标签：bitwarden rs header nginx set proxy 服务器 certbot

环境：ubuntu20.04LTS+Docker version 20.10.12

安装并部署bitwarden_rs

bitwarden_rs使用Docker进行安装,Docker安装过程不在此处赘述。

创建bitwarden_rs的运行目录

cd ~ && mkdir bitwarden && cd bitwarden

准备配置文件config.env

其他配置参数去bitwarden_rs wiki查看

cat >> config.env <<EOF
#域名
DOMAIN=https://www.domain.com #自己的域名
#是否开启WebSocket
WEBSOCKET_ENABLED=true 
#是否开启注册，自用的话自己搭建好注册后改成false
SIGNUPS_ALLOWED=true
#是否开启禁用邀请,自用就禁用
INVITATIONS_ALLOWED=true
#数据库在容器内的路径可以不设置，默认位于 /data/db.sqlite3
#DATABASE_URL=/data/bitwarden.db
#设置服务器使用几个线程。10 是默认值
ROCKET_WORKERS=10
#设置是否开启 Web 客户端
WEB_VAULT_ENABLED=true
#后台登陆密码，建议openssl rand -base64 48 生成ADMIN_TOKEN确保安全，
#当前是启用，如需不启用在ADMIN_TOKEN前面加上的 # 
ADMIN_TOKEN= openssl rand -base64 48生成的代码
#是否禁用身份验证，将该变量设置为 true。会禁用身份验证的内置功能，但不会禁用管理面板。所有人都可以访问管理面板
DISABLE_ADMIN_TOKEN=false
# API 请求大小限制，默认值10M
#ROCKET_LIMITS={json=10485760}
#是否开启页面密码提示显示,默认false
SHOW_PASSWORD_HINT=true
#SMTP配置
SMTP_HOST=<smtp.gmail.com> 
SMTP_FROM=<bitwarden.space@gmail.com>
SMTP_PORT:587
SMTP_SSL: true
SMTP_USERNAME=<bitwarden.space>
SMTP_PASSWORD=<.....>
EOF

服务描述文件

cat >> docker-compose.yml <<EOF
version: '3.9'
services:
  bitwarden:
    image: bitwardenrs/server:latest # Docker Hub 的bitwardenrs镜像
    container_name: bitwarden
    restart: always
    volumes:
      - ./data:/data #将容器内的 /data 目录挂载到宿主机的当前目录下的 data 目录
    env_file:
      - config.env
    ports: #端口映射
      - "127.0.0.1:3001:80" #http服务
      - "127.0.0.1:3012:3012" #websockets服务
EOF

启动bitwarden_rs服务

docker-compose up -d

运行后会自动拉去镜像和设置bitwarden_rs，耗时情况根据网络等因素拉取镜像快慢。

配置Let's Encrypt 生成证书并自动更新

sudo apt update

安装Nginx：ubuntu安装nginx后是自动启动的

sudo apt install nginx

查看nginx状态

sudo systemctl status nginx

 安装certbot及certbox的nginx插件

sudo apt install certbot & certbot-nginx

Let's Encrypt的两种认证方式

在Let‘s Encrypt签发证书时，它需要确定你要申请证书的域名的确是你拥有的，此时Let's Encrypt将向certbot客户端发起质询(challenge)以验证你对域名的拥有权，有两种方式：

• 通过运行certbot的服务器与Let's Encrypt服务器通信，如果你配置域名指向该certbot所在的服务器，Let's Encrypt通过直接访问该域名的方式来验证（URL格式为：http://domain/.well-known/acme-challenge/<file>）。这种方式通常用于单一域名的证书，需要certbot运行与域名所指向的服务器上。
• 通过DNS，如果你拥有该域名，那么Let's Encrypt会让你在该域名下设置一个TXT记录，记录值设置成Let's Encrypt所要求的（在运行certbot时会提示），做到这一点则可以证明你的确拥有对该域名的拥有权。这种方式通常用于通配符证书，certbot无需运行在域名指向的服务器上。

创建证书

仅生成证书，而不自动更新nginx.conf配置文件

sudo certbot --nginx certonly

 邮件地址

服务条款

 是否共享邮件地址

 域名

certbot在生成证书后自动更新nginx.conf文件

sudo certbot --nginx 

域名

nginx配置

/etc/nginx/sites-available/default

server {
    if ($host = www.domain.com ) {
        return 301 https://$host$request_uri;
    } # managed by Certbot
    listen 80 ;
    listen [::]:80 ;
    server_name /www.domain.com ;
    return 404; # managed by Certbot
}

server {
    listen 443 ssl http2;
    server_name /www.domain.com ;
    ssl_certificate /etc/letsencrypt/live/www.bitwarden.space/fullchain.pem; # managed by Certbot
    ssl_certificate_key /etc/letsencrypt/live/www.bitwarden.space/privkey.pem; # managed by Certbot
    include /etc/letsencrypt/options-ssl-nginx.conf; # managed by Certbot
    ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem; # managed by Certbot
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    client_max_body_size 128M;

  location / {
    proxy_pass http://127.0.0.1:3001;
    proxy_http_version 1.1;
    proxy_cache_bypass $http_upgrade;
    proxy_set_header Upgrade $http_upgrade;
    proxy_set_header Connection "upgrade";
    proxy_set_header Host $host;
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_set_header X-Forwarded-Proto $scheme;
    proxy_set_header X-Forwarded-Host $host;
    proxy_set_header X-Forwarded-Port $server_port;
  }
  
  location /notifications/hub {
    proxy_pass http://127.0.0.1:3012;
    proxy_set_header Upgrade $http_upgrade;
    proxy_set_header Connection "upgrade";
  }
  
  location /notifications/hub/negotiate {
    proxy_pass http://127.0.0.1:3001;
  }

  location /admin {
    # See: https://docs.nginx.com/nginx/admin-guide/security-controls/configuring-http-basic-authentication/
    #auth_basic "Private";
    #auth_basic_user_file /path/to/htpasswd_file;

    proxy_set_header Host $host;
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_set_header X-Forwarded-Proto $scheme;
    proxy_pass http://127.0.0.1:3001;
  }
}

重启nginx

sudo systemctl status nginx 

Enjoy it 

标签：bitwarden,rs,header,nginx,set,proxy,服务器,certbot
来源： https://blog.csdn.net/duan9015/article/details/122259132

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。