🚀 Nuova versione beta disponibile! Feedback o problemi? Contattaci

Implementazione di Certificati SSL in Docker

Codegrind Team•Aug 28 2024

La configurazione di certificati SSL è fondamentale per proteggere le comunicazioni tra i servizi web e i client, garantendo la crittografia dei dati trasmessi. Quando si utilizzano container Docker per distribuire applicazioni web, è essenziale implementare SSL correttamente per garantire che il traffico sia sicuro. In questa guida, esploreremo come generare, gestire e implementare certificati SSL per servizi Docker utilizzando Nginx come reverse proxy, includendo l’integrazione con Let’s Encrypt per certificati gratuiti.

Cos’è SSL e Perché È Importante?

SSL (Secure Sockets Layer), ora sostituito da TLS (Transport Layer Security), è un protocollo di sicurezza che crittografa i dati trasmessi tra il server e il client. L’implementazione di SSL è cruciale per:

  • Proteggere i dati sensibili: Crittografa le informazioni personali, le credenziali e altre comunicazioni sensibili.
  • Autenticare il server: I certificati SSL confermano l’identità del server, prevenendo attacchi come il man-in-the-middle.
  • Migliorare il SEO: I motori di ricerca come Google danno priorità ai siti web che utilizzano HTTPS.

Generare un Certificato SSL Autosigned

Per ambienti di sviluppo o test, puoi generare un certificato SSL autosigned. Sebbene non adatto per la produzione, è utile per ambienti interni.

Generazione di un Certificato SSL Autosigned

openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout selfsigned.key -out selfsigned.crt
  • -x509: Crea un certificato autosigned.
  • -nodes: Non crittografa il certificato.
  • -days 365: La validità del certificato è di 365 giorni.
  • -newkey rsa:2048: Genera una nuova chiave RSA a 2048 bit.
  • -keyout: Specifica il file di output per la chiave privata.
  • -out: Specifica il file di output per il certificato.

Implementare SSL con Nginx e Docker

Nginx è un popolare web server che può fungere da reverse proxy per i container Docker, gestendo il traffico HTTPS.

1. Configurare Nginx con Docker

Crea un Dockerfile per Nginx che includa il certificato SSL.

Esempio di Dockerfile per Nginx con SSL

FROM nginx:latest

# Copia i certificati SSL
COPY selfsigned.crt /etc/ssl/certs/selfsigned.crt
COPY selfsigned.key /etc/ssl/private/selfsigned.key

# Copia la configurazione di Nginx
COPY nginx.conf /etc/nginx/nginx.conf

# Esponi la porta 443 per HTTPS
EXPOSE 443

2. Configurare Nginx per Usare SSL

Crea un file nginx.conf per configurare Nginx per servire il traffico HTTPS.

Esempio di Configurazione Nginx

server {
    listen 80;
    server_name yourdomain.com;
    return 301 https://$host$request_uri;
}

server {
    listen 443 ssl;
    server_name yourdomain.com;

    ssl_certificate /etc/ssl/certs/selfsigned.crt;
    ssl_certificate_key /etc/ssl/private/selfsigned.key;

    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_prefer_server_ciphers on;
    ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";

    location / {
        proxy_pass http://your_backend_service;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
    }
}
  • listen 80: Reindirizza tutto il traffico HTTP a HTTPS.
  • listen 443 ssl: Configura Nginx per ascoltare il traffico HTTPS.
  • ssl_certificate e ssl_certificate_key: Specifica i percorsi dei certificati SSL.
  • proxy_pass: Inoltra il traffico al servizio backend esposto dal container Docker.

3. Costruire e Avviare il Container Nginx

Costruisci e avvia il container Nginx con il supporto SSL.

docker build -t mynginx .
docker run -d -p 80:80 -p 443:443 mynginx

Implementare SSL con Let’s Encrypt e Docker

Per ambienti di produzione, utilizza Let’s Encrypt per ottenere certificati SSL gratuiti e validi.

1. Utilizzare Certbot con Docker

Certbot è un client Let’s Encrypt che automatizza il processo di ottenimento e rinnovo dei certificati SSL.

Esempio di Comando Certbot con Docker

docker run -it --rm \
    -v /path/to/letsencrypt/etc:/etc/letsencrypt \
    -v /path/to/letsencrypt/lib:/var/lib/letsencrypt \
    certbot/certbot certonly --webroot \
    --webroot-path=/var/www/html \
    -d yourdomain.com -d www.yourdomain.com
  • -v /etc/letsencrypt: Monta il percorso dove verranno salvati i certificati.
  • –webroot-path: Specifica la directory radice del server web.
  • -d yourdomain.com: Specifica il dominio per cui ottenere il certificato.

2. Configurare Nginx per Usare Certificati Let’s Encrypt

Aggiorna la configurazione di Nginx per puntare ai certificati Let’s Encrypt.

Esempio di Configurazione Nginx con Let’s Encrypt

server {
    listen 80;
    server_name yourdomain.com;
    return 301 https://$host$request_uri;
}

server {
    listen 443 ssl;
    server_name yourdomain.com;

    ssl_certificate /etc/letsencrypt/live/yourdomain.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/yourdomain.com/privkey.pem;

    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_prefer_server_ciphers on;
    ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";

    location / {
        proxy_pass http://your_backend_service;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
    }
}

3. Automatizzare il Rinnovo del Certificato

Let’s Encrypt i certificati scadono ogni 90 giorni, quindi è essenziale automatizzare il rinnovo.

Esempio di Cron Job per Rinnovo Automatico

0 0 * * * docker run -it --rm \
    -v /path/to/letsencrypt/etc:/etc/letsencrypt \
    -v /path/to/letsencrypt/lib:/var/lib/letsencrypt \
    certbot/certbot renew --quiet

Best Practices per l’Implementazione di SSL in Docker

1. Proteggi i Certificati

Assicurati che i certificati SSL e le chiavi private siano archiviati in modo sicuro, limitando l’accesso ai file solo agli utenti e ai processi che ne hanno bisogno.

2. Configura Redirect da HTTP a HTTPS

Sempre reindirizza il traffico HTTP a HTTPS per garantire che tutte le comunicazioni siano crittografate.

3. Usa TLS 1.2 o Superiore

Assicurati che la tua configurazione SSL supporti solo le versioni sicure di TLS (1.2 e 1.3) e disabilita le versioni obsolete e insicure.

4. Verifica la Configurazione SSL

Utilizza strumenti come SSL Labs per verificare la sicurezza e la corretta configurazione del tuo certificato SSL.

Conclusione

Implementare certificati SSL con Docker è essenziale per garantire la sicurezza delle comunicazioni tra i servizi web e i client. Utilizzando strumenti come Nginx, Certbot e Let’s Encrypt, puoi configurare SSL in modo sicuro e automatizzato sia in ambienti di sviluppo che di produzione. Seguendo le best practices, puoi assicurarti che i tuoi servizi Docker siano protetti da minacce esterne e che le comunicazioni siano sempre crittografate e sicure.

PrecedentePolitiche di Sicurezza delle ImmaginiSuccessivoDocker Secrets: Gestione delle Credenziali