如何用Docker配置PHP環境支持SSL PHP容器啟用HTTPS訪問方法-php教程-PHP中文網

解決方案

為什麼我的HTTPS配置後仍然無法訪問，或者出現證書錯誤？

如何在開發環境中快速搭建一個支持HTTPS的PHP容器？

生產環境下，如何安全有效地管理和更新SSL證書？

首頁

後端開發

php教程

如何用Docker配置PHP環境支持SSL PHP容器啟用HTTPS訪問方法

Olivia Jane Martin

Jul 25, 2025 pm 05:48 PM

mysql css linux laravel docker php環境搭建 window php教程 docker安裝

要讓PHP應用在Docker中支持HTTPS，核心是將SSL證書和密鑰配置到Nginx或Apache容器中，並確保與PHP-FPM容器協同工作。 1. 創建自簽名證書，用於開發環境；2. 編寫PHP-FPM和Nginx的Dockerfile；3. 配置Nginx以啟用HTTPS並轉發PHP請求到PHP-FPM；4. 使用docker-compose編排服務並掛載證書和代碼目錄；5. 修改本地hosts文件解析域名到127.0.0.1。若HTTPS無法訪問或出現證書錯誤，常見原因包括：證書路徑錯誤、端口未暴露或被佔用、Nginx配置語法錯誤、防火牆限制、自簽名證書未被信任、混合內容問題或DNS解析錯誤。開發環境快速搭建HTTPS的要點是：使用openssl生成證書、統一certs目錄、docker-compose掛載證書、Nginx配置正確路徑、設置hosts文件。生產環境應採用Let's Encrypt和Certbot自動管理證書，通過獨立Certbot容器配合HTTP或DNS挑戰方式獲取證書，並配置自動續訂機制，確保證書長期有效；同時注意權限控制、備份、郵件通知等安全措施。

如何用Docker配置PHP環境支持SSL PHP容器啟用HTTPS訪問方法

在Docker裡讓PHP應用跑上HTTPS，說白了，就是要把你的SSL證書和密鑰妥帖地安放在Web服務器（比如Nginx或Apache）的容器裡，然後配置它監聽443端口，並用這些證書來加密通信。同時，確保Web服務器和PHP-FPM容器能無縫協作，讓你的PHP代碼在安全的環境下被執行。

解決方案

要搞定這事兒，我們通常會用到docker-compose來編排Nginx（或者Apache）和PHP-FPM這兩個核心服務。核心思路是：Nginx負責接收HTTPS請求，處理SSL握手，然後將PHP相關的請求轉發給PHP-FPM容器處理。

我們先準備好自簽名的SSL證書，這在開發環境里特別方便，省去了申請正式證書的麻煩。在你的項目根目錄下創建一個certs文件夾，然後執行：

 mkdir -p certs
openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout certs/nginx.key -out certs/nginx.crt -subj "/CN=yourdomain.local"

這裡yourdomain.local可以是你本地hosts文件裡指向127.0.0.1的任何域名，比如app.local 。

接下來，我們需要一個Dockerfile來構建我們的PHP-FPM服務，以及一個Nginx的配置文件。

1. php/Dockerfile (假設放在項目根目錄下的php文件夾裡):

 FROM php:8.2-fpm-alpine

# 安裝常用的PHP擴展，根據你的項目需求添加RUN docker-php-ext-install pdo_mysql opcache

WORKDIR /var/www/html

2. nginx/Dockerfile (假設放在項目根目錄下的nginx文件夾裡):

 FROM nginx:alpine

# 複製自定義的Nginx配置COPY nginx.conf /etc/nginx/conf.d/default.conf

# 複製證書文件，這裡假設證書在項目根目錄的certs文件夾# 在docker-compose.yml中通過volume掛載更靈活，這裡只是示例# COPY ../certs/nginx.crt /etc/nginx/certs/nginx.crt
# COPY ../certs/nginx.key /etc/nginx/certs/nginx.key

WORKDIR /var/www/html

3. nginx/nginx.conf (Nginx的HTTPS配置):

 server {
    listen 80;
    listen [::]:80;
    server_name yourdomain.local; # 替換成你的域名return 301 https://$host$request_uri; # 強制HTTP跳轉到HTTPS
}

server {
    listen 443 ssl http2;
    listen [::]:443 ssl http2;
    server_name yourdomain.local; # 替換成你的域名# SSL證書路徑，這裡會通過docker-compose的volumes掛載進來ssl_certificate /etc/nginx/certs/nginx.crt;
    ssl_certificate_key /etc/nginx/certs/nginx.key;

    # 推薦的SSL配置ssl_session_cache shared:SSL:10m;
    ssl_session_timeout 10m;
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_prefer_server_ciphers on;
    ssl_ciphers &#39;ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384&#39;;
    ssl_stapling on;
    ssl_stapling_verify on;
    resolver 8.8.8.8 8.8.4.4 valid=300s;
    resolver_timeout 5s;

    add_header X-Frame-Options "SAMEORIGIN";
    add_header X-Content-Type-Options "nosniff";
    add_header X-XSS-Protection "1; mode=block";

    root /var/www/html/public; # 你的應用入口目錄，例如Laravel的public

    index index.php index.html index.htm;

    location / {
        try_files $uri $uri/ /index.php?$query_string;
    }

    location ~ \.php$ {
        fastcgi_pass php:9000; # php是docker-compose服務名，9000是PHP-FPM默認端口fastcgi_index index.php;
        fastcgi_buffers 16 16k;
        fastcgi_buffer_size 32k;
        fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
        include fastcgi_params;
    }

    # 隱藏Nginx版本信息server_tokens off;
}

4. docker-compose.yml (編排服務):

 version: &#39;3.8&#39;

services:
  nginx:
    build:
      context: ./nginx # Nginx的Dockerfile路徑ports:
      - "80:80"
      - "443:443"
    volumes:
      - ./src:/var/www/html # 掛載你的項目代碼- ./certs:/etc/nginx/certs # 掛載SSL證書和密鑰- ./nginx/nginx.conf:/etc/nginx/conf.d/default.conf:ro # 確保Nginx配置被正確加載depends_on:
      - php
    restart: unless-stopped

  php:
    build:
      context: ./php # PHP的Dockerfile路徑volumes:
      - ./src:/var/www/html # 掛載你的項目代碼restart: unless-stopped
    # 如果需要，可以暴露PHP-FPM的端口，但通常Nginx內部訪問即可# ports:
    # - "9000:9000"

5. src/public/index.php (一個簡單的測試文件):

 <?php
echo "Hello from HTTPS PHP on Docker!";
phpinfo();
?>

最後，在你的項目根目錄下運行docker-compose up -d --build ，然後修改你的本地hosts文件（Windows在C:\Windows\System32\drivers\etc\hosts ，macOS/Linux在/etc/hosts ），添加一行：

 127.0.0.1 yourdomain.local

現在，訪問https://yourdomain.local ，你應該能看到PHP的輸出，並且瀏覽器會提示證書不信任（因為是自簽名的），但連接是加密的。

為什麼我的HTTPS配置後仍然無法訪問，或者出現證書錯誤？

這問題問得好，每次搞SSL，總能遇到些稀奇古怪的坑。我個人覺得，最常見的無非就那麼幾類：

證書路徑或名稱不對勁：這是初學者最容易犯的錯。 ssl_certificate和ssl_certificate_key裡填的路徑，是不是真的指向了容器內部的正確文件？你可能在宿主機上路徑沒錯，但容器裡掛載進去後，路徑變了。檢查docker-compose.yml裡的volumes配置，確保證書文件確實被掛載到了Nginx容器內部nginx.conf裡指定的路徑。比如我上面例子裡，Nginx容器內部證書路徑是/etc/nginx/certs/nginx.crt ，而宿主機是./certs/nginx.crt 。如果路徑寫錯了，Nginx啟動時就會報錯，或者直接拒絕加載SSL。
端口沒暴露或被佔用：確保docker-compose.yml裡nginx服務的ports部分有"443:443" ，這意味著宿主機的443端口會映射到Nginx容器的443端口。如果宿主機的443端口已經被其他服務（比如IIS、Apache或者其他Nginx實例）佔用了，Docker就無法綁定，容器可能啟動失敗。這時候你可以試試映射到其他端口，比如"8443:443" ，然後訪問https://yourdomain.local:8443 。
Nginx配置語法錯誤：別小看這個，一個括號、一個分號的缺失，都能讓Nginx直接罷工。你可以進入Nginx容器內部，運行nginx -t來檢查配置文件的語法。 docker-compose exec nginx nginx -t是個好習慣。
防火牆擋道：宿主機或者云服務器的安全組規則，是不是把443端口給堵死了？這在部署到生產環境時特別常見，本地開發環境相對少見，但也不是沒有可能。
自簽名證書的“預期”錯誤：如果你用的是自簽名證書，瀏覽器肯定會提示“不安全連接”或“隱私錯誤”。這其實是正常的，因為瀏覽器不信任你這個私人頒發者。這不是配置錯誤，而是安全機制使然。你需要在瀏覽器里手動添加例外或者信任這個證書。
混合內容（Mixed Content）警告：你的頁面是通過HTTPS加載的，但頁面內部引用了某些HTTP資源（比如圖片、CSS、JS文件）。瀏覽器會認為這不安全，可能會阻止這些HTTP資源加載，或者在控制台給出警告。解決方法是確保所有資源都通過HTTPS加載。
DNS解析問題：你訪問的域名是否正確解析到了Docker宿主機的IP地址？特別是你在hosts文件裡配置了yourdomain.local ，但瀏覽器可能緩存了舊的解析，或者你訪問的根本不是你配置的那個域名。

遇到問題，別慌，先看Docker容器的日誌（ docker-compose logs nginx ），通常能找到蛛絲馬跡。

如何在開發環境中快速搭建一個支持HTTPS的PHP容器？

在開發環境，我們的核心訴求是“快”和“簡單”，不用太糾結於證書的權威性。上面解決方案裡，其實已經給出了一個非常快捷的方法，核心就是自簽名證書。

說白了，你不需要去申請什麼Let's Encrypt，也不需要花錢買商業證書。用openssl命令自己生成一對密鑰和證書文件就行。我個人通常這麼幹：

統一的certs目錄：我會在我的所有Docker項目外面，或者每個項目根目錄裡放一個certs文件夾。
簡單的openssl命令：
```
 mkdir -p certs
openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout certs/dev.key -out certs/dev.crt -subj "/CN=*.localdev"
```
這裡我用了*.localdev ，這樣我就可以用app1.localdev 、 app2.localdev等多個子域名，而只需要一個證書。當然，你也可以直接用yourdomain.local 。
docker-compose.yml裡掛載：確保你的docker-compose.yml裡，Nginx服務的volumes部分有類似./certs:/etc/nginx/certs的掛載，把宿主機的證書文件映射到Nginx容器內部。
Nginx配置指向： nginx.conf裡ssl_certificate和ssl_certificate_key指向容器內部的證書路徑。
hosts文件配置：最後一步，也是最容易忘的一步，就是在你的操作系統hosts文件裡把yourdomain.local （或者app.localdev之類的）指向127.0.0.1 。這樣當你訪問這個域名時，請求才會打到你的本地Docker容器上。

這樣一套流程下來，基本五分鐘就能跑起來一個支持HTTPS的本地開發環境。雖然瀏覽器會提示不安全，但功能上是完全沒問題的，而且也能模擬生產環境的HTTPS行為，比如處理重定向、Cookie的安全屬性（ Secure 、 HttpOnly ）等。調試起來也方便，因為你知道證書問題不是生產環境那種“真的”證書問題。

生產環境下，如何安全有效地管理和更新SSL證書？

生產環境可就不能像開發環境那樣隨心所欲了。這裡我們追求的是自動化、安全和可靠性。我個人最推薦的方案是結合Let's Encrypt和Certbot ，再配合Docker的編排能力。

Let's Encrypt與Certbot： Let's Encrypt提供免費的SSL/TLS證書，而Certbot是其官方推薦的客戶端工具，能夠自動化地獲取和續訂證書。 Certbot支持多種Web服務器和挑戰模式。
Docker中的Certbot集成策略：
- 獨立Certbot容器：這是我比較喜歡的方式。你可以運行一個獨立的Certbot容器，它負責獲取和續訂證書。這個容器需要能夠訪問Web服務器的.well-known/acme-challenge路徑（HTTP挑戰），或者能夠修改DNS記錄（DNS挑戰）。
  - HTTP挑戰： Certbot會臨時在你的Web根目錄下創建一個文件，Let's Encrypt服務器通過HTTP訪問這個文件來驗證域名所有權。這意味著你的Nginx容器需要暴露80端口，並且Certbot容器需要能把證書寫到Nginx容器可以訪問的共享卷上。
  - DNS挑戰： Certbot會讓你在域名的DNS記錄中添加一個TXT記錄。這種方式不需要Web服務器暴露80端口，更適合那些沒有直接暴露Web服務的場景，或者多服務共享一個域名的場景。很多DNS服務商都有Certbot插件來自動化這個過程。
- Nginx作為反向代理和Certbot的捲共享：
```
 version: &#39;3.8&#39;
services:
  nginx:
    image: nginx:alpine
    ports:
      - "80:80"
      - "443:443"
    volumes:
      - ./src:/var/www/html
      - ./nginx/nginx.conf:/etc/nginx/conf.d/default.conf:ro
      - certbot-web:/var/www/certbot # 用於Certbot的HTTP挑戰- certbot-etc:/etc/letsencrypt # 證書存儲depends_on:
      - php
    restart: unless-stopped

  php:
    # ... (同上)

  certbot:
    image: certbot/certbot
    volumes:
      - certbot-web:/var/www/certbot
      - certbot-etc:/etc/letsencrypt
    # 命令示例，首次獲取證書# command: certonly --webroot -w /var/www/certbot --email your_email@example.com -d yourdomain.com --agree-tos --no-eff-email
    # 命令示例，續訂證書（通常通過cron job或docker-compose exec運行）
    # command: renew --webroot -w /var/www/certbot --post-hook "docker-compose exec nginx nginx -s reload"
    entrypoint: "/bin/sh -c &#39;trap exit TERM; while :; do certbot renew; sleep 12h & wait $!; done;&#39;" # 自動續訂restart: on-failure # 如果失敗就重啟volumes:
  certbot-web:
  certbot-etc:
```
  在Nginx的配置中，你需要為Certbot的驗證路徑添加一個location塊：
```
 location /.well-known/acme-challenge/ {
    root /var/www/certbot;
}
```
  首次運行Certbot命令獲取證書後，Nginx配置中的ssl_certificate和ssl_certificate_key就應該指向/etc/letsencrypt/live/yourdomain.com/fullchain.pem和/etc/letsencrypt/live/yourdomain.com/privkey.pem 。
- 自動化續訂： Let's Encrypt證書有效期只有90天。所以，自動化續訂是必須的。上面certbot服務的entrypoint就提供了一個簡單的自動續訂機制，每12小時嘗試續訂一次。續訂成功後，通常需要重啟或重新加載Nginx配置，讓它加載新證書。 --post-hook "docker-compose exec nginx nginx -s reload"就是乾這事的。
- 安全考慮：
  - 權限：確保certbot-etc卷的權限設置正確，只有必要的進程才能訪問私鑰。
  - 備份：備份certbot-etc卷中的證書和密鑰，以防萬一。
  - 郵件通知： Certbot可以配置郵件通知，當證書續訂失敗時，你會收到提醒。
  - DNS挑戰的安全性：如果使用DNS挑戰，確保你的DNS API密鑰安全存儲，不要硬編碼在代碼裡。
- 更高級的工具：對於更複雜的生產環境，可以考慮使用像Traefik或Caddy這樣的邊緣路由器/反向代理。它們內置了Let's Encrypt支持，可以自動管理證書的獲取和續訂，大大簡化了HTTPS的配置。你只需要配置好域名，它們就能自動搞定SSL，非常省心。但如果你已經習慣了Nginx，上面的Certbot方案也足夠強大和靈活。