Назад | Перейти на главную страницу

В разрешении сертификата Nginx letsencrypt отказано

Контекст

Я запускаю экземпляр nginx в контейнере alpine docker (nginx:stable-alpine). Цель состоит в том, чтобы использовать nginx в качестве обратного прокси для одного (или нескольких) контейнеров докеров, которые имеют только HTTP, и превратить их в HTTPS с помощью этого внешнего экземпляра nginx.

Конфиги / окружение

Я не менял стандартную конфигурацию контейнера Docker, которая:

user  nginx;
worker_processes  auto;

error_log  /var/log/nginx/error.log warn;
pid        /var/run/nginx.pid;


events {
    worker_connections  1024;
}


http {
    include       /etc/nginx/mime.types;
    default_type  application/octet-stream;

    log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
                      '$status $body_bytes_sent "$http_referer" '
                      '"$http_user_agent" "$http_x_forwarded_for"';

    access_log  /var/log/nginx/access.log  main;

    sendfile        on;
    #tcp_nopush     on;

    keepalive_timeout  65;

    #gzip  on;

    include /etc/nginx/conf.d/*.conf;
}

Кроме того, в подпапке conf.d есть два файла:

ssl-forward.conf

server {
    listen 80;
    server_tokens off;

    server_name sub.example.com;

    location /.well-known/acme-challenge/ {
        root /var/www/certbot;
    }

    location / {
        return 301 https://$host$request_uri;
    }
}

django.conf

server {
    listen 443 ssl;
    server_name sub.example.com;
    server_tokens off;

    ssl_certificate /etc/letsencrypt/live/$server_name/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/$server_name/privkey.pem;
    include /etc/letsencrypt/options-ssl-nginx.conf;
    ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem;

    location / {
        proxy_pass         http://127.0.0.1:8000;
        proxy_redirect     off;
        proxy_set_header   Host $host;
        proxy_set_header   X-Real-IP $remote_addr;
        proxy_set_header   X-Forwarded-For $proxy_add_x_forwarded_for;
    }
}

Папка сертификата letsencrypt имеет следующие права доступа к папке / файлу, что означает, что сертификаты доступны для чтения только пользователю root, файлы поступают с смонтированного тома:

drwxr-xr-x    3 root     root          4096 May 15 10:09 accounts
drwx------    3 root     root          4096 May 15 10:09 archive
drwxr-xr-x    2 root     root          4096 May 15 10:09 csr
drwx------    2 root     root          4096 May 15 10:09 keys
drwx------    3 root     root          4096 May 15 10:09 live
-rw-r--r--    1 root     root           721 May 16 11:20 options-ssl-nginx.conf
drwxr-xr-x    2 root     root          4096 May 15 10:09 renewal
drwxr-xr-x    5 root     root          4096 May 15 10:09 renewal-hooks
-rw-r--r--    1 root     root           424 May 16 11:20 ssl-dhparams.pem

Основной процесс nginx находится под пользователем root, подпроцессы под пользователем nginx:

   13    11 nginx    S    16788   2%   0   0% nginx: worker process
   11     1 root     S    16304   2%   0   0% nginx: master process nginx -g daemon off;

Тест конфигурации Nginx дает мне:

# nginx -t
nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful

Проблема

Несмотря на все это, когда я пытаюсь получить доступ https://sub.example.com, Я получил

13#13: *9 cannot load certificate "/etc/letsencrypt/live/sub.example.com/fullchain.pem": BIO_new_file() failed (SSL: error:0200100D:system library:fopen:Permission denied:fopen('/etc/letsencrypt/live/sub.example.com/fullchain.pem','r') error:2006D002:BIO routines:BIO_new_file:system lib) while SSL handshaking, client: ..., server: 0.0.0.0:443

Почему это так / как я могу это исправить? Это потому, что это подконфигурация в conf.d и nginx пытается получить доступ к сертификатам через рабочий процесс, а не через основной процесс (и, следовательно, как пользователь nginx)? Связано ли это с тем, что включение происходит в http{} директива в основном конфиге?