teratail
回答率
86.02%
質問するログイン新規登録

質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
86.02%
トップdocker-composeに関する質問
docker-compose

docker-composeとは、複数のコンテナで構成されるサービスを提供する手順を自動的し管理を簡単にするツール。composeファイルを使用しコマンド1回で設定した全サービスを作成・起動することが可能です。

Let's Encrypt
nginx

nginixは軽量で高性能なwebサーバーの1つです。BSD-likeライセンスのもとリリースされており、あわせてHTTPサーバ、リバースプロキシ、メールプロキシの機能も備えています。MacOSX、Windows、Linux、上で動作します。

Docker

Dockerは、Docker社が開発したオープンソースのコンテナー管理ソフトウェアの1つです

proxy

proxy(プロキシー)は、企業などの内部コンピュータとインターネットの中間に位置し、例えば直接インターネットに接続できない内部コンピュータの代理としてインターネットに接続する等をするシステム、もしくは代理として機能を実行するソフトウェアです。内部ネットワークへのアクセスを一元管理し、内部からの特定の種類の接続以外を遮断すること、外部からの不正アクセスを拒否することなどに用いられます。

Q&A

解決済

dockerでLet's Encriptでhttpsアクセスしたいが証明書エラーが発生してしまいます

bws
bws

総合スコア98

docker-compose

docker-composeとは、複数のコンテナで構成されるサービスを提供する手順を自動的し管理を簡単にするツール。composeファイルを使用しコマンド1回で設定した全サービスを作成・起動することが可能です。

Let's Encrypt
nginx

nginixは軽量で高性能なwebサーバーの1つです。BSD-likeライセンスのもとリリースされており、あわせてHTTPサーバ、リバースプロキシ、メールプロキシの機能も備えています。MacOSX、Windows、Linux、上で動作します。

Docker

Dockerは、Docker社が開発したオープンソースのコンテナー管理ソフトウェアの1つです

proxy

proxy(プロキシー)は、企業などの内部コンピュータとインターネットの中間に位置し、例えば直接インターネットに接続できない内部コンピュータの代理としてインターネットに接続する等をするシステム、もしくは代理として機能を実行するソフトウェアです。内部ネットワークへのアクセスを一元管理し、内部からの特定の種類の接続以外を遮断すること、外部からの不正アクセスを拒否することなどに用いられます。

2回答

0グッド

0クリップ

3543閲覧

投稿2019/05/21 04:56

編集2019/06/21 03:27

ホストOS:WindowsServer2016
ゲストOS:CentOS7(VirtualBox)
クライアントOS:Mojave 10.14.5
ゲストOS内にdocker-composeで下記リンクのようなことをしたいと思っています。

letsencrypt-nginx-proxy-companionを使って複数ドメイン名に無料SSL証明書を適用する

困っている事

httpではアクセスできましたが、httpsですと以下のようなエラーが出てアクセス出来ません。

$ curl https://xxx.com
curl: (60) Peer's certificate issuer has been marked as not trusted by the user.
More details here: http://curl.haxx.se/docs/sslcerts.html

curl performs SSL certificate verification by default, using a "bundle"
 of Certificate Authority (CA) public keys (CA certs). If the default
 bundle file isn't adequate, you can specify an alternate file
 using the --cacert option.
If this HTTPS server uses a certificate signed by a CA represented in
 the bundle, the certificate verification probably failed due to a
 problem with the certificate (it might be expired, or the name might
 not match the domain name in the URL).
If you'd like to turn off curl's verification of the certificate, use
 the -k (or --insecure) option.

ホストOS:CentOS7にdocekr-composeでは成功したdocker-compsoe.yml、Dockerfileの構成で試しているのですが、Windows環境ですとどうしてもhttpsで接続する時に証明書エラーが発生してしまいます。

コード

// proxy側のdocker-compose.yml

version: "2"
services:
  proxy:
    image: jwilder/nginx-proxy
    container_name: proxy
    ports:
      - "80:80"
      - "443:443"
    volumes:
      - /var/run/docker.sock:/tmp/docker.sock:ro
      - ./certs:/etc/nginx/certs:ro
      - /etc/nginx/vhost.d
      - /usr/share/nginx/html
    restart: always

  letsencrypt:
    image: jrcs/letsencrypt-nginx-proxy-companion
    container_name: letsencrypt
    volumes:
      - ./certs:/etc/nginx/certs
      - /var/run/docker.sock:/var/run/docker.sock:ro
    volumes_from:
      - proxy
    restart: always

  mysql:
    image: mariadb
    container_name: mysql
    command: >
      --character-set-server=utf8mb4
      --collation-server=utf8mb4_general_ci
      --max-allowed-packet=128M
    ports:
      - "127.0.0.1:3306:3306"
    environment:
      MYSQL_ROOT_USER: root
      MYSQL_ROOT_PASSWORD: pass
      MYSQL_DATABASE: mysql
    volumes:
      - ./mysql:/var/lib/mysql
    restart: always

networks:
  default:
    external:
      name: shared

// アプリケーション側のdocker-compose.yml
version: '2'
services:
  nginx:
    build: ./nginx
    external_links:
      - mysql
    container_name: "nginx"
    volumes:
      - ./src:/src
      - ./nginx/default.conf:/etc/nginx/conf.d/default.conf
      - ./logs/:/var/log/nginx/
    environment:
      VIRTUAL_HOST: xxx.com
      LETSENCRYPT_HOST: xxx.com
      LETSENCRYPT_EMAIL: xxx@xxx.com
    restart: always
  php:
    build: ./php
    container_name: "php"
    volumes:
      - ./src:/src
      - ./php/php.ini:/usr/local/etc/php/php.ini
      - ./php/www.conf:/usr/local/etc/php-fpm.d/zzz-www.conf
    restart: always

networks:
  default:
    external:
      name: shared

// ./nginx/Dockerfile

FROM nginx:latest
ARG AGENT_UID=1000
ARG AGENT_GID=1000
RUN groupadd -g ${AGENT_GID} username\
                && useradd -d /home/docker -u ${AGENT_UID} -g username username\
                && sed -ie "s/nginx;/username;/" /etc/nginx/nginx.conf

// .nginx/default.conf

server {
        listen 80;
        server_name localhost;
        root /src/;
        index index.php index.html index.htm;
        client_max_body_size 20m;

        location / {
                try_files $uri $uri/ /index.php?$query_string;
        }

        location ~* /wp-config.php {
                deny all;
        }

        location ~ .php$ {
                try_files $uri = 404;
                fastcgi_split_path_info ^(.+.php)(/.+)$;
                fastcgi_pass php:9000;
                fastcgi_index index.php;
                fastcgi_param SCRIPT_FILENAME  $document_root$fastcgi_script_name;
                fastcgi_param PATH_INFO $fastcgi_path_info;
                include       fastcgi_params;
        }

        location ~* .(css|js|jpg|png|gif|ico)$ {
                expires 30d;
        }

        gzip on;
        gzip_types text/css application/javascript application/json application/font-woff application/font-tff image/gif image/png image/jpeg application/octet-stream;
        gzip_min_length 1000;
        gzip_proxied any;
        gunzip on;
}

追記3

conf.dの中にはdefault.confのみで、/etc/nginx/nginx.confからdocker-compose.ymlから設定したdefault.confを読み込むような設定になっていました。
コンテナ内は触っていません。

// /etc/nginx/nginx.conf

user  {user};
worker_processes  1;

error_log  /var/log/nginx/error.log warn;
pid        /var/run/nginx.pid;


events {
    worker_connections  1024;
}


http {
    include       /etc/nginx/mime.types;
    default_type  application/octet-stream;

    log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
                      '$status $body_bytes_sent "$http_referer" '
                      '"$http_user_agent" "$http_x_forwarded_for"';

    access_log  /var/log/nginx/access.log  main;

    sendfile        on;
    #tcp_nopush     on;

    keepalive_timeout  65;

    #gzip  on;

    include /etc/nginx/conf.d/*.conf;
}

追記4

https を待ち受けているバーチャルサーバーの設定です。
こちらもproxy側のdocker-compose.ymlで設定した以外は特に変更していません。

# If we receive X-Forwarded-Proto, pass it through; otherwise, pass along the
# scheme used to connect to this server
map $http_x_forwarded_proto $proxy_x_forwarded_proto {
  default $http_x_forwarded_proto;
  ''      $scheme;
}
# If we receive X-Forwarded-Port, pass it through; otherwise, pass along the
# server port the client connected to
map $http_x_forwarded_port $proxy_x_forwarded_port {
  default $http_x_forwarded_port;
  ''      $server_port;
}
# If we receive Upgrade, set Connection to "upgrade"; otherwise, delete any
# Connection header that may have been passed to this server
map $http_upgrade $proxy_connection {
  default upgrade;
  '' close;
}
# Apply fix for very long server names
server_names_hash_bucket_size 128;
# Default dhparam
ssl_dhparam /etc/nginx/dhparam/dhparam.pem;
# Set appropriate X-Forwarded-Ssl header
map $scheme $proxy_x_forwarded_ssl {
  default off;
  https on;
}
gzip_types text/plain text/css application/javascript application/json application/x-javascript text/xml application/xml application/xml+rss text/javascript;
log_format vhost '$host $remote_addr - $remote_user [$time_local] '
                 '"$request" $status $body_bytes_sent '
                 '"$http_referer" "$http_user_agent"';
access_log off;
resolver 127.0.0.11;
# HTTP 1.1 support
proxy_http_version 1.1;
proxy_buffering off;
proxy_set_header Host $http_host;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection $proxy_connection;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $proxy_x_forwarded_proto;
proxy_set_header X-Forwarded-Ssl $proxy_x_forwarded_ssl;
proxy_set_header X-Forwarded-Port $proxy_x_forwarded_port;
# Mitigate httpoxy attack (see README for details)
proxy_set_header Proxy "";
server {
        server_name _; # This is just an invalid value which will never trigger on a real hostname.
        listen 80;
        access_log /var/log/nginx/access.log vhost;
        return 503;
}
server {
        server_name _; # This is just an invalid value which will never trigger on a real hostname.
        listen 443 ssl http2;
        access_log /var/log/nginx/access.log vhost;
        return 503;
        ssl_session_tickets off;
        ssl_certificate /etc/nginx/certs/default.crt;
        ssl_certificate_key /etc/nginx/certs/default.key;
}
# xxx.com
upstream xxx.com {
                                ## Can be connected with "shared" network
                        # nginx
                        server 172.18.0.2:80;
}
server {
        server_name xxx.com;
        listen 80 ;
        access_log /var/log/nginx/access.log vhost;
        return 301 https://$host$request_uri;
}
server {
        server_name xxx.com;
        listen 443 ssl http2 ;
        access_log /var/log/nginx/access.log vhost;
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;
        ssl_ciphers 'ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:!DSS';
        ssl_prefer_server_ciphers on;
        ssl_session_timeout 5m;
        ssl_session_cache shared:SSL:50m;
        ssl_session_tickets off;
        ssl_certificate /etc/nginx/certs/xxx.com.crt;
        ssl_certificate_key /etc/nginx/certs/xxx.com.key;
        ssl_dhparam /etc/nginx/certs/xxx.com.dhparam.pem;
        ssl_stapling on;
        ssl_stapling_verify on;
        ssl_trusted_certificate /etc/nginx/certs/xxx.com.chain.pem;
        add_header Strict-Transport-Security "max-age=31536000" always;
        include /etc/nginx/vhost.d/default;
        location / {
                proxy_pass http://xxx.com;
        }
}

気になる質問をクリップする

クリップした質問は、後からいつでもマイページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

下記のような質問は推奨されていません。

  • 質問になっていない投稿
  • スパムや攻撃的な表現を用いた投稿

適切な質問に修正を依頼しましょう。

xenbeat
xenbeat

2019/05/23 07:01

これは一発で回答するのが難しいやつですねぇ。 ご自身である程度問題を切り分けて、質問を細分化すると回答が付きやすいと思いますよ。 ちなみにnginxの設定に「listen 443」が存在しないようですけど。
bws
bws

2019/05/24 03:11

ありがとうございます!無知すぎて、どう切り分けたらいいのかもわからない状況でして、申し訳ないです。 nginxの設定はjwilder/nginx-proxyで設定されているのだけでは不十分でしょうか?
Ebonights
Ebonights

2019/06/02 04:15 編集

1.以下コードをNginxのdocker-compose.ymlに入れてみたらどうなりますか?  letsencryptコンテナがどのnginxプロキシコンテナを使用するかを認識するために必要です。 labels: com.github.jrcs.letsencrypt_nginx_proxy_companion.nginx_proxy: "true" 2.DNSの設定はwwwと@(wwwなし)で双方とも登録されていますか?  私の場合はAレコード以外にもAAAAレコードも実装しました。 それと、可能でしたらDocker-compose upで「-d」をつけずに実行してみてください。 エラーが出ていませんでしょうか。
bws
bws

2019/06/10 03:13

返事が遅くなってしまって申し訳ありませんでした。 1は特に変化ありませんでしたがdocker-compose upしたところ追記のようなエラーが出ていました。 DNSの設定については別の人間が設定しているのでその点も確認してみたいと思います。本当に大変貴重な情報をありがとうございます。
take88
take88

2019/06/10 06:25 編集

curl に `-vk` オプションを付けて 証明書の診断結果が表示されるのでそれを、質問にはり付けてもらえますか?
bws
bws

2019/06/11 01:09

ありがとうございます、追記2へ貼り付けさせてもらいました!
take88
take88

2019/06/13 06:36

curl -kv で 証明書エラーを無視してみたところ SSLライブラリが SSL_ERROR_SYSCALL というエラーを出してますね。これは何らかのIOエラーという意味らしいですが LibreSSL という比較的新しいライブラリでエラーになってます。ちなみに curl を実行しているクライアント側の環境について教えてもらえますか?
bws
bws

2019/06/13 11:01

ありがとうございます!クライアントOSはmacOS Mojave 10.14.5です。
take88
take88

2019/06/13 22:40

Mac側の問題かもしれませんね。 回避方法を回答に書くので試してみてください。

回答2

1

  • エラー: curl: (35) LibreSSL SSL_connect: SSL_ERROR_SYSCALL in connection to xxx.com:443
  • クライアントOS: macOS Mojave 10.14.5

MacのSSLライブラリが OpenSSL から LibreSSL に変更になった影響で HTTPS が失敗することがあるようです。回避方法は OpenSSL を入れて、そちらを使うようにします。

インストール

shell
1$ brew install openssl curl

~/.bash_profile に次の内容を追記する

PATH="/usr/local/opt/curl/bin:$PATH"
PATH="/usr/local/opt/openssl@1.1/bin:$PATH"
export PATH

ターミナルを開き直すと、上記の設定が反映されるので その状態で curl を実行してみて 変化があるか確認してください。

投稿2019/06/13 22:50

take88
take88

総合スコア1337

bws👍を押しています

下記のような回答は推奨されていません。

  • 質問の回答になっていない投稿
  • スパムや攻撃的な表現を用いた投稿

このような回答には修正を依頼しましょう。

回答へのコメント

bws
bws

2019/06/14 01:24

ありがとうございます!LibreSSLからOpenSSLに変更したところ追記のようになりました。 セキュリティソフトなどが邪魔している可能性があるみたいなので、その辺りも調べてみたいと思います!
take88
take88

2019/06/14 01:52

Warningが出てますが curl が SNI に対応してないようですね。curl -v https://example.com/ --resolv example.com:443:XX.XX.XX.123 という感じで、--resolv ホスト名:443:IPアドレス というオプションを付けてみるとどうでしょうか?
bws
bws

2019/06/14 02:29

--resolveオプションをつけた結果を追記しました。なんとなく使っていたcurlの勉強にもなります。貴重なアドバイスありがとうございます。
take88
take88

2019/06/18 09:12

進展は有ったみたいですが解決はできませんでしたね・・・。Nginxの設定ファイルが気になります。 /etc/nginx/conf.d/default.conf 以外にも設定ファイルが有ると思いますのでそれを追記してもらえますか?質問に書かれてるのは https (tcp443) を Listenしてないようですが、https を待ち受けているバーチャルサーバーの設定を見たいです。
bws
bws

2019/06/21 03:31

追記3、4に記載させていただきました。 proxy側のコンテナでlistenすれば大丈夫だと思ってたのですが、やはりその辺があやしいでしょうか。 最近サーバーの担当者に聞いて知ったことなのですが、固定ではなくddnsで設定されているらしくそのあたりは関係しそうでしょうか?

0

自己解決

dnsの設定をサーバー管理者に任せていたのを、こちらで設定しなおしたところアクセス出来るようになったのでDNSの設定を見直してみるといいかもしれません。

投稿2019/08/24 04:48

bws
bws

総合スコア98

下記のような回答は推奨されていません。

  • 質問の回答になっていない投稿
  • スパムや攻撃的な表現を用いた投稿

このような回答には修正を依頼しましょう。

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
86.02%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問

同じタグがついた質問を見る

docker-compose

docker-composeとは、複数のコンテナで構成されるサービスを提供する手順を自動的し管理を簡単にするツール。composeファイルを使用しコマンド1回で設定した全サービスを作成・起動することが可能です。

Let's Encrypt
nginx

nginixは軽量で高性能なwebサーバーの1つです。BSD-likeライセンスのもとリリースされており、あわせてHTTPサーバ、リバースプロキシ、メールプロキシの機能も備えています。MacOSX、Windows、Linux、上で動作します。

Docker

Dockerは、Docker社が開発したオープンソースのコンテナー管理ソフトウェアの1つです

proxy

proxy(プロキシー)は、企業などの内部コンピュータとインターネットの中間に位置し、例えば直接インターネットに接続できない内部コンピュータの代理としてインターネットに接続する等をするシステム、もしくは代理として機能を実行するソフトウェアです。内部ネットワークへのアクセスを一元管理し、内部からの特定の種類の接続以外を遮断すること、外部からの不正アクセスを拒否することなどに用いられます。

トップdocker-composeに関する質問

dockerでLet's Encriptでhttpsアクセスしたいが証明書エラーが発生してしまいます