URL: https://www.overclockers.at/linux/docker-hilfe_262134/page_1 - zur Vollversion wechseln!
Hab jetzt schon länger Docker laufen aber mich dort bisher nicht um Zertifikate gekummert.
Jetzt habe ich Certbot am Host eingerichtet und wollte den "live" Ordner in alle relevanten Container als Volumen mounten.
Leider sind die Files aber selbst schon Links vom Archivorder. Ich seh sie zwar mit ls kann aber mit keinem Programm drauf zugreifen.
Ver[wende ich anstelle von Volumen bind dann muss der Ordner vorher schon im Container existieren (was er nat[rlich nicht tut). Wenn ich den anlege ist bei einem redeployment des Containers alles weg.
Wie habt ihr das geloest? Gibts da einen einfachen Trick?
Das nächste was ich probiere ist ein SMB oder NFS share den ich einbinde. Aber irgendwie bin ich mit der Lösung wegen dem private key nicht ganz glücklich
Zitat aus einem Post von Viper780Wie habt ihr das geloest? Gibts da einen einfachen Trick?
Zitat aus einem Post von Viper780Leider sind die Files aber selbst schon Links vom Archivorder. Ich seh sie zwar mit ls kann aber mit keinem Programm drauf zugreifen.
Ver[wende ich anstelle von Volumen bind dann muss der Ordner vorher schon im Container existieren (was er nat[rlich nicht tut). Wenn ich den anlege ist bei einem redeployment des Containers alles weg.
Habe auch swag im Einsatz. Sehr simpel, kanns nur empfehlen
Ich bin kein großer Freund von reverse Proxy um bestehende Funktionen nur anders zu nutzen. Erhöht die Komplexität und Angriffsoberfläche.
Hab ja dann erst wieder unverschlüsselte Kommunikation zwischen nginx und den Containern.
Zugegeben würde man die Zertifikate produktiv nicht als Wildcard ausführen und auch nicht verteilen. Sondern in den Container erstellen. Aber da nicht alle Internet Zugriff haben müsste ich eine eigene CA aufbauen.
Das mounten des Quellverzeichnis klingt plausibel. Schau ich mir dann am Abend an
Eventuell die Zertifikate für die Container per cron Job in ein read only Verzeichnis mittels rsync schieben?
Zitat aus einem Post von Viper780Ich bin kein großer Freund von reverse Proxy um bestehende Funktionen nur anders zu nutzen. Erhöht die Komplexität und Angriffsoberfläche.
Ja ich bin Idealist und nein soweit ich sehe rennt überall lighttpd als webserver ohne proxy.
Aber die Idee mit einer Reihe an Copy commands in einem "-post-hook" script klingt gut.
Damit könnt ich auch weitere Schritte triggern.
Ich empfehle einen Reverse Proxy. Es lohnt sich, die Komplexität der TLS Edge-Termination nicht in jedem Container haben. Der kümmert sich um die Applikation und der Reverse Proxy um das Exposen der Services.
ja ich würds auch mit reverse proxy machen
Abseits von der Grundsatzdiskussion hier verstehe ich das Problem nicht ganz.
Ich habe ein Certbot Service welches ich via Cronjob starte um meine Zertifikate zu erstellen/aktualisieren. Die landen ganz normal in den dafür vorgesehenen Ordnern von Certbot (conf/live/xxx). Die mounte ich als Volume in andere Docker Services - und das geht ohne Probleme.
Beispiel von meinem nginx Service:
volumes:
- ./certbot/conf:/etc/letsencrypt
Und im nginx verwende ich es dann via:
ssl_certificate /etc/letsencrypt/live/xxx.domain.org/fullchain.pem;
Und das ist doch egal ob ich es jetzt in nginx verwende oder wo anders.
Bei mir kommt dann ein "not found" obwohl die permissions passen und mit ls ich das teil sehe.
Ich habe aber nur den "domain.TLD" Ordner gemountet wenn ich komplett letsencrypt nehme dann wäre auch der Archiv Ordner als Quellverzeichnis mit dabei und es könnt dann gehen.
Dass ist die einfachste Lösung auch wenn mit der post-hook sehr gefällt und den auch mit verwenden werde
Was auch mal gesagt werden muss: certbot ist der mieseste ACME-Client, den ich je benutzt habe. Stattdessen nehme ich immer, wo ich kann, dehydrated || lego || acmetool || acme-tiny, die das imo alle besser machen.
Zitat aus einem Post von COLOSSUSWas auch mal gesagt werden muss: certbot ist der mieseste ACME-Client, den ich je benutzt habe. Stattdessen nehme ich immer, wo ich kann, dehydrated || lego || acmetool || acme-tiny, die das imo alle besser machen.
Muss ich mir in der Tat mal anschauen. Bisher war ich zu faul und bin damit gut gefahren. Zum Scripten hatte ich mal CryptLE verwendet aber dehydrated wäre dafür besser geeignet und es gibt deutlich mehr helper scripte um provider anzusprechen.
Lego les ich in letzterzeit öfter - evtl auch einen Blick wert
overclockers.at v4.thecommunity
© all rights reserved by overclockers.at 2000-2024