TLS и ACME
Fluxheim может обслуживать TLS со статическими certificates или управлять ACME certificates за вас.
Управляемые сертификаты
[[vhosts]]
name = "site"
hosts = ["example.com"]
[vhosts.tls]
acme = true
email = "admin@example.com"
storage = "/var/lib/fluxheim/acme"Выбор TLS
| Выбор | Используйте, когда |
|---|---|
rustls | Нужен обычный memory-safe TLS path. |
openssl | Нужна OpenSSL provider boundary. |
modern | Подключаться должны только modern TLS clients. |
intermediate | Нужен default production compatibility profile. |
compat | Нужно явно сохранить TLS 1.2 compatibility. |
Пример static certificate
[server]
tls_listen = ["0.0.0.0:8443"]
[[vhosts]]
name = "site"
hosts = ["example.com"]
[vhosts.tls]
cert_path = "/etc/fluxheim/tls/fullchain.pem"
key_path = "/etc/fluxheim/tls/privkey.pem"Перед включением ACME
- Убедитесь, что public DNS указывает на этот server.
- Разрешите HTTP-01 или TLS-ALPN-01 challenge traffic.
- Смонтируйте ACME state том том как persistent writable storage.
- Используйте externally issued certificates для строгих FIPS или ISO-required boundaries.