TLSとACME
Fluxheimはstatic certificatesでTLSを提供することも、ACME certificatesを自動管理することもできます。
管理certificate
[[vhosts]]
name = "site"
hosts = ["example.com"]
[vhosts.tls]
acme = true
email = "admin@example.com"
storage = "/var/lib/fluxheim/acme"TLS choices一覧一覧
| 選択 | 使う場面 |
|---|---|
rustls | 通常のmemory-safe TLS pathが必要な場合。 |
openssl | OpenSSL provider boundaryが必要な場合。 |
modern | modern TLS clientsだけを接続させたい場合。 |
intermediate | default production compatibility profileが必要な場合。 |
compat | TLS 1.2 compatibilityを明示的に保つ必要がある場合。 |
static certificate例
[server]
tls_listen = ["0.0.0.0:8443"]
[[vhosts]]
name = "site"
hosts = ["example.com"]
[vhosts.tls]
cert_path = "/etc/fluxheim/tls/fullchain.pem"
key_path = "/etc/fluxheim/tls/privkey.pem"ACMEを有効にする前に
- public DNSがこのserverを指していることを確認します。
- HTTP-01またはTLS-ALPN-01 challenge trafficを許可します。
- ACME state保存先保存先をpersistent writable storageとしてmountします。
- 厳格なFIPSまたはISO-required boundariesにはexternally issued certificatesを使います。