ddev - 如何让 DDEV 中的第三方容器中的 Web 浏览器接受我的 mkcert SSL 证书？

Question

我正在使用 DDEV 1.8.0。

我使用 justinribeiro/chrome-headless 运行 Behat 测试。它通过一个名为 docker-compose.chrome.yaml 的附加 Docker Compose 文件包含在我的 DDEV 项目中。这些是内容:

---
version: '3.6'
services:
  chrome:
    image: justinribeiro/chrome-headless
    restart: unless-stopped
    container_name: ddev-${DDEV_SITENAME}-chrome
    labels:
      com.ddev.site-name: ${DDEV_SITENAME}
      com.ddev.approot: $DDEV_APPROOT
      com.ddev.app-url: $DDEV_URL
    volumes:
      - ddev-global-cache:/mnt/ddev-global-cache
    external_links:
      - "ddev-router:fps.ddev.local"
      - "ddev-router:dev.fillpdf-service.com"
    cap_add:
      - SYS_ADMIN
    ports:
      - '9222:9222'
networks:
  default:
    external:
      name: ddev_default

chrome 服务不包含 mkcert，因此使用此容器的 Behat 测试失败，因为 headless Chrome 实例拒绝 SSL 证书。如何让 Chrome 和 cURL/wget 识别 mkcert CA 颁发的证书？

Answer 1

让 mkcert 在第三方容器中工作相当简单。让它与 headless Chrome、Chromium、Firefox 和其他不使用 Linux 系统存储的浏览器一起工作不太直观。

首先，让我们看看为使一切正常工作而必须进行的更改。必要时，我在每个文件下都包含了简短的解释。我会在最后一并解释。

.ddev/docker-compose.chrome.yaml:

---
version: '3.6'
services:
  chrome:
    build:
      context: ./chrome-build
    restart: unless-stopped
    container_name: ddev-${DDEV_SITENAME}-chrome
    labels:
      com.ddev.site-name: ${DDEV_SITENAME}
      com.ddev.approot: $DDEV_APPROOT
    volumes:
      - ddev-global-cache:/mnt/ddev-global-cache
    external_links:
      - "ddev-router:fps.ddev.local"
      - "ddev-router:dev.fillpdf-service.com"
    cap_add:
      - SYS_ADMIN
    ports:
      - '9222:9222'
networks:
  default:
    external:
      name: ddev_default

我们将 image 选项更改为 build，并将其指向我们即将创建的新文件夹。

新文件夹:.ddev/chrome-build/Dockerfile

.ddev/chrome-build/Dockerfile

FROM justinribeiro/chrome-headless
ADD chrome-startup.sh /

ENV MKCERT_VERSION=v1.3.0
USER root
RUN apt-get update && apt-get install -y curl openssl libnss3-tools && curl -sSL https://github.com/FiloSottile/mkcert/releases/download/$MKCERT_VERSION/mkcert-$MKCERT_VERSION-linux-amd64 -o /usr/local/bin/mkcert && chmod +x /usr/local/bin/mkcert && apt-get purge -y curl && apt-get clean && chmod +x /chrome-startup.sh
ENTRYPOINT [ "/chrome-startup.sh" ]

.ddev/chrome-build/chrome-startup.sh

#!/bin/bash
if [[ ! -f /.mkcert-configured ]]; then
  #!/usr/bin/env bash
  # Install for root (system).
  CAROOT="/mnt/ddev-global-cache/mkcert" mkcert -install

  # Install for user: chrome.
  su chrome -c 'mkdir -p $HOME/.local/share/mkcert'
  cp -R /mnt/ddev-global-cache/mkcert/* /home/chrome/.local/share/mkcert/
  chown -R chrome: /home/chrome/.local/share/mkcert
  # Create the NSS trust store BEFORE running mkcert; mkcert doesn't reliably
  # work otherwise.
  su chrome -c 'mkdir -p $HOME/.pki/nssdb'
  su chrome -c 'certutil -d sql:$HOME/.pki/nssdb -N --empty-password'
  su chrome -c 'cd $HOME && TRUST_STORES=nss mkcert -install'

  touch /.mkcert-configured
fi

# Run headless Chrome in the foreground (the original container's command).
su chrome -c 'google-chrome --headless --disable-gpu --remote-debugging-address=0.0.0.0 --remote-debugging-port=9222'

Dockerfile 在 justinribeiro/chrome-headless 之上构建自定义容器。我们安装 mkcert 先决条件、mkcert 本身和可选的 libnss3-tools 先决条件。在这种情况下，这对我们来说不是可选的。

我们还将用户上下文更改为 root，因为我们需要成为 root 才能启动脚本。

chrome-startup.sh 脚本安装 mkcert。我们必须在启动时安装它，因为我们依赖于包含证书的安装卷。它在构建时不可用。它在系统范围内安装它，然后为 chrome 用户安装它， headless Chrome 实际上在这个容器中运行。

为 chrome 用户安装时，一个值得注意的棘手部分是我们必须手动创建 Firefox、headless Chrome 和 Chromium 使用的 NSS DB。 mkcert -install 命令应该会自动创建它，但并非总是如此。但是，如果我们首先创建 NSS 数据库，它确实会始终如一地工作。

添加这些文件后，只需使用ddev start 或ddev restart，将Behat 配置为在http://192.168.65.2:9222 上使用headless Chrome ，现在您应该可以将 Behat\MinkExtension.base_url 设置为 https://mysite.ddev.local (其中 mysite 替换为您的项目名称)。 Headless Chrome 现在应该接受 SSL 证书。我没有详细解释 Behat 配置，因为它超出了本答案的范围。

Behat 现在应该可以工作(或继续工作)。

您还可以测试 headless Chrome 是否手动识别您的 SSL 证书。

SSH 进入容器:ddev ssh -s chrome

打印网站内容:su chrome -c 'google-chrome --headless --disable-gpu --dump-dom https://mysite.ddev.local'

如果证书验证失败，您将看到包含以下内容的输出:

[0524/160648.082825:ERROR:cert_verify_proc_nss.cc(975)] CERT_PKIXVerifyCert for dev.fillpdf-service.com failed err=-8179

如果您看到的是一堆 HTML，则表示它正在运行!