Question

我正在尝试使用docker映像（https://hub.docker.com/r/jboss/keycloak/版本4.5.0-Final）部署密钥斗篷，并面临设置SSL的问题。

根据文档

Keycloak图片可让您同时指定   私钥和用于服务HTTPS的证书。在这种情况下，您需要   提供两个文件：

tls.crt -证书 tls.key -私钥这些文件需要是   安装在/ etc / x509 / https目录中。图像将自动   将它们转换为Java密钥库，然后重新配置Wildfly以使用它。

我按照给定的步骤进行操作，并为卷安装设置提供了一个包含必要文件（tls.crt和tls.key）的文件夹，但是我面临SSL握手问题，获取

ERR_SSL_VERSION_OR_CIPHER_MISMATCH

错误，尝试访问浏览器时阻止了它的加载。

我使用过letencrypt来生成pem文件，并使用openssl来创建.crt和.key文件。还尝试过使用openssl创建这些文件以缩小问题范围，并且行为相同（如果需要，可以提供一些其他信息）

默认情况下，当我仅指定端口绑定 -p 8443：8443 而不指定证书卷装载 / etc / x509 / https 时，密钥斗篷服务器会生成一个自签名证书，在浏览器中查看应用程序没有问题

我想这可能是证书创建问题而不是密钥斗篷特有的问题，但是，不确定如何使它起作用。感谢您的帮助

Answer 1

对于任何试图使用密码保护的私钥文件运行Keycloak的人：

Keycloak运行脚本/opt/jboss/tools/x509.sh以根据https://hub.docker.com/r/jboss/keycloak-设置TLS（SSL）中所述的/etc/x509/https中提供的文件生成密钥库。

不幸的是，该脚本没有考虑密码短语。但是在Docker构建时进行一些修改，您可以自己修复它：在您的Dockerfile中添加：

RUN sed -i -e 's/-out "${KEYSTORES_STORAGE}\/${PKCS12_KEYSTORE_FILE}" \\/-out "${KEYSTORES_STORAGE}\/${PKCS12_KEYSTORE_FILE}" \\\n      -passin pass:"${SERVER_KEYSTORE_PASSWORD}" \\/' /opt/jboss/tools/x509.sh

此命令修改脚本并附加参数以传递密码 -passin pass:"${SERVER_KEYSTORE_PASSWORD}"

参数的值是可以自由设置的环境变量：SERVER_KEYSTORE_PASSWORD

通过Keycloak 9.0.0测试

Answer 2

经过研究，以下方法有效（对于自签名证书，我仍然必须弄清楚如何使用letencrypt CA for prod）

使用密钥工具生成自签名证书

keytool -genkey -alias localhost -keyalg RSA -keystore keycloak.jks -validity 10950

将.jks转换为.p12

keytool -importkeystore -srckeystore keycloak.jks -destkeystore keycloak.p12 -deststoretype PKCS12

从.p12密钥库生成.crt

openssl pkcs12 -in keycloak.p12 -nokeys -out tls.crt

从.p12密钥库生成.key

openssl pkcs12 -in keycloak.p12 -nocerts -nodes -out tls.key

然后使用tls.crt和tls.key进行卷装载 / etc / x509 / https

此外，在安全应用程序的keycloak.json文件中，指定以下属性

"truststore" : "path/to/keycloak.jks",
"truststore-password" : "<jks-pwd>",

Answer 3

我还面临使用jboss/keycloak Docker image和free certificates from letsencrypt遇到ERR_SSL_VERSION_OR_CIPHER_MISMATCH错误的问题。即使考虑了其他评论的建议。现在，我有了一个有效的（并且非常简单）的设置，它可能也对您有所帮助。

1）生成letencrypt证书

首先，我使用certbot为域sub.example.com生成了letencrypt证书。您可以在https://certbot.eff.org/上找到获取证书的详细说明和替代方法，在https://certbot.eff.org/docs/using.html上可以找到用户指南。

$ sudo certbot certonly --standalone
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator standalone, Installer None
Please enter in your domain name(s) (comma and/or space separated)  (Enter 'c' to cancel): sub.example.com
Obtaining a new certificate
Performing the following challenges:
http-01 challenge for sub.example.com
Waiting for verification...
Cleaning up challenges

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at:
   /etc/letsencrypt/live/sub.example.com/fullchain.pem
   Your key file has been saved at:
   /etc/letsencrypt/live/sub.example.com/privkey.pem
   Your cert will expire on 2020-01-27. To obtain a new or tweaked
   version of this certificate in the future, simply run certbot
   again. To non-interactively renew *all* of your certificates, run
   "certbot renew"

2）准备docker-compose环境

我使用docker-compose通过docker运行keycloak。配置和数据文件存储在路径/srv/docker/keycloak/中。

文件夹config包含docker-compose.yml
文件夹data/certs包含我通过letencrypt生成的证书
文件夹data/keycloack_db被映射到数据库容器以使其数据持久化。

将证书文件放置到正确的路径

当我最初使用原始的letcrypt证书进行密钥隐藏时遇到问题时，我尝试了将证书转换为另一种格式的解决方法，如先前答案的注释中所述，该方法也失败了。最终，我意识到我的问题是由对映射的证书文件设置的权限引起的。

因此，对我有用的是只复制并重命名letencrypt提供的文件，然后将其安装到容器中。

$ cp /etc/letsencrypt/live/sub.example.com/fullchain.pem /srv/docker/keycloak/data/certs/tls.crt
$ cp /etc/letsencrypt/live/sub.example.com/privkey.pem /srv/docker/keycloak/data/certs/tls.key
$ chmod 755 /srv/docker/keycloak/data/certs/
$ chmod 604 /srv/docker/keycloak/data/certs/*

docker-compose.yml

就我而言，我需要使用Docker主机的主机网络。这不是最佳做法，您的情况不应该这样做。请在hub.docker.com/r/jboss/keycloak/的文档中找到有关配置参数的信息。

version: '3.7'

networks:
  default:
    external:
      name: host

services:
  keycloak:
    container_name: keycloak_app
    image: jboss/keycloak
    depends_on:
      - mariadb
    restart: always
    ports:
      - "8080:8080"
      - "8443:8443"
    volumes:
      - "/srv/docker/keycloak/data/certs/:/etc/x509/https"   # map certificates to container
    environment:
      KEYCLOAK_USER: <user>
      KEYCLOAK_PASSWORD: <pw>
      KEYCLOAK_HTTP_PORT: 8080
      KEYCLOAK_HTTPS_PORT: 8443
      KEYCLOAK_HOSTNAME: sub.example.ocm
      DB_VENDOR: mariadb
      DB_ADDR: localhost
      DB_USER: keycloak
      DB_PASSWORD: <pw>
    network_mode: host

  mariadb:
    container_name: keycloak_db
    image: mariadb
    volumes:
      - "/srv/docker/keycloak/data/keycloak_db:/var/lib/mysql"
    restart: always
    environment:
      MYSQL_ROOT_PASSWORD: <pw>
      MYSQL_DATABASE: keycloak
      MYSQL_USER: keycloak
      MYSQL_PASSWORD: <pw>
    network_mode: host

最终目录设置

这是我最终文件和文件夹设置的样子。

$ cd /srv/docker/keycloak/
$ tree
.
├── config
│   └── docker-compose.yml
└── data
    ├── certs
    │   ├── tls.crt
    │   └── tls.key
    └── keycloak_db

启动容器

最后，我能够使用docker-compose启动软件。

$ cd /srv/docker/keycloak/config/
$ sudo docker-compose up -d

我们可以在容器中看到已安装的证书。

$ cd /srv/docker/keycloak/config/
$ sudo docker-compose up -d

我们可以仔细检查容器中已安装的证书。

## open internal shell of keycloack container
$ sudo docker exec -it keycloak_app /bin/bash

## open directory of certificates
$ cd /etc/x509/https/
$ ll
-rw----r-- 1 root root 3586 Oct 30 14:21 tls.crt
-rw----r-- 1 root root 1708 Oct 30 14:20 tls.key

考虑从docker-compose.yml中进行的设置，现在可以在https://sub.example.com:8443上使用密钥斗篷

使用Docker映像的Keycloak SSL设置

3 个答案: