Logo
技术 转载 C#

在Docker中配置ASP.NETCore的HTTPS模式

photo
Pastore Antonio

2023年09月21日

(The Continued Rising Power of Developers)

使用HTTPS,让网站更安全

PS:经过两周的学习和部署迁移,目前已经把所有后端都迁到了基于Docker的Jenkins里了,相关文章可以参考《使用Jenkins来发布和代理.NetCore项目》,当然我也在纠结要不要也把vue的前端项目也迁过来,这样每次只需要动动手就可以实现持续集成和持续部署了,如果你想了解如何vue项目构建镜像,看我的这个《Docker 部署VUE项目

今天就用mvp项目做例子,虽然是BlazorServer的项目,但是本质上还是MVC项目,所以如果你的项目是MVP的,同理可得

不知道docker和Jenkins的相关内容,你学会了么?

1、两种方案来加锁

现在网站基本上已经普及了HTTPS化,虽然不能拦截所有,不过通过简单的配置也能起到很大的作用,所以,HTTPS模式一直也是被大众所接受,我现在在线的10个项目中,主要是官网,认证中心做了安全协议的配置,关于如何进行安全配置,这里有两个方案:

1、普通模式:直接在代理服务器中,配置证书,做HTTPS代理,常见的就是在Nginx中处理,我的官网和认证中心都是这么处理的,而且也对Http做了跳转,访问域名,无论是HTTP还是HTTPS的,统一都是运行HTTPS安全协议下的,相应的Nginx配置也很简单,之前也写过文章《mvc项目加个锁》。

配置文件查看链接:

http://apk.neters.club/.doc/guide/function-sheet.htm

2、项目中配置:上边的方案虽然可以满足一定的需求,但是有一个问题,比如我们用HTTPS安全协议的MVC项目做客户端,去调用认证中心的时候(这里的ids4项目也是https安全协议的),MVC客户端是不能用第一种方案的,因为第一种方案本质上还是通过nginx路由强制跳转的。所以如果用第一种方案的话,我们发起认证的时候会报错,比如客户端无效或者参数不对。那这个时候我们就需要把我们的MVC客户端,直接配置HTTPS模式的,也就是在项目内部配置的,这个也是今天要说的重点。

那接下来咱们就说下,如何把项目用HTTPS模式启动。

2、项目中配置HTTPS模式

这个是很简单的,只需要简单配置下启动服务就行。

首先就是注册相应的服务,基本自己不需要怎么修改,对于下边的AddHttpsRedirection你可以酌情处理,一般仅仅是生产模式使用就行。

 // 配置Hsts
 services.AddHsts(options =>
 {
     options.Preload = true;
     options.IncludeSubDomains = true;
     options.MaxAge = TimeSpan.FromDays(60);
     options.ExcludedHosts.Add("mvp.neters.club");
 });


 // 非开发环境
 if (!_env.IsDevelopment())
 {
     services.AddHttpsRedirection(options =>
       {
           options.RedirectStatusCode = StatusCodes.Status308PermanentRedirect;
           options.HttpsPort = 443;
       }); 
 }

然后配置中间件

 if (!env.IsDevelopment())
 {
     app.UseHsts();
 }
 app.UseHttpsRedirection();




其他的就不需要处理了,本地测试一看,没有什么问题

如果说你仅仅使用Linux+Nginx的话,应该就是到了这里了,毕竟已经启动了HTTPS安全模式了,配置好代理就可以起飞了,但是本文要说的就是Docker。

3、在Docker中测试

可是我们都知道,如果你使用Docker的话,容器内部是没有localhost的,因为是用的IPv6,那这种配置就是不行。而且如果不配置的话,容器内默认启动的是http协议的80端口,这个和我们的需求不一样,我们需要的是直接启动https的:

那怎么办呢,如果你看过我之前的讲解,可能就想到了,我们可以在Program里直接配置域名,可以达到目的:

Host.CreateDefaultBuilder(args)
    .ConfigureWebHostDefaults(webBuilder =>
    {
        webBuilder
        .UseStartup<Startup>()
        .UseUrls("https://*:443") // 手动指定https
        ;
    });

这样看起来,按理说这回应该就没有问题了吧,提交到Docker来看看

竟然还报错了你看????

System.InvalidOperationException: Unable to configure HTTPS endpoint. No server certificate was specified, and the default developer certificate could not be found or is out of date.
To generate a developer certificate run ‘dotnet dev-certs https’. To trust the certificate (Windows and macOS only) run ‘dotnet dev-certs https –trust’.

其实定心一看,应该也能明白发生了什么,就是在Docker中这么启动HTTPS的话,是不允许的,因为没有服务证书,本地vs开发肯定不会有这个问题,这就是环境的差异性。

这个就是今天的重点问题出现了,在Docker中如何合理配置安全证书HTTPS。也咨询了下别人,有的建议直接用k8s,有的说直接用Linux,不用Docker,我想着应该不会这么尴尬的,那到底该如何配置呢,其实是很简单的。

4、配置https证书

那既然需要证书,我们就生成一个证书,方案有很多,你可以去某云上申请免费的证书,也可以使用openssl工具来生成自己的,生成的过程略,自行百度很简单。

但是这样的话,放到公网也是不行,毕竟自己创建的没啥用,除非你用自建的放项目里,用nginx再代理正式的。

所以还是要正规的,这里我用某讯云的上的pfx来处理。

现在有了正式,就需要配置端口监听了,直接配置kestrel:

 public static IHostBuilder CreateHostBuilder(string[] args) =>
     Host.CreateDefaultBuilder(args)
         .ConfigureWebHostDefaults(webBuilder =>
         {
             webBuilder
             .UseStartup<Startup>()
             .ConfigureKestrel(options =>
             {
                 options.Listen(IPAddress.IPv6Any, 443, listenOptions =>
                 {
                     listenOptions.UseHttps(Path.Combine(AppContext.BaseDirectory, "socialnetwork.pfx"), "123456");
                 });
             })
             //.UseUrls("https://*:443")
             ;
         });

注意这里的监听方式用的是IPv6Any,端口443,然后下边配置路径和密码,这个证书反正是假的,你自己的可要保护好。

如果想要看更多详细的内容,可以看官方的issue:

https://github.com/dotnet/AspNetCore.Docs/issues/6199

那现在提交上去,再来看看

没有问题了,撒花,基于IPv6的端口是443的容器,当然你也可以自定义修改端口。

剩下的就是映射到宿主机端口。

docker run --name=mvpcontainer -d \
-v /etc/localtime:/etc/localtime -it \
-p 5050:443 laozhangisphi/mvpimg

然后正常的nginx代理5050,刷新页面,一切正常。

https://mvp.neters.club


总结:

1、配置Startup.cs;
2、生成证书;
3、配置kestrel监听端口;

本文为原创文章,请注意保留出处!
修复群晖Synology Drive client右键菜单缺失问题 Local, clean & environmental 作者:Pastore Antonio
1807 浏览量
1780 浏览量
configure: error: Package requirements (oniguruma) were not met Local, clean & environmental 作者:Pastore Antonio
1525 浏览量
Adobe Acrobat Pro 激活 Local, clean & environmental 作者:Pastore Antonio
1520 浏览量
追寻日出,找回自己 Local, clean & environmental 作者:Pastore Antonio
1489 浏览量