
Комментарии 8
C mTLS не заблокируют ли случайно IP в условиях нынешних реалий?
Большое спасибо за статью! Скажите, пож-та, как то в docker это всё творчество можно обернуть (в т.ч. traefik, что бы был со связкой скрипта)?
P.S. пока смотрел весьма бегло репозитарий на github. Поставил звезду уже. :)
Здравствуйте! Спасибо большое за звезду :)
Да, с Docker это всё можно использовать. Если у вас Dokploy — в скрипте уже есть готовый пресет, просто в 6) Настройка путей выберите p1.
Если обычный Traefik, то выберите p2 / p3 или укажите свой путь вручную. ПРИМЕР:
Захожу в настройку путей
Выбираю пункт "Dynamic-конфиги Traefik" написав "1" в выбор, далее пишу свой путь где находиться у меня конфиги траефик
Сначала нужно развернуть сам сервис и Traefik с HTTPS, потом в скрипте создать CA, добавить сервис через [patch], и после этого создать сертификат.(можно иначе сделать - создать полностью новый(Добавить сервис [new]) но я предпочитаю через [patch] т.к я потом могу удостовериться что сервис работает по https.
В конце(после создания сертификата) появится путь к файлам, вам нужен client.p12 — его нужно импортировать в браузер в настройки сертификатов. В Chrome / Edge это обычно: Настройки → Безопасность → Управление сертификатами, в Firefox: Настройки → Privacy & Security → Certificates → Import.
пример пути для chrome: chrome://certificate-manager/clientcerts/platformclientcerts
В первый раз работаю с traefik, сейчас мои контейнеры работают на nginx-acme. Возник такой вопрос: я правильно понимаю, что при переходе на mtls (при помощи сценария mtls.sh), мне потребуется отказаться от построения маршрутов через labels в docker и полностью формировать их через сценарий mtls.sh? В ином случае, видимо, он не сможет обнаружить файл конфигурации путей, что бы дополнить своими изменением (включить опцию) - Т.е. нужно будет использовать динамические конфигурационные файлы в traefik а не настраивать маршруты через сокет docker?
Офигенно работает, вот бы еще на другие реверс прокси было бы:)
mTLS: руководство — от теории к практике с управлением сертификатами и защиты сервисов