TLS i ACME
Fluxheim może serwować TLS ze statycznymi certyfikatami albo zarządzać certyfikatami ACME za ciebie.
Zarządzane certyfikaty
[[vhosts]]
name = "site"
hosts = ["example.com"]
[vhosts.tls]
acme = true
email = "admin@example.com"
storage = "/var/lib/fluxheim/acme"Wybory TLS
| Wybór | Użyj, gdy |
|---|---|
rustls | Chcesz normalną memory-safe ścieżkę TLS. |
openssl | Potrzebujesz OpenSSL provider boundary. |
modern | Tylko nowoczesni TLS clients mają się łączyć. |
intermediate | Chcesz default production compatibility profile. |
compat | Musisz zachować compatibility TLS 1.2 jako explicit. |
Przykład statycznego certyfikatu
[server]
tls_listen = ["0.0.0.0:8443"]
[[vhosts]]
name = "site"
hosts = ["example.com"]
[vhosts.tls]
cert_path = "/etc/fluxheim/tls/fullchain.pem"
key_path = "/etc/fluxheim/tls/privkey.pem"Przed włączeniem ACME
- Upewnij się, że publiczny DNS wskazuje ten server.
- Zezwól na traffic challenge HTTP-01 lub TLS-ALPN-01.
- Zamontuj ACME state directory directory jako persistent writable storage.
- Używaj externally issued certificates dla strict FIPS lub ISO-required boundaries.