traefik и ssl сертификат

Question

Добрый день. У меня вопрос по настройке сервиса identуx

В документации указана работа только с обратным прокси nginx, и установка сертификатов непосредственно на обратный прокси, но нет ни слова об сертификатов внутри самого сервиса identyx.

Поскольку infrax предоставляет только сервисы https то соединение через traefik (который я использую) возможно только через tls passthrough, иначе traefik
терминирует tls и к сервису отправит только http, который на портах 8045 и 8212 разумеется никто не ожидает.

Чтобы использовать traefik + identуx со своими сертификатами возникли вопросы:
1. Есть ли возможность запускать сервис identix на тех же портах в режиме http(разумеется внутри изолированной сети doker), чтобы оборачиванием
tls занимался сам traefik?
2. Если работать через tcp роутер traefik и tls.passthrough - есть ли возможность установить сертификаты в контейнер identуx?
(я конечно видел /opt/infrax/data/identyx/data/ssl но прежде чем колхозить, хотелось бы получить ответ от разработчиков)

задан 14 ноя в Установка и развертывание от аноним

1 ответ

Лучший ответ

Добрый день.

1. Возможности запустить сервисы на http не предусмотрено. А что вам мешает на traefik терминировать TLS со своим сертификатом и проксировать к identyx тоже на https с доверием к самоподписанному сертификату? Или я не понял вашу задачу.

2. Если вы хотите, что бы пользователи при обращении к сервису терминировали SSL непосредственно на IDENTYX, тогда можно просто заменить сертификаты в папке "/data/identyx/data/ssl". Обращаю внимание, что нужно сначала сменить URL, запустить приложение, потом остановить его. И только после этого менять сертификат. Так как приложение при смене url генерит новый самоподписанный сертификат.

Обращаю вниманием, что порт для IDENTYX не 8212, а 8040

отвечен 14 ноя от Сергей Е (13,4тыс. баллов)
выбран 14 ноя от Сергей Е

А что вам мешает на traefik терминировать TLS со своим сертификатом и проксировать к identyx тоже на https с доверием к самоподписанному сертификату?

Я обычно стараюсь избегать принимать доверия к самоподписаным сертификатам, то же самое стараюсь объяснить клиентам. К тому же объяснять 100 работникам клиента принимать сертификат несколько затратно, обычно стараюсь делать прозрачно (CA через групповые политики или LE, тем более что иногда у работников компьютеры бывают не в домене). Поэтом в последнее время у меня сложилась практика приложения выпускать через обратный прокси, который сам занимается единообразным оборачиванием в tls и единой точкой доступа.

В любом случае спасибо за ответ, мне всё стало понятно. Возможно в моём случае поможет вынос файла конфигурации апача за пределы контейнера и монтирование её только для чтение на место встроенного.

прокомментирован 14 ноя от Денис

Вы меня неправильно поняли. Ваш traefik будет терминировать TLS с публичным сертификатом. А вы с него трафик пробрасываете на identyx, но не на http, а на https с доверием к самоподписанному сертификату. Пользователи при подключении будут видеть публичный красивый сертификат. Конечно же 100 пользователям объяснять о доверии не нужно. В конечном итоге схема будет выглядеть так: пользователь подключается к traefik по TLS с красивым публичным сертификатом, а traefik к identyx по TLS но сертификат там будет самоподписанный.

Что касается выноса файла конфигурации apache - нежелательно потому, что для этого нужно править docker-compose.yml. Тогда вам придется при каждом обновлении его редактировать. И там одним apache не отделаться. Для проксирования infrax через identyx используется отдельный сервис и он сертификаты тоже берет из той же папка, что и apache. Видимо нужно в документации просто опубликовать пример настройки под traefik.

прокомментирован 14 ноя от Сергей Е (13,4тыс. баллов)

traefik и ssl сертификат

Ваш ответ

1 ответ

Ваш комментарий к этому ответу:

Категории