Viper780
Er ist tot, Jim!
|
Hab jetzt schon länger Docker laufen aber mich dort bisher nicht um Zertifikate gekummert.
Jetzt habe ich Certbot am Host eingerichtet und wollte den "live" Ordner in alle relevanten Container als Volumen mounten.
Leider sind die Files aber selbst schon Links vom Archivorder. Ich seh sie zwar mit ls kann aber mit keinem Programm drauf zugreifen. Ver[wende ich anstelle von Volumen bind dann muss der Ordner vorher schon im Container existieren (was er nat[rlich nicht tut). Wenn ich den anlege ist bei einem redeployment des Containers alles weg.
Wie habt ihr das geloest? Gibts da einen einfachen Trick?
Das nächste was ich probiere ist ein SMB oder NFS share den ich einbinde. Aber irgendwie bin ich mit der Lösung wegen dem private key nicht ganz glücklich
|
Rogaahl
Super Moderatorinterrupt
|
Wie habt ihr das geloest? Gibts da einen einfachen Trick? Den ganzen Mist gar nicht antun und einfach mit einem nginx reverse-proxy arbeiten. Es gibt super easy Container wie z.b "swag", wo sogar schon haufenweise proxy Konfigurationen (für alle gängigen Applikationen) für Subdomains und Folder hinterlegt sind, wo man nur ".sample" aus dem Filename entfernen muss. Um die letsencrypt Zertifikate kümmert er sich auch von selbst, mit deinen angegeben env variablen. Leider sind die Files aber selbst schon Links vom Archivorder. Ich seh sie zwar mit ls kann aber mit keinem Programm drauf zugreifen. Ver[wende ich anstelle von Volumen bind dann muss der Ordner vorher schon im Container existieren (was er nat[rlich nicht tut). Wenn ich den anlege ist bei einem redeployment des Containers alles weg. Ich glaube, er übernimmt da einfach nur die Links, du müsstest das Quellverzeichnis auch mounten. Wenn du ls -lah in einen "neben" Container ausführst, müsstest du eh sehen, welche Links da stehen. Ich glaube mir ist einmal etwas Ähnliches passiert, genau weis ich nicht mehr, aber ich glaube so war es. Permissions und owner könntest auch noch checken. Ich hoffe, ich habe da jetzt nichts falsch verstanden und konnte zumindest etwas weiterhelfen..
|
Denne
Here to stay
|
Habe auch swag im Einsatz. Sehr simpel, kanns nur empfehlen
|
Viper780
Er ist tot, Jim!
|
Ich bin kein großer Freund von reverse Proxy um bestehende Funktionen nur anders zu nutzen. Erhöht die Komplexität und Angriffsoberfläche.
Hab ja dann erst wieder unverschlüsselte Kommunikation zwischen nginx und den Containern. Zugegeben würde man die Zertifikate produktiv nicht als Wildcard ausführen und auch nicht verteilen. Sondern in den Container erstellen. Aber da nicht alle Internet Zugriff haben müsste ich eine eigene CA aufbauen.
Das mounten des Quellverzeichnis klingt plausibel. Schau ich mir dann am Abend an
|
matiss
Chaos Maestro
|
Eventuell die Zertifikate für die Container per cron Job in ein read only Verzeichnis mittels rsync schieben?
|
COLOSSUS
AdministratorGNUltra
|
Ich bin kein großer Freund von reverse Proxy um bestehende Funktionen nur anders zu nutzen. Erhöht die Komplexität und Angriffsoberfläche. Und das sagst du, wo du tonnenweise Docker-Containerimage-Shitware laufen hast? In denen wohl zu mindestens 2/3 auch nochmal ein nginx als Reverse Proxy laeuft, weil das *GI-Klumpert von sich aus keine static assets serven will oder kann? Sorry, das kann ich echt nicht ernst nehmen. Ansonsten, was matiss sagt. Die allermeisten acme-Clients bieten dafuer eine Hook-Infrastruktur an.
|
Viper780
Er ist tot, Jim!
|
Ja ich bin Idealist und nein soweit ich sehe rennt überall lighttpd als webserver ohne proxy.
Aber die Idee mit einer Reihe an Copy commands in einem "-post-hook" script klingt gut. Damit könnt ich auch weitere Schritte triggern.
|
mat
AdministratorLegends never die
|
Ich empfehle einen Reverse Proxy. Es lohnt sich, die Komplexität der TLS Edge-Termination nicht in jedem Container haben. Der kümmert sich um die Applikation und der Reverse Proxy um das Exposen der Services.
|
davebastard
Vinyl-Sammler
|
ja ich würds auch mit reverse proxy machen
|
ica
hmm
|
Abseits von der Grundsatzdiskussion hier verstehe ich das Problem nicht ganz.
Ich habe ein Certbot Service welches ich via Cronjob starte um meine Zertifikate zu erstellen/aktualisieren. Die landen ganz normal in den dafür vorgesehenen Ordnern von Certbot (conf/live/xxx). Die mounte ich als Volume in andere Docker Services - und das geht ohne Probleme.
Beispiel von meinem nginx Service: volumes: - ./certbot/conf:/etc/letsencrypt
Und im nginx verwende ich es dann via: ssl_certificate /etc/letsencrypt/live/xxx.domain.org/fullchain.pem;
Und das ist doch egal ob ich es jetzt in nginx verwende oder wo anders.
|
Viper780
Er ist tot, Jim!
|
Bei mir kommt dann ein "not found" obwohl die permissions passen und mit ls ich das teil sehe. Ich habe aber nur den "domain.TLD" Ordner gemountet wenn ich komplett letsencrypt nehme dann wäre auch der Archiv Ordner als Quellverzeichnis mit dabei und es könnt dann gehen.
Dass ist die einfachste Lösung auch wenn mit der post-hook sehr gefällt und den auch mit verwenden werde
|
COLOSSUS
AdministratorGNUltra
|
Was auch mal gesagt werden muss: certbot ist der mieseste ACME-Client, den ich je benutzt habe. Stattdessen nehme ich immer, wo ich kann, dehydrated || lego || acmetool || acme-tiny, die das imo alle besser machen.
|
ica
hmm
|
Was auch mal gesagt werden muss: certbot ist der mieseste ACME-Client, den ich je benutzt habe. Stattdessen nehme ich immer, wo ich kann, dehydrated || lego || acmetool || acme-tiny, die das imo alle besser machen. uh danke - muss ich mir ansehen. Certbot ist nämlich echt nicht angenehm zu verwenden.
|
Viper780
Er ist tot, Jim!
|
Muss ich mir in der Tat mal anschauen. Bisher war ich zu faul und bin damit gut gefahren. Zum Scripten hatte ich mal CryptLE verwendet aber dehydrated wäre dafür besser geeignet und es gibt deutlich mehr helper scripte um provider anzusprechen.
Lego les ich in letzterzeit öfter - evtl auch einen Blick wert
|
Viper780
Er ist tot, Jim!
|
Ein Jahr is es her und ich habs damals nur mit vielen verteilten Shell Scripten und SCP umgangen. Ist natürlich eine Komplexitätshölle und sehr Fehleranfällig Wie macht ihr die Zertifikatsverteilung mit Containern? Habt ihr für jedes Web Service einen eigenen "Stack" (also Docker Compose) der sich auch um das Cert kümmert? Legt ihr einen eigenen Container an für alle Services? Laufen die ACME Clients am Host?
Reverse Proxy mag ich eigentlich nicht - mir ist die TLS Terminierung direkt am Applikation Server am liebsten da so möglichst lange eine Verschlüsselt kommuniziert wird. Mir ist schon klar dass ein Reverseproxy am selben Host keinen merklichen Security Vorteil bringt. Da ich aber keinen Load Balancer, Agent Injection, Caching,... benötige macht es für mich keinen
|