Saltar al contenido principal

TLS

El servidor NGINX integrado de SecureVu admite certificados TLS. De forma predeterminada, SecureVu generará un certificado autofirmado que se utilizará para el puerto 8971. SecureVu está diseñado para facilitar el uso de cualquier herramienta que prefiera para gestionar certificados.

SecureVu suele ejecutarse detrás de un proxy inverso que gestiona certificados TLS para múltiples servicios. Probablemente necesite configurar su proxy inverso para permitir certificados autofirmados, o puede deshabilitar TLS en la configuración de SecureVu. Sin embargo, si está ejecutando en un dispositivo dedicado separado de su proxy o si expone SecureVu directamente a Internet, puede que desee configurar TLS con certificados válidos.

En muchas implementaciones, TLS no será necesario. Puede deshabilitarse en la configuración con el siguiente YAML:

tls:
  enabled: False

Certificados

Los certificados TLS pueden montarse en /etc/letsencrypt/live/securevu usando un montaje de enlace o un volumen Docker.

securevu:
  ...
  volumes:
    - /path/to/your/certificate_folder:/etc/letsencrypt/live/securevu:ro
  ...

Dentro de la carpeta, se espera que la clave privada se llame privkey.pem y que el certificado se llame fullchain.pem.

Tenga en cuenta que certbot usa enlaces simbólicos, y estos no pueden ser seguidos por el contenedor a menos que también tenga acceso a los destinos, por lo que si usa certbot también deberá montar la carpeta archive para su dominio, por ejemplo:

securevu:
  ...
  volumes:
    - /etc/letsencrypt/live/your.fqdn.net:/etc/letsencrypt/live/securevu:ro
    - /etc/letsencrypt/archive/your.fqdn.net:/etc/letsencrypt/archive/your.fqdn.net:ro
  ...

SecureVu compara automáticamente la huella digital del certificado en /etc/letsencrypt/live/securevu/fullchain.pem con la huella digital del certificado TLS en NGINX cada minuto. Si difieren, la configuración de NGINX se recarga para usar el certificado actualizado.

Si emite certificados válidos a SecureVu, probablemente querrá configurarlo para que se ejecute en el puerto 443 para poder acceder a él sin número de puerto, como https://su-dominio-securevu.com, mapeando 8971 al 443.

securevu:
  ...
  ports:
    - "443:8971"
  ...

Desafío ACME

SecureVu también admite el alojamiento de los archivos de desafío ACME para el método de desafío HTTP si es necesario. Los archivos de desafío deben montarse en /etc/letsencrypt/www.