Traefik - 自动签发Let‘s Encrypt 免费ssl证书

已于 2023-08-08 13:29:54 修改
阅读量707 收藏
点赞数 1
分类专栏: 云原生 # Traefik 文章标签: ssl 网络协议 linux
于 2023-08-05 20:51:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34983571/article/details/132124236
版权

文章目录

环境信息

  • 操作系统:CentOS 7.9
  • Traefik版本:2.10.3
  • Traefik安装目录:/usr/local/traefik

Traefik配置修改

静态配置

# 添加或修改 traefik静态配置文件 certificatesResolvers 部分内容
cat /usr/local/traefik/traefik.yaml
entryPoints:
  web:
    address: ":80"
  websecure:
    address: ":443"
    http:
      tls:
        # 通过 路由部分的host自动生成证书(Let's Encrypt)
        certResolver: leresolver
        ## foobar为自定义的一堆tls选项设置的集合的别名
        #options: foobar
        # example.com 替换成你自己的域名
        domains:
          - main: "example.com"
            sans:
            - "*.example.com"

certificatesResolvers:
    leresolver:
      acme:
        email: <通知邮箱>
        storage: acme.json
        dnsChallenge:
          provider: "cloudflare"
          delayBeforeCheck: 10

动态配置

# 添加或修改 traefik静态配置文件 http.routers.entryPoints部分内容
# 添加或修改 traefik静态配置文件 http.routers.tls部分内容(可选)
# example.com替换成自己的域名
$ cat /usr/local/traefik/conf.d/provider.yaml
http:
  routers:
    lm-demo:
      entryPoints:
        - "web"
        - "websecure"
      ## 只给单个路由匹配的域名生成tls证书时只在路由处开启tls配置即可
      #tls:
      #  certResolver: leresolver
      #  domains:
      #    - main: "example.com"
      #      sans:
      #      - "*.example.com"
      rule: "HostRegexp(`{subdomain:[a-z-_]*}.example.com`) && PathPrefix(`/demo`)"
      service: http-lm-demo
      
  services:
    http-lm-demo:
      loadBalancer:
        #healthCheck:
        #  path: /
        #  interval: "60s"
        #  timeout: "3s"
        servers:
          - url: http://127.0.0.1:8000

环境变量

# 配置域名所在dns解析平台所需账号凭据, 示例中是cloudflare平台
$ cat /usr/local/traefik/acme.env 
CF_API_EMAIL="xxx"		# Cloudflare 邮箱
CF_API_KEY="xxx"	# Cloudflare api key

systemd配置

$ cat /etc/systemd/system/traefik.service 
...

[Service]
EnvironmentFile=/usr/local/traefik/acme.env

...

# 重启traefik
$ systemctl daemon-reload
$ systemctl restart traefik.service

验证

  • 查看日志
# 查看安装目录下是否生成acme.json, 并且内容是否已有 Certificates 部分内容, 为null则还未成功
$ grep -A 3 'Certificates' /usr/local/traefik/acme.json
  • 浏览器访问: https://www.example.com/demo
    在这里插入图片描述

  • 签发失败的情况
# 如果签发失败可以查看运行日志
$ tail -n 50 /data/logs/traefik/traefik.log

DemingLiu
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Let’s Encrypt免费SSL证书获取以及自动续签
08-03
Let’s Encrypt免费SSL证书获取以及自动续签,配合Nginx实测有效
Go-用于自动获取证书LetsEncryptSSL证书的Golang库
08-14
用于自动获取证书LetsEncrypt SSL证书的Golang库
traefikv2-with-letsencrypt:重新分配DNS挑战的traefik servservres fuera
03-01
traefikv2-with-letencrypt 触摸acme.json chmod 600 acme.json 使用docker-compose docker-compose up -d 使用docker run 码头工人网络创建网站 泊坞窗运行-d -v /var/run/docker.sock:/var/run/docker.sock -v $ PWD / traefik.toml:/traefik.toml -v $ PWD / traefik_dynamic.toml:/traefik_dynamic.toml -v $ PWD / acme.json:/acme.json -p 80:80 -p 443:443 -网络网--name traefik traefik:v2.2 参考
traefik 配置自动申请ssl免费证书
无锋剑
11-28 2682
什么是 SSL 证书? 安全套接字层 (SSL) 证书(有时称为数字证书)用于在浏览器或用户计算机与服务器或网站之间建立加密连接。SSL 连接可保护在每次访问(称为会话)期间交换的敏感数据(例如信用卡信息),以防被非授权方拦截。SSL 连接可保护在每次访问(称为会话)期间交换的敏感数据(例如信用卡信息),以防被非授权方拦截。 实现目标: traefik 转发或者提供的域名都能够支持https 请求...
5分钟Traefik之旅:基于Let's Encrypt和Cloudflare的HTTPS
NewTyun的博客
12-17 2770
新钛云服已为您服务912天Traefik 2.0于2019年9月在GA上发布,发布了许多新功能,包括对SNI路由的TCP支持,中间件,canary/traffic镜像和IngressRo...
创建一个网站并为traefik设定证书
li1255994653的博客
03-16 253
1.为证书设定添加配置文件 certs-traefik.yaml tls: certificates: - certFile: /etc/certs/examplecert.crt keyFile: /etc/certs/examplecert.key 2.创建traefik和示例站点的docker compose文件traefik-compose.yml version: '3' services: reverse-proxy: # The offici
Traefik为服务添加HTTPS支持
qq_35278597的博客
04-24 1026
Traefik为服务添加HTTPS支持 背景 紧接着Traefik学习这篇文章,尝试使用Let’s EncryptTraefik的服务添加HTTPS支持 Let’s Encrypt Let’s Encrypt 是一家免费、开放、自动化的证书颁发机构(CA),为公众的利益而运行。它是一项由 Internet Security Research Group(ISRG)提供的服务。以尽可能对用户友好的方式免费提供为网站启用 HTTPS(SSL/TLS)所需的数字证书Traefik的支持 创建ac
k3s+traefik+cert-manager+letsencrypt实现web服务全https
Joe'¤'Potter
10-28 1214
1. 简介 随着 HTTPS 不断普及,越来越多的网站都在从 HTTP 升级到 HTTPS,使用 HTTPS 就需要向权威机构申请证书,需要付出一定的成本,如果需求数量多,也是一笔不小的开支。cert-manager 是 Kubernetes 上的全能证书管理工具,如果对安全级别和证书功能要求不高,可以利用 cert-manager 基于 ACME 协议与 Let’s Encrypt签发免费...
入门traefik系列——基础简介
qq_33816243的博客
09-30 1523
最近推出traefik系列文章,包含traefik的介绍、安装部署、配置使用、高级特性使用、配置自动发现、告警监控、日志采集与可视化等内容,欢迎关注微信公众号,第一时间获取最新内容
基于Traefik3.0和Let‘s Encrypt以及阿里dns的HTTPS方案(docker 部署)
Hireek的博客
09-27 696
复制ACCESS_KEY和SECRET_KEY。
Shell脚本方式获取 Let's Encrypt免费 SSL 证书
04-30
ACME是Automatic Certificate Management Environment(自动证书管理环境)的缩写,是Let's Encrypt使用的协议。这个脚本通常接收配置文件(如letsencrypt.conf)作为输入,执行验证步骤,然后下载并组合证书链。 4...
le-alidns:通过阿里云 DNS 为 Let's Encrypt 签发 SSL 证书提供验证的脚本工具
05-05
通过阿里云 DNS 为 Let's Encrypt 签发证书提供验证的脚本工具。 功能 支持签发多域名证书 支持签发 ACMEv2 的通配符证书(配置开启 acme-version=v2) 如果此前使用了 ACMEv1 签发证书,那么建议在升级前将 /etc/...
教育科研-学习工具-SSL证书自动化部署方法及设备.zip
08-14
2. **ACME客户端**:Let's Encrypt提供了ACME协议,通过acme.sh、Certbot等客户端可以自动完成证书申请和更新。 3. **CDN集成**:如果使用了Cloudflare、Akamai等CDN服务,它们通常提供自动SSL证书管理功能。 4. *...
基于 Traefik 的激进 TLS 安全配置实践
east4ming的博客
12-24 1115
前言 Traefik是一个现代的HTTP反向代理和负载均衡器,使部署微服务变得容易。 Traefik可以与现有的多种基础设施组件(Docker、Swarm模式、Kubernetes、Marathon、Consul、Etcd、Rancher、Amazon ECS...)集成,并自动和动态地配置自己。 今天我们基于 Traefik on K8S 来详细说明如何对 TLS 安全进行「激进」配置。 环境基本信息 K8S 集群; 域名:ewhisper.cn(由 DNSPod 进行 DNS 管理,已指向 K8S 集
探索Traefik Certs Dumper:自动SSL证书管理的新工具
gitblog_00017的博客
04-20 350
探索Traefik Certs Dumper:自动SSL证书管理的新工具 项目地址:https://gitcode.com/ldez/traefik-certs-dumper 项目简介 Traefik Certs Dumper 是一个由ldez开发的小巧但实用的开源项目,专为那些使用Traefik作为其自动HTTPS解决方案的人设计。它能够帮助你轻松地从Traefik中导出和备份Let's En...
Traefik-默认证书、Middleware、Ingressroute
惰立的博客
05-05 266
Traefik相关资源
traefik https配置
风起于青萍之末
07-31 6108
前言 随着https的流行,现在绝大多数网站都转向了https。在kubernetes中使用traefik暴露服务,我们也可以添加上https支持,这样外部就可以通过https访问,进一步提高安全性。 环境 kubernetes 1.10.4 traefik v1.6 k8s集群部署推荐项目:https://github.com/gjmzj/kubeasz https证书申请...
traefik TLS-SSL 修复sweet32漏洞 [安全加固]——筑梦之路
qq_53058639的博客
03-08 1167
之前已经写过关于nginxK8S组件修复sweet32安全漏洞的相关文章,关于sweet32安全漏洞就不再做过多的介绍,查阅了一些资料,很少有关于traefik修复SWEET32安全漏洞的相关文章,今天这里写一下如何修复traefik此漏洞,增强安全性。
IP地址专用SSL/https证书——10分钟签发
最新发布
William1234er的博客
07-23 513
无论是公网IP地址还是内网IP地址,在验证过程中,80、443至少有一个能够短暂开放(签发后再关闭),否则证书无法签发!若无法开放,请
宝塔ssl验证域名失败_宝塔面板开启反向代理后,怎么自动续签Let's Encrypt免费SSL证书...
06-02
宝塔面板开启反向代理后,需要在反向代理服务中添加一些特定的配置来实现自动续签Let's Encrypt免费SSL证书。 以下是实现的步骤: 1. 登录到宝塔面板,选择需要开启反向代理的网站,并进入网站设置。 2. 在网站设置页中,找到“SSL”选项卡,并开启“Let's Encrypt”功能,保存设置。 3. 返回网站设置页,找到“反向代理”选项卡,添加反向代理服务,并保存设置。 4. 在反向代理服务中添加以下配置信息: ``` location ~ /\.well-known/acme-challenge { allow all; root /www/wwwroot/[网站目录]; } ``` 其中,[网站目录]为你的网站根目录。 5. 配置完成后,等待一段时间后,Let's Encrypt证书将会自动续签。 需要注意的是,以上步骤仅适用于宝塔面板开启反向代理后自动续签Let's Encrypt证书。如果你的问题是宝塔ssl验证域名失败,可能是因为你的域名解析设置有误,或者证书申请过程中出现了其他错误,请仔细检查并解决相应问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值