TLS a ACME
Fluxheim může servírovat TLS se statickými certifikáty nebo spravovat ACME certifikáty za tebe.
Spravované certifikáty
[[vhosts]]
name = "site"
hosts = ["example.com"]
[vhosts.tls]
acme = true
email = "admin@example.com"
storage = "/var/lib/fluxheim/acme"TLS volby
| Volba | Použij, když |
|---|---|
rustls | Chceš běžnou memory-safe TLS cestu. |
openssl | Potřebuješ OpenSSL provider boundary. |
modern | Připojit se smějí jen moderní TLS client. |
intermediate | Chceš default production compatibility profile. |
compat | Musíš ponechat TLS 1.2 compatibility explicitní. |
Příklad statického certifikátu
[server]
tls_listen = ["0.0.0.0:8443"]
[[vhosts]]
name = "site"
hosts = ["example.com"]
[vhosts.tls]
cert_path = "/etc/fluxheim/tls/fullchain.pem"
key_path = "/etc/fluxheim/tls/privkey.pem"Před zapnutím ACME
- Ujisti se, že public DNS ukazuje na tento server.
- Povol HTTP-01 nebo TLS-ALPN-01 challenge traffic.
- Mount bod bod ACME stav jako persistent writable storage.
- Použij externě vydané certifikáty pro přísné FIPS nebo ISO boundary.