如何让DDEV中第三方容器中的web浏览器接受我的mkcert SSL证书？

Question

我使用的是DDEV 1.8.0。

我使用justinribeiro/chrome-headless运行Behat测试。它通过一个名为docker-compose.chrome.yaml的附加Docker编写文件包含在我的DDEV项目中。以下是内容：

---
version: '3.6'
services:
  chrome:
    image: justinribeiro/chrome-headless
    restart: unless-stopped
    container_name: ddev-${DDEV_SITENAME}-chrome
    labels:
      com.ddev.site-name: ${DDEV_SITENAME}
      com.ddev.approot: $DDEV_APPROOT
      com.ddev.app-url: $DDEV_URL
    volumes:
      - ddev-global-cache:/mnt/ddev-global-cache
    external_links:
      - "ddev-router:fps.ddev.local"
      - "ddev-router:dev.fillpdf-service.com"
    cap_add:
      - SYS_ADMIN
    ports:
      - '9222:9222'
networks:
  default:
    external:
      name: ddev_default

chrome服务不包含mkcert，因此使用此容器的Behat测试失败，因为无头Chrome实例拒绝SSL证书。如何让Chrome和cURL/wget都能识别mkcert CA颁发的证书？

Answer 1

让mkcert在第三方容器中工作相当简单。让它在无头Chrome、Chromium、Firefox和其他不使用Linux系统存储的浏览器上工作就不那么直观了。

首先，让我们看看为了让一切正常工作，我们必须进行哪些更改。在必要的地方，我在每个文件下都包含了简短的解释。我将在最后一起解释它们。

.ddev/docker-compose.chrome.yaml

---
version: '3.6'
services:
  chrome:
    build:
      context: ./chrome-build
    restart: unless-stopped
    container_name: ddev-${DDEV_SITENAME}-chrome
    labels:
      com.ddev.site-name: ${DDEV_SITENAME}
      com.ddev.approot: $DDEV_APPROOT
    volumes:
      - ddev-global-cache:/mnt/ddev-global-cache
    external_links:
      - "ddev-router:fps.ddev.local"
      - "ddev-router:dev.fillpdf-service.com"
    cap_add:
      - SYS_ADMIN
    ports:
      - '9222:9222'
networks:
  default:
    external:
      name: ddev_default

我们将image选项更改为build，并将其指向即将创建的新文件夹。

新建文件夹：.ddev/chrome-build/Dockerfile

.ddev/chrome-build/Dockerfile

FROM justinribeiro/chrome-headless
ADD chrome-startup.sh /

ENV MKCERT_VERSION=v1.3.0
USER root
RUN apt-get update && apt-get install -y curl openssl libnss3-tools && curl -sSL https://github.com/FiloSottile/mkcert/releases/download/$MKCERT_VERSION/mkcert-$MKCERT_VERSION-linux-amd64 -o /usr/local/bin/mkcert && chmod +x /usr/local/bin/mkcert && apt-get purge -y curl && apt-get clean && chmod +x /chrome-startup.sh
ENTRYPOINT [ "/chrome-startup.sh" ]

.ddev/chrome-build/chrome-startup.sh

#!/bin/bash
if [[ ! -f /.mkcert-configured ]]; then
  #!/usr/bin/env bash
  # Install for root (system).
  CAROOT="/mnt/ddev-global-cache/mkcert" mkcert -install

  # Install for user: chrome.
  su chrome -c 'mkdir -p $HOME/.local/share/mkcert'
  cp -R /mnt/ddev-global-cache/mkcert/* /home/chrome/.local/share/mkcert/
  chown -R chrome: /home/chrome/.local/share/mkcert
  # Create the NSS trust store BEFORE running mkcert; mkcert doesn't reliably
  # work otherwise.
  su chrome -c 'mkdir -p $HOME/.pki/nssdb'
  su chrome -c 'certutil -d sql:$HOME/.pki/nssdb -N --empty-password'
  su chrome -c 'cd $HOME && TRUST_STORES=nss mkcert -install'

  touch /.mkcert-configured
fi

# Run headless Chrome in the foreground (the original container's command).
su chrome -c 'google-chrome --headless --disable-gpu --remote-debugging-address=0.0.0.0 --remote-debugging-port=9222'

Dockerfile在justinribeiro/chrome-headless之上构建了一个自定义容器。安装mkcert必备组件、mkcert本身和可选的libnss3-tools必备组件。在这种情况下，这对我们来说不是可选的。

我们还将用户上下文更改为root，因为我们需要成为根用户才能使启动脚本工作。

chrome-startup.sh脚本安装mkcert。我们必须在启动时安装它，因为我们依赖于包含证书的已挂载卷。它在构建时不可用。它在系统范围内安装它，然后为chrome用户安装它，无头Chrome实际上就是在这个容器中运行的。

为chrome用户安装时一个值得注意的棘手部分是，我们必须手动创建火狐、无头浏览器和Chromium使用的NSS。mkcert -install命令应该是自动创建的，但并不总是这样。但是，如果我们首先创建NSS DB，它确实可以一致地工作。

添加这些文件后，只需使用ddev start或ddev restart，将Behat配置为在http://192.168.65.2:9222上使用无头Chrome，您现在就可以将Behat\MinkExtension.base_url设置为https://mysite.ddev.local (其中mysite将替换为您的项目名称)。Headless Chrome现在应该接受SSL证书了。我没有详细解释Behat配置，因为它超出了本答案的范围。

Behat现在应该可以工作了(或者继续工作)。

您也可以手动测试headless Chrome是否识别您的SSL证书。

SSH进入容器：ddev ssh -s chrome

打印网站内容：su chrome -c 'google-chrome --headless --disable-gpu --dump-dom https://mysite.ddev.local'

如果证书验证失败，您将看到包含以下内容的输出：

[0524/160648.082825:ERROR:cert_verify_proc_nss.cc(975)] CERT_PKIXVerifyCert for dev.fillpdf-service.com failed err=-8179

如果你看到的是一堆HTML，那就意味着它在工作！