使用Certbot开启https并保护所有二级域名-Nginx

序言

当不再满足使用域名+端口号访问一台服务器上不同项目时，我决定研究下如何实现二级域名方式访问。网上当然教程很多，但是我还是踩了不少坑，在此记录一下。

准备工作

按照官网的做法，安装EPEL等，有很多东西都是自带的，所以有可以跳过

yum -y install yum-utils
yum-config-manager --enable rhui-REGION-rhel-server-extras rhui-REGION-rhel-server-optional
yum install certbot python2-certbot-nginx

或者更简单，直接执行docker命令

docker run -it --rm --name certbot -v "/etc/letsencrypt:/etc/letsencrypt" -v "/var/lib/letsencrypt:/var/lib/letsencrypt" certbot/certbot certonly -d *.futatsu.fun -d futatsu.fun --manual --preferred-challenges dns --server https://acme-v02.api.letsencrypt.org/directory

生成证书挂载进nginx

certbot certonly --standalone --email  -d *.futatsu.fun -d futatsu.fun

中间会要求你添加一条TXT记录在域名解析中，去添加。

此时默认证书会生成在 ‘/etc/letsencrypt/live/你的域名/‘ 下，你可以选择重新挂载nginx把这个目录挂载进去，也可以手动cp，推荐重新挂载，这样将来更新证书时很方便。

设置二级域名

现在我希望把管理docker容器的portainer使用二级域名方式访问，即直接访问https://portainer.futatsu.fun，不需要访问9000端口，以下是设置

server {
    listen 80;
    listen 443 ssl;
    server_name  portainer.futatsu.fun;
#    old certs
#    ssl_certificate /cert/1_www.futatsu.fun_bundle.crt;
#    ssl_certificate_key /cert/2_www.futatsu.fun.key;
    
    ssl_certificate /cert/fullchain.pem;
    ssl_certificate_key /cert/privkey.pem;
    
    ssl_session_timeout 5m;
    ssl_ciphers ECDHE-RSA-AES256-GCM-SHA384:ECDHE:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256;
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_prefer_server_ciphers on;
    add_header X-Frame-Options DENY;
    add_header X-Content-Type-Options nosniff;
    add_header X-Xss-Protection 1;
    location / {
        proxy_pass https://futatsu.fun:9000;
    }
    if ($scheme != "https") {
        return 301 https://$host$request_uri;
    }
}

同时又希望通过https://csv.futatsu.fun 访问csv转json工具

只需再配一个server即可，很简单。

#csv
server {
    listen 80;
    listen 443 ssl;
    server_name  csv.futatsu.fun;
    ssl_certificate /cert/fullchain.pem;
    ssl_certificate_key /cert/privkey.pem;
    
    ssl_session_timeout 5m;
    ssl_ciphers ECDHE-RSA-AES256-GCM-SHA384:ECDHE:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256;
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_prefer_server_ciphers on;
    add_header X-Frame-Options DENY;
    add_header X-Content-Type-Options nosniff;
    add_header X-Xss-Protection 1;
    
    location / {
        root   /usr/share/nginx/html/uploadcsv;
        index  index.html index.htm;
    try_files $uri $uri/ /index.html;
    }
    if ($scheme != "https") {
        return 301 https://$host$request_uri;
    }
}

踩坑点

在设置http跳转https时，我遇到了坑点，我访问http://crv.futatsu.fun/abc，跳转成为https://crv.futatsu.fun/abcabc，原因如下。

#设置跳转时，不应该判断是否访问80端口，而应该判断是否scheme为https,否则会造成一次循环导致request_uri被添加两次。
#原来写法
    if ($server_port = 80) {
    rewrite 301 https://$host$request_uri;
    }
#现在写法
    if ($scheme != "https") {
        return 301 https://$host$request_uri;
    }

目前面临问题

因为我是在域名解析-主机记录中，直接添加泛解析*，导致目前未被拦截的请求都会解析到主页上去，比如a.futatsu.fun相当于直接访问futatsu.fun。

解决方案1. 不适用泛解析，应该解析二级域名，这样其他直接没有解析即可，但是我不喜欢这样

接下来想做 访问不存在的二级域名，跳转到404页面。