こちらもproxy側のdocker-compose.ymlで設定した以外は特に変更していません。

# If we receive X-Forwarded-Proto, pass it through; otherwise, pass along the
# scheme used to connect to this server
map $http_x_forwarded_proto $proxy_x_forwarded_proto {
  default $http_x_forwarded_proto;
  ''      $scheme;
}
# If we receive X-Forwarded-Port, pass it through; otherwise, pass along the
# server port the client connected to
map $http_x_forwarded_port $proxy_x_forwarded_port {
  default $http_x_forwarded_port;
  ''      $server_port;
}
# If we receive Upgrade, set Connection to "upgrade"; otherwise, delete any
# Connection header that may have been passed to this server
map $http_upgrade $proxy_connection {
  default upgrade;
  '' close;
}
# Apply fix for very long server names
server_names_hash_bucket_size 128;
# Default dhparam
ssl_dhparam /etc/nginx/dhparam/dhparam.pem;
# Set appropriate X-Forwarded-Ssl header
map $scheme $proxy_x_forwarded_ssl {
  default off;
  https on;
}
gzip_types text/plain text/css application/javascript application/json application/x-javascript text/xml application/xml application/xml+rss text/javascript;
log_format vhost '$host $remote_addr - $remote_user [$time_local] '
                 '"$request" $status $body_bytes_sent '
                 '"$http_referer" "$http_user_agent"';
access_log off;
resolver 127.0.0.11;
# HTTP 1.1 support
proxy_http_version 1.1;
proxy_buffering off;
proxy_set_header Host $http_host;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection $proxy_connection;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $proxy_x_forwarded_proto;
proxy_set_header X-Forwarded-Ssl $proxy_x_forwarded_ssl;
proxy_set_header X-Forwarded-Port $proxy_x_forwarded_port;
# Mitigate httpoxy attack (see README for details)
proxy_set_header Proxy "";
server {
        server_name _; # This is just an invalid value which will never trigger on a real hostname.
        listen 80;
        access_log /var/log/nginx/access.log vhost;
        return 503;
}
server {
        server_name _; # This is just an invalid value which will never trigger on a real hostname.
        listen 443 ssl http2;
        access_log /var/log/nginx/access.log vhost;
        return 503;
        ssl_session_tickets off;
        ssl_certificate /etc/nginx/certs/default.crt;
        ssl_certificate_key /etc/nginx/certs/default.key;
}
# xxx.com
upstream xxx.com {
                                ## Can be connected with "shared" network
                        # nginx
                        server 172.18.0.2:80;
}
server {
        server_name xxx.com;
        listen 80 ;
        access_log /var/log/nginx/access.log vhost;
        return 301 https://$host$request_uri;
}
server {
        server_name xxx.com;
        listen 443 ssl http2 ;
        access_log /var/log/nginx/access.log vhost;
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;
        ssl_ciphers 'ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:!DSS';
        ssl_prefer_server_ciphers on;
        ssl_session_timeout 5m;
        ssl_session_cache shared:SSL:50m;
        ssl_session_tickets off;
        ssl_certificate /etc/nginx/certs/xxx.com.crt;
        ssl_certificate_key /etc/nginx/certs/xxx.com.key;
        ssl_dhparam /etc/nginx/certs/xxx.com.dhparam.pem;
        ssl_stapling on;
        ssl_stapling_verify on;
        ssl_trusted_certificate /etc/nginx/certs/xxx.com.chain.pem;
        add_header Strict-Transport-Security "max-age=31536000" always;
        include /etc/nginx/vhost.d/default;
        location / {
                proxy_pass http://xxx.com;
        }
}
  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

質問への追記・修正、ベストアンサー選択の依頼

  • take88

    2019/06/13 15:36

    curl -kv で 証明書エラーを無視してみたところ SSLライブラリが SSL_ERROR_SYSCALL というエラーを出してますね。これは何らかのIOエラーという意味らしいですが LibreSSL という比較的新しいライブラリでエラーになってます。ちなみに curl を実行しているクライアント側の環境について教えてもらえますか?

    キャンセル

  • bws

    2019/06/13 20:01

    ありがとうございます!クライアントOSはmacOS Mojave 10.14.5です。

    キャンセル

  • take88

    2019/06/14 07:40

    Mac側の問題かもしれませんね。
    回避方法を回答に書くので試してみてください。

    キャンセル

回答 1

0

  • エラー: curl: (35) LibreSSL SSL_connect: SSL_ERROR_SYSCALL in connection to xxx.com:443
  • クライアントOS: macOS Mojave 10.14.5

MacのSSLライブラリが OpenSSL から LibreSSL に変更になった影響で HTTPS が失敗することがあるようです。回避方法は OpenSSL を入れて、そちらを使うようにします。

インストール

$ brew install openssl curl

~/.bash_profile に次の内容を追記する

PATH="/usr/local/opt/curl/bin:$PATH"
PATH="/usr/local/opt/openssl@1.1/bin:$PATH"
export PATH

ターミナルを開き直すと、上記の設定が反映されるので その状態で curl を実行してみて 変化があるか確認してください。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2019/06/14 11:29

    --resolveオプションをつけた結果を追記しました。なんとなく使っていたcurlの勉強にもなります。貴重なアドバイスありがとうございます。

    キャンセル

  • 2019/06/18 18:12

    進展は有ったみたいですが解決はできませんでしたね・・・。Nginxの設定ファイルが気になります。 /etc/nginx/conf.d/default.conf 以外にも設定ファイルが有ると思いますのでそれを追記してもらえますか?質問に書かれてるのは https (tcp443) を Listenしてないようですが、https を待ち受けているバーチャルサーバーの設定を見たいです。

    キャンセル

  • 2019/06/21 12:31

    追記3、4に記載させていただきました。
    proxy側のコンテナでlistenすれば大丈夫だと思ってたのですが、やはりその辺があやしいでしょうか。
    最近サーバーの担当者に聞いて知ったことなのですが、固定ではなくddnsで設定されているらしくそのあたりは関係しそうでしょうか?

    キャンセル

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 90.37%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる

同じタグがついた質問を見る

  • Docker

    1151questions

    Dockerは、Docker社が開発したオープンソースのコンテナー管理ソフトウェアの1つです

  • nginx

    1077questions

    nginixは軽量で高性能なwebサーバーの1つです。BSD-likeライセンスのもとリリースされており、あわせてHTTPサーバ、リバースプロキシ、メールプロキシの機能も備えています。MacOSX、Windows、Linux、上で動作します。

  • docker-compose

    274questions

  • proxy

    160questions

    proxy(プロキシー)は、企業などの内部コンピュータとインターネットの中間に位置し、例えば直接インターネットに接続できない内部コンピュータの代理としてインターネットに接続する等をするシステム、もしくは代理として機能を実行するソフトウェアです。内部ネットワークへのアクセスを一元管理し、内部からの特定の種類の接続以外を遮断すること、外部からの不正アクセスを拒否することなどに用いられます。

  • Let's Encrypt

    80questions