docker - 使用 docker 镜像设置 Keycloak SSL

我还遇到了ERR_SSL_VERSION_OR_CIPHER_MISMATCH错误的问题，使用jboss/keycloak Docker 映像和letencrypt 的免费证书。即使在考虑了其他评论的建议之后。现在，我有一个工作（并且非常简单）的设置，它也可能对您有所帮助。

1) 生成letsencrypt证书

起初，我sub.example.com使用 certbot 为域生成了我的letsencrypt 证书。您可以在https://certbot.eff.org/和用户指南中找到详细说明和获取证书的替代方法https://certbot.eff.org/docs/using.html。

$ sudo certbot certonly --standalone
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator standalone, Installer None
Please enter in your domain name(s) (comma and/or space separated)  (Enter 'c' to cancel): sub.example.com
Obtaining a new certificate
Performing the following challenges:
http-01 challenge for sub.example.com
Waiting for verification...
Cleaning up challenges

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at:
   /etc/letsencrypt/live/sub.example.com/fullchain.pem
   Your key file has been saved at:
   /etc/letsencrypt/live/sub.example.com/privkey.pem
   Your cert will expire on 2020-01-27. To obtain a new or tweaked
   version of this certificate in the future, simply run certbot
   again. To non-interactively renew *all* of your certificates, run
   "certbot renew"

2）准备docker-compose环境

我docker-compose曾经通过 docker 运行 keycloak。配置和数据文件存储在 path 中/srv/docker/keycloak/。

• 文件夹config包含docker-compose.yml
• 文件夹data/certs包含我通过letsencrypt生成的证书
• 文件夹data/keycloack_db映射到数据库容器以使其数据持久化。

将证书文件放到正确的路径

当我第一次使用原始的letscrypt证书进行keycloak时遇到问题时，我尝试了将证书转换为另一种格式的解决方法，如前一个答案的评论中所述，这也失败了。最终，我意识到我的问题是由映射证书文件设置的权限引起的。

所以，对我有用的只是复制和重命名letsencrypt提供的文件，并将它们挂载到容器中。

$ cp /etc/letsencrypt/live/sub.example.com/fullchain.pem /srv/docker/keycloak/data/certs/tls.crt
$ cp /etc/letsencrypt/live/sub.example.com/privkey.pem /srv/docker/keycloak/data/certs/tls.key
$ chmod 755 /srv/docker/keycloak/data/certs/
$ chmod 604 /srv/docker/keycloak/data/certs/*

码头工人-compose.yml

就我而言，我需要使用我的 docker 主机的主机网络。这不是最佳实践，您的案例不应要求这样做。请在hub.docker.com/r/jboss/keycloak/的文档中找到有关配置参数的信息。

version: '3.7'

networks:
  default:
    external:
      name: host

services:
  keycloak:
    container_name: keycloak_app
    image: jboss/keycloak
    depends_on:
      - mariadb
    restart: always
    ports:
      - "8080:8080"
      - "8443:8443"
    volumes:
      - "/srv/docker/keycloak/data/certs/:/etc/x509/https"   # map certificates to container
    environment:
      KEYCLOAK_USER: <user>
      KEYCLOAK_PASSWORD: <pw>
      KEYCLOAK_HTTP_PORT: 8080
      KEYCLOAK_HTTPS_PORT: 8443
      KEYCLOAK_HOSTNAME: sub.example.ocm
      DB_VENDOR: mariadb
      DB_ADDR: localhost
      DB_USER: keycloak
      DB_PASSWORD: <pw>
    network_mode: host

  mariadb:
    container_name: keycloak_db
    image: mariadb
    volumes:
      - "/srv/docker/keycloak/data/keycloak_db:/var/lib/mysql"
    restart: always
    environment:
      MYSQL_ROOT_PASSWORD: <pw>
      MYSQL_DATABASE: keycloak
      MYSQL_USER: keycloak
      MYSQL_PASSWORD: <pw>
    network_mode: host

最终目录设置

这就是我的最终文件和文件夹设置的样子。

$ cd /srv/docker/keycloak/
$ tree
.
├── config
│   └── docker-compose.yml
└── data
    ├── certs
    │   ├── tls.crt
    │   └── tls.key
    └── keycloak_db

启动容器

最后，我能够使用docker-compose.

$ cd /srv/docker/keycloak/config/
$ sudo docker-compose up -d

我们可以在容器中看到已安装的证书。

$ cd /srv/docker/keycloak/config/
$ sudo docker-compose up -d

我们可以仔细检查容器中已安装的证书。

## open internal shell of keycloack container
$ sudo docker exec -it keycloak_app /bin/bash

## open directory of certificates
$ cd /etc/x509/https/
$ ll
-rw----r-- 1 root root 3586 Oct 30 14:21 tls.crt
-rw----r-- 1 root root 1708 Oct 30 14:20 tls.key

考虑来自 docker-compose.yml 的设置，keycloak 现在可在https://sub.example.com:8443获得