Q&A
これは一発で回答するのが難しいやつですねぇ。
ご自身である程度問題を切り分けて、質問を細分化すると回答が付きやすいと思いますよ。
ちなみにnginxの設定に「listen 443」が存在しないようですけど。
ホストOS:WindowsServer2016
ゲストOS:CentOS7(VirtualBox)
クライアントOS:Mojave 10.14.5
ゲストOS内にdocker-composeで下記リンクのようなことをしたいと思っています。
letsencrypt-nginx-proxy-companionを使って複数ドメイン名に無料SSL証明書を適用する
困っている事
httpではアクセスできましたが、httpsですと以下のようなエラーが出てアクセス出来ません。
$ curl https://xxx.com curl: (60) Peer's certificate issuer has been marked as not trusted by the user. More details here: http://curl.haxx.se/docs/sslcerts.html curl performs SSL certificate verification by default, using a "bundle" of Certificate Authority (CA) public keys (CA certs). If the default bundle file isn't adequate, you can specify an alternate file using the --cacert option. If this HTTPS server uses a certificate signed by a CA represented in the bundle, the certificate verification probably failed due to a problem with the certificate (it might be expired, or the name might not match the domain name in the URL). If you'd like to turn off curl's verification of the certificate, use the -k (or --insecure) option.
ホストOS:CentOS7にdocekr-composeでは成功したdocker-compsoe.yml、Dockerfileの構成で試しているのですが、Windows環境ですとどうしてもhttpsで接続する時に証明書エラーが発生してしまいます。
コード
// proxy側のdocker-compose.yml version: "2" services: proxy: image: jwilder/nginx-proxy container_name: proxy ports: - "80:80" - "443:443" volumes: - /var/run/docker.sock:/tmp/docker.sock:ro - ./certs:/etc/nginx/certs:ro - /etc/nginx/vhost.d - /usr/share/nginx/html restart: always letsencrypt: image: jrcs/letsencrypt-nginx-proxy-companion container_name: letsencrypt volumes: - ./certs:/etc/nginx/certs - /var/run/docker.sock:/var/run/docker.sock:ro volumes_from: - proxy restart: always mysql: image: mariadb container_name: mysql command: > --character-set-server=utf8mb4 --collation-server=utf8mb4_general_ci --max-allowed-packet=128M ports: - "127.0.0.1:3306:3306" environment: MYSQL_ROOT_USER: root MYSQL_ROOT_PASSWORD: pass MYSQL_DATABASE: mysql volumes: - ./mysql:/var/lib/mysql restart: always networks: default: external: name: shared
// アプリケーション側のdocker-compose.yml version: '2' services: nginx: build: ./nginx external_links: - mysql container_name: "nginx" volumes: - ./src:/src - ./nginx/default.conf:/etc/nginx/conf.d/default.conf - ./logs/:/var/log/nginx/ environment: VIRTUAL_HOST: xxx.com LETSENCRYPT_HOST: xxx.com LETSENCRYPT_EMAIL: xxx@xxx.com restart: always php: build: ./php container_name: "php" volumes: - ./src:/src - ./php/php.ini:/usr/local/etc/php/php.ini - ./php/www.conf:/usr/local/etc/php-fpm.d/zzz-www.conf restart: always networks: default: external: name: shared
// ./nginx/Dockerfile FROM nginx:latest ARG AGENT_UID=1000 ARG AGENT_GID=1000 RUN groupadd -g ${AGENT_GID} username\ && useradd -d /home/docker -u ${AGENT_UID} -g username username\ && sed -ie "s/nginx;/username;/" /etc/nginx/nginx.conf
// .nginx/default.conf server { listen 80; server_name localhost; root /src/; index index.php index.html index.htm; client_max_body_size 20m; location / { try_files $uri $uri/ /index.php?$query_string; } location ~* /wp-config.php { deny all; } location ~ .php$ { try_files $uri = 404; fastcgi_split_path_info ^(.+.php)(/.+)$; fastcgi_pass php:9000; fastcgi_index index.php; fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name; fastcgi_param PATH_INFO $fastcgi_path_info; include fastcgi_params; } location ~* .(css|js|jpg|png|gif|ico)$ { expires 30d; } gzip on; gzip_types text/css application/javascript application/json application/font-woff application/font-tff image/gif image/png image/jpeg application/octet-stream; gzip_min_length 1000; gzip_proxied any; gunzip on; }
追記3
conf.dの中にはdefault.confのみで、/etc/nginx/nginx.confからdocker-compose.ymlから設定したdefault.confを読み込むような設定になっていました。
コンテナ内は触っていません。
// /etc/nginx/nginx.conf user {user}; worker_processes 1; error_log /var/log/nginx/error.log warn; pid /var/run/nginx.pid; events { worker_connections 1024; } http { include /etc/nginx/mime.types; default_type application/octet-stream; log_format main '$remote_addr - $remote_user [$time_local] "$request" ' '$status $body_bytes_sent "$http_referer" ' '"$http_user_agent" "$http_x_forwarded_for"'; access_log /var/log/nginx/access.log main; sendfile on; #tcp_nopush on; keepalive_timeout 65; #gzip on; include /etc/nginx/conf.d/*.conf; }
追記4
https を待ち受けているバーチャルサーバーの設定です。
こちらもproxy側のdocker-compose.ymlで設定した以外は特に変更していません。
# If we receive X-Forwarded-Proto, pass it through; otherwise, pass along the # scheme used to connect to this server map $http_x_forwarded_proto $proxy_x_forwarded_proto { default $http_x_forwarded_proto; '' $scheme; } # If we receive X-Forwarded-Port, pass it through; otherwise, pass along the # server port the client connected to map $http_x_forwarded_port $proxy_x_forwarded_port { default $http_x_forwarded_port; '' $server_port; } # If we receive Upgrade, set Connection to "upgrade"; otherwise, delete any # Connection header that may have been passed to this server map $http_upgrade $proxy_connection { default upgrade; '' close; } # Apply fix for very long server names server_names_hash_bucket_size 128; # Default dhparam ssl_dhparam /etc/nginx/dhparam/dhparam.pem; # Set appropriate X-Forwarded-Ssl header map $scheme $proxy_x_forwarded_ssl { default off; https on; } gzip_types text/plain text/css application/javascript application/json application/x-javascript text/xml application/xml application/xml+rss text/javascript; log_format vhost '$host $remote_addr - $remote_user [$time_local] ' '"$request" $status $body_bytes_sent ' '"$http_referer" "$http_user_agent"'; access_log off; resolver 127.0.0.11; # HTTP 1.1 support proxy_http_version 1.1; proxy_buffering off; proxy_set_header Host $http_host; proxy_set_header Upgrade $http_upgrade; proxy_set_header Connection $proxy_connection; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $proxy_x_forwarded_proto; proxy_set_header X-Forwarded-Ssl $proxy_x_forwarded_ssl; proxy_set_header X-Forwarded-Port $proxy_x_forwarded_port; # Mitigate httpoxy attack (see README for details) proxy_set_header Proxy ""; server { server_name _; # This is just an invalid value which will never trigger on a real hostname. listen 80; access_log /var/log/nginx/access.log vhost; return 503; } server { server_name _; # This is just an invalid value which will never trigger on a real hostname. listen 443 ssl http2; access_log /var/log/nginx/access.log vhost; return 503; ssl_session_tickets off; ssl_certificate /etc/nginx/certs/default.crt; ssl_certificate_key /etc/nginx/certs/default.key; } # xxx.com upstream xxx.com { ## Can be connected with "shared" network # nginx server 172.18.0.2:80; } server { server_name xxx.com; listen 80 ; access_log /var/log/nginx/access.log vhost; return 301 https://$host$request_uri; } server { server_name xxx.com; listen 443 ssl http2 ; access_log /var/log/nginx/access.log vhost; ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3; ssl_ciphers 'ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:!DSS'; ssl_prefer_server_ciphers on; ssl_session_timeout 5m; ssl_session_cache shared:SSL:50m; ssl_session_tickets off; ssl_certificate /etc/nginx/certs/xxx.com.crt; ssl_certificate_key /etc/nginx/certs/xxx.com.key; ssl_dhparam /etc/nginx/certs/xxx.com.dhparam.pem; ssl_stapling on; ssl_stapling_verify on; ssl_trusted_certificate /etc/nginx/certs/xxx.com.chain.pem; add_header Strict-Transport-Security "max-age=31536000" always; include /etc/nginx/vhost.d/default; location / { proxy_pass http://xxx.com; } }
ありがとうございます!無知すぎて、どう切り分けたらいいのかもわからない状況でして、申し訳ないです。
nginxの設定はjwilder/nginx-proxyで設定されているのだけでは不十分でしょうか?
1.以下コードをNginxのdocker-compose.ymlに入れてみたらどうなりますか?
letsencryptコンテナがどのnginxプロキシコンテナを使用するかを認識するために必要です。
labels:
com.github.jrcs.letsencrypt_nginx_proxy_companion.nginx_proxy: "true"
2.DNSの設定はwwwと@(wwwなし)で双方とも登録されていますか?
私の場合はAレコード以外にもAAAAレコードも実装しました。
それと、可能でしたらDocker-compose upで「-d」をつけずに実行してみてください。
エラーが出ていませんでしょうか。
返事が遅くなってしまって申し訳ありませんでした。
1は特に変化ありませんでしたがdocker-compose upしたところ追記のようなエラーが出ていました。
DNSの設定については別の人間が設定しているのでその点も確認してみたいと思います。本当に大変貴重な情報をありがとうございます。
curl に `-vk` オプションを付けて 証明書の診断結果が表示されるのでそれを、質問にはり付けてもらえますか?
ありがとうございます、追記2へ貼り付けさせてもらいました!
curl -kv で 証明書エラーを無視してみたところ SSLライブラリが SSL_ERROR_SYSCALL というエラーを出してますね。これは何らかのIOエラーという意味らしいですが LibreSSL という比較的新しいライブラリでエラーになってます。ちなみに curl を実行しているクライアント側の環境について教えてもらえますか?
ありがとうございます!クライアントOSはmacOS Mojave 10.14.5です。
Mac側の問題かもしれませんね。
回避方法を回答に書くので試してみてください。
回答2件
0
- エラー:
curl: (35) LibreSSL SSL_connect: SSL_ERROR_SYSCALL in connection to xxx.com:443 - クライアントOS: macOS Mojave 10.14.5
MacのSSLライブラリが OpenSSL から LibreSSL に変更になった影響で HTTPS が失敗することがあるようです。回避方法は OpenSSL を入れて、そちらを使うようにします。
インストール
shell
1$ brew install openssl curl
~/.bash_profile に次の内容を追記する
PATH="/usr/local/opt/curl/bin:$PATH" PATH="/usr/local/opt/openssl@1.1/bin:$PATH" export PATH
ターミナルを開き直すと、上記の設定が反映されるので その状態で curl を実行してみて 変化があるか確認してください。
投稿2019/06/13 22:50
総合スコア1351
ありがとうございます!LibreSSLからOpenSSLに変更したところ追記のようになりました。
セキュリティソフトなどが邪魔している可能性があるみたいなので、その辺りも調べてみたいと思います!
Warningが出てますが curl が SNI に対応してないようですね。curl -v https://example.com/ --resolv example.com:443:XX.XX.XX.123 という感じで、--resolv ホスト名:443:IPアドレス というオプションを付けてみるとどうでしょうか?
--resolveオプションをつけた結果を追記しました。なんとなく使っていたcurlの勉強にもなります。貴重なアドバイスありがとうございます。
進展は有ったみたいですが解決はできませんでしたね・・・。Nginxの設定ファイルが気になります。 /etc/nginx/conf.d/default.conf 以外にも設定ファイルが有ると思いますのでそれを追記してもらえますか?質問に書かれてるのは https (tcp443) を Listenしてないようですが、https を待ち受けているバーチャルサーバーの設定を見たいです。
追記3、4に記載させていただきました。
proxy側のコンテナでlistenすれば大丈夫だと思ってたのですが、やはりその辺があやしいでしょうか。
最近サーバーの担当者に聞いて知ったことなのですが、固定ではなくddnsで設定されているらしくそのあたりは関係しそうでしょうか?
0
自己解決
dnsの設定をサーバー管理者に任せていたのを、こちらで設定しなおしたところアクセス出来るようになったのでDNSの設定を見直してみるといいかもしれません。
投稿2019/08/24 04:48
総合スコア98
あなたの回答
tips
プレビュー
