Traefik 配置示例混合 Let's Encrypt 和购买的证书

Question

对于 Traefik，我只想将 Let's Encrypt 用于一些新的特定前端主机规则，因为我已经将购买的证书用于一些现有的前端主机规则。这是我现有的工作示例 traefik.toml，没有 Let's Encrypt [acme] 配置：

defaultEntryPoints = ["http", "https"]

[entryPoints]
  [entryPoints.http]
  address = ":80"
  [entryPoints.https]
  address = ":443"
    [entryPoints.https.tls]
      [[entryPoints.https.tls.certificates]]
      certFile = "/etc/traefik/certs/myhost.tld.crt"
      keyFile = "/etc/traefik/certs/myhost.tld.key"

从我读到的here OnHostRule = true 适用于所有主机规则。

是否有一个示例 Traefik 配置说明如何将 Let's Encrypt 用于特定主机，而不是用于使用已购买证书的主机？

Answer 1

您可以使用带有 SNI（服务器名称指示）的 HTTPS 将特定的 SSL 证书分配给特定的域或子域。

您可以从下面的官方文档链接中找到 HTTPS + SNI 配置的示例。

https://docs.traefik.io/user-guide/examples/#http-https-with-sni

编辑 1：

是否有一个示例 Traefik 配置显示如何将 Let's Encrypt 用于特定主机，而不是用于使用已购买证书的主机？

你可以试试官方文档this section中的例子。它说它只会为提供的证书无法检查的域生成让我们加密证书。

您也可以参考this link了解ACME let's encrypt配置的各个配置项的解释。

希望这会有所帮助。

Answer 2

假设你的目录和文件结构如下所示。

 traefik
 |-ssl
   |-ca.key
   |-ca_chain.crt
 |-traefik.toml
 |-acme.json

更新你的 traefik.toml

#traefik.toml

debug = true

defaultEntryPoints = ["http", "https"]

# Force HTTPS
[entryPoints]
  [entryPoints.http]
  address = ":80"
    [entryPoints.http.redirect]
    entryPoint = "https"
  [entryPoints.https]
  address = ":443"
    [entryPoints.https.tls]
     [[entryPoints.https.tls.certificates]]
      certFile = "/etc/traefik/ssl/ca_chain.crt"
      keyFile = "/etc/traefik/ssl/ca.key"


# Let's encrypt configuration
[acme]
email = "email@domain.com" #any email id will work
storage="/etc/traefik/acme.json"
entryPoint = "https"
acmeLogging=true
onHostRule = true
[acme.httpChallenge]
  entryPoint = "http"

创建 acme.json 文件

touch ./traefik/acme.json
chmod 600 .traefik/acme.json

使用以下命令创建容器：

docker run --network=traefik-network -p 80:80 -p 443:443 -v /var/run/docker.sock:/var/run/docker.sock -v $PWD/traefik:/etc/traefik --name=traefik traefik:latest --api --docker