TLS & ACME
Fluxheim kann TLS mit statischen Zertifikaten ausliefern oder ACME-Zertifikate für dich verwalten.
Verwaltete Zertifikate
[[vhosts]]
name = "site"
hosts = ["example.com"]
[vhosts.tls]
acme = true
email = "admin@example.com"
storage = "/var/lib/fluxheim/acme"TLS-Auswahl
| Auswahl | Nutze es, wenn |
|---|---|
rustls | Du willst den normalen memory-safe TLS-Pfad. |
openssl | Du brauchst eine OpenSSL-Provider-Grenze. |
modern | Nur moderne TLS-Clients sollen verbinden. |
intermediate | Du willst das standardmassige Produktions-Kompatibilitatsprofil. |
compat | Du musst TLS-1.2-Kompatibilitat explizit beibehalten. |
Beispiel fur statisches Zertifikat
[server]
tls_listen = ["0.0.0.0:8443"]
[[vhosts]]
name = "site"
hosts = ["example.com"]
[vhosts.tls]
cert_path = "/etc/fluxheim/tls/fullchain.pem"
key_path = "/etc/fluxheim/tls/privkey.pem"Vor dem Aktivieren von ACME
- Stelle sicher, dass öffentliches DNS auf diesen Server zeigt.
- Erlaube HTTP-01- oder TLS-ALPN-01-Challenge-Traffic.
- Binde ACME-State als dauerhaft beschreibbaren Speicher ein.
- Nutze extern ausgestellte Zertifikate fur strenge FIPS- oder ISO-erforderliche Grenzen.