Я использую Keycloak Quay 22.0.3 с docker-compose за обратным прокси-сервером Nginx, но у меня возникли некоторые проблемы из-за автоматической замены моего сертификата, сгенерированного с помощью certbot.
Мой сертификат, сгенерированный с помощью Certbot, полностью исправен, но в нем указано, что срок его действия истекает через 3 месяца. Его CN-номер (выдан) — R3, а организация — Let's Encrypt (как и у других доменов).
Как только я запускаю docker-compose itможетиспользуйте правильный сертификат длятвремя и он использует HTTPS, затем, внезапно, он заменяется тем, который я не генерировал, (Выдан) CN Cisco Umbrella Secondary SubCA ams-SG и Organization Cisco и (Выдан) Organization Cisco Systems, Inc., хотя до этого он был пустым, и, конечно же, соединение больше не является частным ( NET::ERR_CERT_AUTHORITY_INVALID).
Это мой файл docker-compose:
version: "3.9"
services:
keycloak:
container_name: "keycloak"
image: quay.io/keycloak/keycloak:22.0.3
environment:
KC_DB: mysql
KC_DB_URL: jdbc:mysql://database_container:3306/keycloak
KC_DB_USERNAME: username
KC_DB_PASSWORD: password
KEYCLOAK_ADMIN: kc_admin
KEYCLOAK_ADMIN_PASSWORD: kc_admin_password
KC_HOSTNAME: keycloak.hostname.com
KC_HOSTNAME_STRICT_HTTPS: "false"
ports:
- "8443:8443"
volumes:
- /keycloak/certs/fullchain.pem:/etc/x509/https/tls.crt
- /keycloak/certs/privkey.pem:/etc/x509/https/tls.key
command:
start --https-certificate-file=/etc/x509/https/tls.crt --https-certificate-key-file=/etc/x509/https/tls.key --hostname-strict=false
networks:
- my_network
networks:
my_network:
name: my_network
external: true
А это моя конфигурация Nginx:
server {
server_name www.keycloak.hostname.com keycloak.hostname.com;
location / {
proxy_pass https://ip_address:8443/;
proxy_set_header Host $host;
proxy_set_header X-Real-IP \$remote_addr;
proxy_buffer_size 256k;
proxy_buffers 4 512k;
proxy_busy_buffers_size 512k;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}
listen 443 ssl; # managed by Certbot
ssl_certificate /etc/letsencrypt/live/keycloak.hostname.com/fullchain.pem; # managed by Certbot
ssl_certificate_key /etc/letsencrypt/live/keycloak.hostname.com/privkey.pem; # managed by Certbot
include /etc/letsencrypt/options-ssl-nginx.conf; # managed by Certbot
ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem; # managed by Certbot
}
server {
if ($host = www.keycloak.hostname.com) {
return 301 https://$host$request_uri;
} # managed by Certbot
if ($host = keycloak.hostname.com) {
return 301 https://$host$request_uri;
} # managed by Certbot
server_name www.keycloak.hostname.com keycloak.hostname.com;
listen 80;
return 404; # managed by Certbot
}
Сертификаты, используемые в docker-compose, имеют /etc/letsencrypt/live/keycloak.hostname.com/*разрешение 655.
Редактировать
Я забыл упомянуть, что сертификат, выданный Cisco Umbrella, действителен с 17.09.2023 по 22.09.2023.