如何在DDEV的第三方容器中获取Web浏览器以接受我的mkcert SSL证书?

时间:2019-05-24 17:08:01

标签: ddev

我正在使用DDEV 1.8.0。

我使用justinribeiro/chrome-headless运行Behat测试。它通过一个名为docker-compose.chrome.yaml的附加Docker Compose文件包含在我的DDEV项目中。这些是内容:

---
version: '3.6'
services:
  chrome:
    image: justinribeiro/chrome-headless
    restart: unless-stopped
    container_name: ddev-${DDEV_SITENAME}-chrome
    labels:
      com.ddev.site-name: ${DDEV_SITENAME}
      com.ddev.approot: $DDEV_APPROOT
      com.ddev.app-url: $DDEV_URL
    volumes:
      - ddev-global-cache:/mnt/ddev-global-cache
    external_links:
      - "ddev-router:fps.ddev.local"
      - "ddev-router:dev.fillpdf-service.com"
    cap_add:
      - SYS_ADMIN
    ports:
      - '9222:9222'
networks:
  default:
    external:
      name: ddev_default

chrome服务不包含mkcert,因此使用该容器的Behat测试失败,因为无头Chrome实例拒绝SSL证书。我如何同时获取Chrome和cURL / wget来识别由mkcert CA颁发的证书?

1 个答案:

答案 0 :(得分:3)

让mkcert在第三方容器中工作非常简单。使其与 headless Chrome,Chromium,Firefox和其他不使用Linux系统存储的浏览器一起使用会变得不太直观。

首先,让我们看看为使所有功能正常运行而必须进行的更改。如有必要,我会在每个文件下都包含简短的说明。我将在最后一起解释它们。

.ddev/docker-compose.chrome.yaml

---
version: '3.6'
services:
  chrome:
    build:
      context: ./chrome-build
    restart: unless-stopped
    container_name: ddev-${DDEV_SITENAME}-chrome
    labels:
      com.ddev.site-name: ${DDEV_SITENAME}
      com.ddev.approot: $DDEV_APPROOT
      com.ddev.app-url: $DDEV_URL
    volumes:
      - ddev-global-cache:/mnt/ddev-global-cache
    external_links:
      - "ddev-router:fps.ddev.local"
      - "ddev-router:dev.fillpdf-service.com"
    cap_add:
      - SYS_ADMIN
    ports:
      - '9222:9222'
networks:
  default:
    external:
      name: ddev_default

我们将image选项更改为build,并为它指定了我们要创建的新文件夹。

新文件夹:.ddev/chrome-build/Dockerfile

.ddev/chrome-build/Dockerfile

FROM justinribeiro/chrome-headless
ADD chrome-startup.sh /

ENV MKCERT_VERSION=v1.3.0
USER root
RUN apt-get update && apt-get install -y curl openssl libnss3-tools && curl -sSL https://github.com/FiloSottile/mkcert/releases/download/$MKCERT_VERSION/mkcert-$MKCERT_VERSION-linux-amd64 -o /usr/local/bin/mkcert && chmod +x /usr/local/bin/mkcert && apt-get purge -y curl && apt-get clean && chmod +x /chrome-startup.sh
ENTRYPOINT [ "/chrome-startup.sh" ]

.ddev/chrome-build/chrome-startup.sh

#!/usr/bin/env bash
# Install for root (system).
CAROOT="/mnt/ddev-global-cache/mkcert" mkcert -install

# Install for user: chrome.
su chrome -c 'mkdir -p $HOME/.local/share/mkcert'
cp -R /mnt/ddev-global-cache/mkcert/* /home/chrome/.local/share/mkcert/
chown -R chrome: /home/chrome/.local/share/mkcert
# Create the NSS trust store BEFORE running mkcert; mkcert doesn't reliably
# work otherwise.
su chrome -c 'mkdir -p $HOME/.pki/nssdb'
su chrome -c 'certutil -d sql:$HOME/.pki/nssdb -N --empty-password'
su chrome -c 'cd $HOME && TRUST_STORES=nss mkcert -install'

# Run headless Chrome in the foreground (the original container's command).
su chrome -c 'google-chrome --headless --disable-gpu --remote-debugging-address=0.0.0.0 --remote-debugging-port=9222'

Dockerfile在justinribeiro/chrome-headless之上构建一个自定义容器。我们安装了mkcert必备软件,mkcert本身以及可选的libnss3-tools必备软件。在这种情况下,这对我们来说不是可选的。

我们还将用户上下文更改为root,因为需要root用户才能启动启动脚本。

chrome-startup.sh脚本安装mkcert。我们必须在启动时安装它,因为我们依赖于包含证书的已安装卷。在构建时不可用。它会在全系统范围内安装它,然后为chrome用户安装它,而无头Chrome实际上会在此容器中运行。

chrome用户安装时,一个值得注意的棘手部分是,我们必须手动创建Firefox,无头Chrome和Chromium使用的NSS DB。 mkcert -install命令应该自动创建此命令,但并非总是如此。但是,如果我们首先创建NSS DB,它确实可以持续工作。

添加完这些文件后,只需使用ddev startddev restart,将Behat配置为在http://192.168.65.2:9222上使用无头Chrome,现在您应该可以设置Behat\MinkExtensionbase_urlhttps://mysite.ddev.local(其中mysite替换为您的项目名称)。无头Chrome浏览器现在应该接受SSL证书。我没有详细解释Behat的配置,因为它超出了此答案的范围。

Behat现在应该可以工作(或继续工作)。

您还可以测试无头Chrome是否手动识别您的SSL证书。

SSH进入容器:ddev ssh -s chrome

打印网站内容:{​​{1}}

如果证书验证失败,您将看到包含以下内容的输出:

su chrome -c 'google-chrome --headless --disable-gpu --dump-dom https://mysite.ddev.local'

如果您看到的是一堆HTML,则表示它正在运行!