1. 介绍

还有一篇文章是介绍用给网站加上https的:使用 acme.sh 安装 Let’ s Encrypt 提供的免费 SSL 证书

现在这篇文章来结合之前的两篇文章的内容,给gitlab网站加上https应用的。

2. 申请证书

第一步是申请证书:

/srv/docker/gitlab/gitlab是gitlab这个docker所使用的数据卷的目录。

执行这行命令,你会发现输出是这样的:

  1. [Sun Mar 12 11:06:15 CST 2017] Single domain='gitlab.rails365.net'
  2. [Sun Mar 12 11:06:15 CST 2017] Getting domain auth token for each domain
  3. [Sun Mar 12 11:06:15 CST 2017] Getting webroot for domain='gitlab.rails365.net'
  4. [Sun Mar 12 11:06:15 CST 2017] Getting new-authz for domain='gitlab.rails365.net'
  5. [Sun Mar 12 11:06:20 CST 2017] The new-authz request is ok.
  6. [Sun Mar 12 11:06:20 CST 2017] Verifying:gitlab.rails365.net
  7. [Sun Mar 12 11:06:25 CST 2017] gitlab.rails365.net:Verify error:Invalid response from http://gitlab.rails365.net/.well-known/acme-challenge/M383V-Nx8XeuYkzt5gUYIufSbiOuMB5ox3OZyKXz21M: 
  8. [Sun Mar 12 11:06:25 CST 2017] Please add '--debug' or '--log' to check more details.
  9. [Sun Mar 12 11:06:25 CST 2017] See: https://github.com/Neilpang/acme.sh/wiki/How-to-debug-acme.sh

主要报错的这一行是这里:

  1. gitlab.rails365.net:Verify error:Invalid response from http://gitlab.rails365.net/.well-known/acme-challenge/M383V-Nx8XeuYkzt5gUYIufSbiOuMB5ox3OZyKXz21M

其实acme.sh要验证一下这个网站的所有权,也就是说只要你能证明这个网站或域名你是能控制的,就可以了,它是通过向网站写些数据,或读些数据来验证的,比如,在你的网站根目录下新建一个目录.well-known,再往里面写些东西。

比如:

然后再执行之前的命令就会成功的。

接着把证书安装到gitlab那里。

  1. $ mkdir /srv/docker/gitlab/gitlab/ssl
  2. $ acme.sh --installcert -d gitlab.rails365.net \
  3.                --keypath       /srv/docker/gitlab/gitlab/ssl/gitlab.rails365.net.key  \
  4.                --fullchainpath /srv/docker/gitlab/gitlab/ssl/gitlab.rails365.net.key.pem \
  5.                --reloadcmd     "sudo nginx -s reload"
  6. $ openssl dhparam -out /srv/docker/gitlab/gitlab/ssl/dhparam.pem 2048

最后nginx里加上配置:

  1. upstream gitlab {
  2.   server                    127.0.0.1:10080;
  3. }
  5.   server_name               gitlab.rails365.net;
  6.   ssl_certificate           /srv/docker/gitlab/gitlab/ssl/gitlab.rails365.net.key.pem;
  7.   ssl_certificate_key       /srv/docker/gitlab/gitlab/ssl/gitlab.rails365.net.key;
  8.   # ssl_dhparam
  9.   ssl_dhparam               /srv/docker/gitlab/gitlab/ssl/dhparam.pem;
  10.   server_tokens             off;
  11.   root                      /dev/null;
  13.   # 配合acme.sh使用ssl, 验证网站
  14.   location /.well-known/ {
  15.     root /srv/docker/gitlab/gitlab;
  16.   }
  18.   location / {
  19.     proxy_read_timeout      300;
  20.     proxy_connect_timeout   300;
  21.     proxy_redirect          off;
  22.     proxy_set_header        X-Forwarded-Proto $scheme;
  23.     proxy_set_header        Host              $http_host;
  24.     proxy_set_header        X-Real-IP         $remote_addr;
  25.     proxy_set_header        X-Forwarded-For   $proxy_add_x_forwarded_for;
  26.     proxy_pass              http://gitlab;
  28. }
  30. server {
  31.     listen 80;
  32.     server_name gitlab.rails365.net;
  33.     return 301 https://gitlab.rails365.net$request_uri;
  34. }

3. 改造gitlab

经过前面的处理,也是能正常访问的,不过好像有些问题,因为gitlab网站里面还是在使用http协议作为代码的访问协议,而不是https。

这里要把gitlab改造一下。

开启了gitlab的https服务,把https的服务的端口改为了443,并且暴露了10443端口。

然后nginx里也改变一下:

  1. upstream gitlab {
  2.   server                    127.0.0.1:10443;
  3. }
  5. location / {
  6.     ...
  7.     proxy_pass              https://gitlab;
  8.   }

端口变了,变成了10443,还有http://gitlab变成了https://gitlab

4. 复制证书

你要把证书复制到gitlab下。

  1. mkdir -p /srv/docker/gitlab/gitlab/certs
  2. cp /srv/docker/gitlab/gitlab/ssl/gitlab.rails365.net.key.pem /srv/docker/gitlab/gitlab/certs/gitlab.crt
  3. cp /srv/docker/gitlab/gitlab/ssl/gitlab.rails365.net.key /srv/docker/gitlab/gitlab/certs/gitlab.key
  5. chmod 400 /srv/docker/gitlab/gitlab/certs/gitlab.key

现在可以正常以https访问gitlab了。

17. 给 GitLab 应用加上 https - 图1