docker - 使用 docker 镜像设置 Keycloak SSL
问题描述
我正在尝试使用 docker 映像(https://hub.docker.com/r/jboss/keycloak/版本 4.5.0-Final )部署 keycloak 并面临设置 SSL 的问题。
根据文档
Keycloak 映像允许您指定私钥和证书以提供 HTTPS。在这种情况下,您需要提供两个文件:
tls.crt - 证书tls.key - 私钥 这些文件需要挂载在 /etc/x509/https 目录中。该图像会自动将它们转换为 Java 密钥库并重新配置 Wildfly 以使用它。
我按照给定的步骤提供了带有必要文件(tls.crt 和 tls.key)的文件夹的卷安装设置,但是我遇到了 SSL 握手问题,得到
ERR_SSL_VERSION_OR_CIPHER_MISMATCH
错误,在尝试访问它时阻止浏览器中的 keycloak 加载。
我使用letsencrypt 生成pem 文件并使用openssl 创建.crt 和.key 文件。还尝试仅使用 openssl 创建这些文件以缩小问题范围,并且行为相同(如果这很重要,请提供一些附加信息)
默认情况下,当我只指定端口绑定-p 8443:8443而不指定证书卷挂载/etc/x509/https时,keycloak 服务器会生成一个自签名证书,我在浏览器中查看应用程序时看不到问题
我想这可能更像是一个证书创建问题,而不是任何特定于 keycloak 的问题,但是,不确定如何让它工作。任何帮助表示赞赏
解决方案
我还遇到了ERR_SSL_VERSION_OR_CIPHER_MISMATCH
错误的问题,使用jboss/keycloak Docker 映像和letencrypt 的免费证书。即使在考虑了其他评论的建议之后。现在,我有一个工作(并且非常简单)的设置,它也可能对您有所帮助。
1) 生成letsencrypt证书
起初,我sub.example.com
使用 certbot 为域生成了我的letsencrypt 证书。您可以在https://certbot.eff.org/和用户指南中找到详细说明和获取证书的替代方法https://certbot.eff.org/docs/using.html。
$ sudo certbot certonly --standalone
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator standalone, Installer None
Please enter in your domain name(s) (comma and/or space separated) (Enter 'c' to cancel): sub.example.com
Obtaining a new certificate
Performing the following challenges:
http-01 challenge for sub.example.com
Waiting for verification...
Cleaning up challenges
IMPORTANT NOTES:
- Congratulations! Your certificate and chain have been saved at:
/etc/letsencrypt/live/sub.example.com/fullchain.pem
Your key file has been saved at:
/etc/letsencrypt/live/sub.example.com/privkey.pem
Your cert will expire on 2020-01-27. To obtain a new or tweaked
version of this certificate in the future, simply run certbot
again. To non-interactively renew *all* of your certificates, run
"certbot renew"
2)准备docker-compose环境
我docker-compose
曾经通过 docker 运行 keycloak。配置和数据文件存储在 path 中/srv/docker/keycloak/
。
- 文件夹
config
包含docker-compose.yml
- 文件夹
data/certs
包含我通过letsencrypt生成的证书 - 文件夹
data/keycloack_db
映射到数据库容器以使其数据持久化。
将证书文件放到正确的路径
当我第一次使用原始的letscrypt证书进行keycloak时遇到问题时,我尝试了将证书转换为另一种格式的解决方法,如前一个答案的评论中所述,这也失败了。最终,我意识到我的问题是由映射证书文件设置的权限引起的。
所以,对我有用的只是复制和重命名letsencrypt提供的文件,并将它们挂载到容器中。
$ cp /etc/letsencrypt/live/sub.example.com/fullchain.pem /srv/docker/keycloak/data/certs/tls.crt
$ cp /etc/letsencrypt/live/sub.example.com/privkey.pem /srv/docker/keycloak/data/certs/tls.key
$ chmod 755 /srv/docker/keycloak/data/certs/
$ chmod 604 /srv/docker/keycloak/data/certs/*
码头工人-compose.yml
就我而言,我需要使用我的 docker 主机的主机网络。这不是最佳实践,您的案例不应要求这样做。请在hub.docker.com/r/jboss/keycloak/的文档中找到有关配置参数的信息。
version: '3.7'
networks:
default:
external:
name: host
services:
keycloak:
container_name: keycloak_app
image: jboss/keycloak
depends_on:
- mariadb
restart: always
ports:
- "8080:8080"
- "8443:8443"
volumes:
- "/srv/docker/keycloak/data/certs/:/etc/x509/https" # map certificates to container
environment:
KEYCLOAK_USER: <user>
KEYCLOAK_PASSWORD: <pw>
KEYCLOAK_HTTP_PORT: 8080
KEYCLOAK_HTTPS_PORT: 8443
KEYCLOAK_HOSTNAME: sub.example.ocm
DB_VENDOR: mariadb
DB_ADDR: localhost
DB_USER: keycloak
DB_PASSWORD: <pw>
network_mode: host
mariadb:
container_name: keycloak_db
image: mariadb
volumes:
- "/srv/docker/keycloak/data/keycloak_db:/var/lib/mysql"
restart: always
environment:
MYSQL_ROOT_PASSWORD: <pw>
MYSQL_DATABASE: keycloak
MYSQL_USER: keycloak
MYSQL_PASSWORD: <pw>
network_mode: host
最终目录设置
这就是我的最终文件和文件夹设置的样子。
$ cd /srv/docker/keycloak/
$ tree
.
├── config
│ └── docker-compose.yml
└── data
├── certs
│ ├── tls.crt
│ └── tls.key
└── keycloak_db
启动容器
最后,我能够使用docker-compose
.
$ cd /srv/docker/keycloak/config/
$ sudo docker-compose up -d
我们可以在容器中看到已安装的证书。
$ cd /srv/docker/keycloak/config/
$ sudo docker-compose up -d
我们可以仔细检查容器中已安装的证书。
## open internal shell of keycloack container
$ sudo docker exec -it keycloak_app /bin/bash
## open directory of certificates
$ cd /etc/x509/https/
$ ll
-rw----r-- 1 root root 3586 Oct 30 14:21 tls.crt
-rw----r-- 1 root root 1708 Oct 30 14:20 tls.key
考虑来自 docker-compose.yml 的设置,keycloak 现在可在https://sub.example.com:8443获得
推荐阅读
- reactjs - 在 React 和 Typescript 中只允许特定组件作为子组件
- c# - 滚动性能非常慢,使用带有滚动查看器的宽画布
- node.js - 将环境变量传递给 pm2 不起作用
- wordpress - 如何正确测试 wordpress Cron 作业?
- python - /pytorch/aten/src/TH/generic/THTensorRandom.cpp:325 处的无效多项分布(遇到概率条目 < 0)
- c# - 使用单个 XML 节点中包含的对象数组将 Json 反序列化为 XML
- react-native - 如何从 json react-native-material-dropdown 获取 id
- javascript - 如何从使用 ngFor 指令动态添加的 HTML 表中恢复标题单元格数据
- json - 在 API 发布请求中将纪元时间作为日期传递
- c# - 在我的 A.CallTo FakeItEasy 方法中无法获得正确的参数