Keycloakは証明書を自動的に変更します

tag-icon tag-icon nginx docker docker-compose certbot keycloak
Keycloakは証明書を自動的に変更します

私は、Nginx リバース プロキシの背後で docker-compose を備えた Keycloak Quay 22.0.3 を使用していますが、certbot で生成された証明書の自動置換が原因で問題が発生しています。

certbot で生成された私の証明書はまったく問題ありません。今から 3 か月後に期限が切れると表示されています。(発行元) CN は R3、組織は Let's Encrypt (他のドメインと同じ) です。

docker-composeを起動したら5月正しい証明書を使用するt当時は HTTPS が使用されていましたが、その後突然、私が生成していない「(Issued by) CN Cisco Umbrella Secondary SubCA ams-SG および Organization Cisco」と「(Issued to) Organization Cisco Systems, Inc.」に置き換えられました。以前は空白でしたが、当然ながら、接続はプライベートではなくなりました ( NET::ERR_CERT_AUTHORITY_INVALID)。

これは私の docker-compose ファイルです:

version: "3.9"

services:
  keycloak:
    container_name: "keycloak"
    image: quay.io/keycloak/keycloak:22.0.3
    environment:
      KC_DB: mysql
      KC_DB_URL: jdbc:mysql://database_container:3306/keycloak
      KC_DB_USERNAME: username
      KC_DB_PASSWORD: password
      KEYCLOAK_ADMIN: kc_admin
      KEYCLOAK_ADMIN_PASSWORD: kc_admin_password
      KC_HOSTNAME: keycloak.hostname.com
      KC_HOSTNAME_STRICT_HTTPS: "false"
    ports:
      - "8443:8443"
    volumes:
      - /keycloak/certs/fullchain.pem:/etc/x509/https/tls.crt
      - /keycloak/certs/privkey.pem:/etc/x509/https/tls.key
    command:
      start --https-certificate-file=/etc/x509/https/tls.crt --https-certificate-key-file=/etc/x509/https/tls.key --hostname-strict=false
    networks:
      - my_network

networks:
  my_network:
    name: my_network
    external: true

これが私の Nginx 設定です:

server {
    server_name www.keycloak.hostname.com keycloak.hostname.com;

    location / {
        proxy_pass https://ip_address:8443/;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP \$remote_addr;
        proxy_buffer_size 256k;
        proxy_buffers 4 512k;
        proxy_busy_buffers_size 512k;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    }


    listen 443 ssl; # managed by Certbot
    ssl_certificate /etc/letsencrypt/live/keycloak.hostname.com/fullchain.pem; # managed by Certbot
    ssl_certificate_key /etc/letsencrypt/live/keycloak.hostname.com/privkey.pem; # managed by Certbot
    include /etc/letsencrypt/options-ssl-nginx.conf; # managed by Certbot
    ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem; # managed by Certbot
}

server {
    if ($host = www.keycloak.hostname.com) {
        return 301 https://$host$request_uri;
    } # managed by Certbot


    if ($host = keycloak.hostname.com) {
        return 301 https://$host$request_uri;
    } # managed by Certbot


    server_name www.keycloak.hostname.com keycloak.hostname.com;
    listen 80;
    return 404; # managed by Certbot
}

docker-compose で使用される証明書は であり/etc/letsencrypt/live/keycloak.hostname.com/*、権限は 655 です。

編集

Cisco Umbrella によって発行された証明書は 2023 年 9 月 17 日から 2023 年 9 月 22 日まで有効であることをお伝えするのを忘れました。

関連情報