Tôi đang cố gắng thiết lập dịch vụ loại Let's Encrypt trong một mạng riêng với Smallstep step-ca và traefik.
Và tôi bị kẹt vì step-ca không xác thực được yêu cầu chứng chỉ từ traefik..
Đây là những gì tôi đã làm cho đến nay.
Tôi đã khởi chạy dịch vụ step-ca trong bộ chứa docker như được giải thích trong tài liệu này trên máy chủ có IP "172.16.4.5". Tôi cũng đã theo dõi tài liệu này để thêm điểm vào acme.
Trên một máy chủ khác "172.16.4.4", tôi đã khởi chạy cấu hình docker-compose với Traefik 2.4 và dịch vụ "whoami" (Giống như tại đây ví dụ chính thức).
Tất cả các tên miền nội bộ được phục vụ bởi Máy chủ DNS riêng. Và mỗi máy chủ đã giải quyết tên miền mà không gặp vấn đề gì.
Máy chủ và bộ chứa step-ca có thể truy cập máy chủ 172.16.4.4 trên cổng 80 và 443. Máy chủ 172.16.4.4 và bộ chứa traefik có thể truy cập 172.16.4.5. Tôi đã cài đặt trong bộ chứa traefik chứng chỉ gốc được tạo bằng step-ca trong quá trình khởi tạo.
Tôi đã thiết lập traefik để sử dụng thử thách TSL. Traefik khởi tạo thử thách và tôi không biết tại sao step-ca lại báo lỗi
{"type":"urn:ietf:params:acme:error:connection","detail":"Máy chủ
không thể kết nối với mục tiêu xác thực"}}
Bên dưới toàn bộ lỗi do step-ca đưa ra:
THÔNG TIN[0126] duration=63,427116ms duration-ns=63427116 fields.time="2021-07-13T09:55:33Z" method=POST name=ca nonce=XX đường dẫn=/acme/company.int/authz/giao thức XX =HTTP/1.1 người giới thiệu= remote-address=172.16.4.4 request-id=xx response="{\"identifier\":{\"type\":\"dns\",\"value\":\"whoami .company.int\"},\"status\":\"pending\",\"challenges\":[{\"type\":\"dns-01\",\"status\":\" đang chờ giải quyết\",\"token\":\"XX\",\"url\":\"https://acme.company.int:9000/acme/company.int/challenge/XX/XX\"} ,{\"type\":\"http-01\",\"status\":\"pending\",\"token\":\"XX\",\"url\":\"https: //acme.company.int:9000/acme/company.int/challenge/XX/XX\"},{\"type\":\"tls-alpn-01\",\"status\":\" đang chờ giải quyết\",\"token\":\"XX\",\"url\":\"https://acme.company.int:9000/acme/company.int/challenge/XX/XX\", \"error\":{\"type\":\"urn:ietf:params:acme:error:connection\",\"detail\":\"Máy chủ không thể xác thực mục tiêu\"}}],\ "wildcard\":false,\"expires\":\"2021-07-14T09:54:24Z\"}" size=872 status=200 user-agent="containous-traefik/2.4.8 xenolf-acme/ 4 .3.1 (phát hành; linux; amd64)" id người dùng =
Đây là Traefik config.toml
[api]
không an toàn = đúng
bảng điều khiển = đúng
gỡ lỗi = đúng
[người giải quyết chứng chỉ]
[certificatesResolvers.myresolver]
[chứng chỉResolvers.myresolver.acme]
caServer = "https://acme.compagny.int:9000/acme/company.int/directory"
email = "[email protected]"
lưu trữ = "/etc/traefik/acme/acme.json"
[certificatesResolvers.myresolver.acme.tlsChallenge]
[nhà cung cấp]
[nhà cung cấp.docker]
xem = đúng
mạng = "traefik_webgateway"
swarmmode = sai
bị lộ bởidefault = false
[providers.file]
tên tệp = "traefik.toml"
thư mục = "/etc/traefik"
Đây /home/step/config/ca.json cho dịch vụ step-ca:
{
"root": "/home/step/certs/root_ca.crt",
"federedRoots": [],
"crt": "/home/step/certs/intermediate_ca.crt",
"key": "/home/step/secrets/intermediate_ca_key",
"địa chỉ": ":9000",
"địa chỉ không an toàn": "",
"dnsNames": [
"acme.company.int"
],
"cơ quan": {
"nhà cung cấp": [
{
"loại": "JWK",
// [...]
},
"Khóa mã hóa": "xxx"
},
{
"loại": "ACME",
"tên": "công ty.int",
"lực lượng CN": đúng,
"khiếu nại": {
"maxTLSCertDuration": "2160h0m0s",
"defaultTLSCertDuration": "2160h0m0s"
}
},
{
"loại": "ACME",
"tên": "acme"
}
],
"mẫu": {},
"backdate": "1m0s"
},
"tls": {
"bộ mật mã": [
"TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305",
"TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256"
],
"phiên bản tối thiểu": 1.2,
"maxVersion": 1.3,
"đàm phán lại": sai
}
}
