TLS и ACME
Fluxheim може да сервира TLS със статични сертификати или да управлява ACME сертификати вместо теб.
Управлявани сертификати
[[vhosts]]
name = "site"
hosts = ["example.com"]
[vhosts.tls]
acme = true
email = "admin@example.com"
storage = "/var/lib/fluxheim/acme"TLS избори
| Избор | Използвай, когато |
|---|---|
rustls | Искаш нормалния memory-safe TLS path. |
openssl | Имаш нужда от OpenSSL provider boundary. |
modern | Само модерни TLS client-и трябва да се свързват. |
intermediate | Искаш default production compatibility profile. |
compat | Трябва да държиш TLS 1.2 compatibility explicit. |
Пример със static certificate
[server]
tls_listen = ["0.0.0.0:8443"]
[[vhosts]]
name = "site"
hosts = ["example.com"]
[vhosts.tls]
cert_path = "/etc/fluxheim/tls/fullchain.pem"
key_path = "/etc/fluxheim/tls/privkey.pem"Преди включване на ACME
- Увери се, че public DNS сочи към този server.
- Разреши HTTP-01 или TLS-ALPN-01 challenge traffic.
- Mount точка точка-ни ACME state directory directory като persistent writable storage.
- Използвай externally issued certificate-и за strict FIPS или ISO-required boundary.