Skip to content
Snippets Groups Projects
Verified Commit 7ea34133 authored by Quentin Duchemin's avatar Quentin Duchemin
Browse files

[TLSCertsMonitor] Change mount point on host

parent 4ae3f690
No related branches found
No related tags found
No related merge requests found
Pipeline #60321 waiting for manual action
Stage: ci-base
Stage: build
Stage: security-tests
Stage: push
Hide whitespace changes
Inline Side-by-side
pica-tls-certs-monitor/README.md
+ 11
1
View file @ 7ea34133
......@@ -14,7 +14,17 @@ La documentation complète est disponible [ici](https://gitlab.utc.fr/picasoft/p
## Déploiement
Il n'y a pas de configuration spécifique à ce service ; la configuration se fait sur les services supervisés. Il suffit de déployer ce conteneur avec un `docker-compose up -d` sur tous les hôtes souhaités (*i.e.* qui contiennent des services non-HTTPS qui ont besoin de certificats ; `monitoring` est le premier candidat avec le serveur mail et le serveur LDAP)
Il n'y a pas de configuration spécifique à ce service ; la configuration se fait sur les services supervisés. Il suffit de déployer ce conteneur avec un `docker-compose up -d` sur tous les hôtes souhaités (*i.e.* qui contiennent des services non-HTTPS qui ont besoin de certificats ; `monitoring` est le premier candidat avec le serveur mail et le serveur LDAP).
## Sécurité
Bien évidemment, les clés privées générées sont **extrêmement sensibles**. C'est pourquoi les fichiers générés ne sont **pas** enregistrés dans un volume géré par Docker Compose. En effet, supposons que tous les certificats soient générés dans un volume `certs`.
Tout service voulant récupérer son certificat devrait monter `certs`, ayant ainsi accès aux clés privées des autres services, ce qui poserait problème en cas de compromission du conteneur.
On pourrait alors envisager de créer un volume par service, comme `ldap_certs`, `mail_certs`... Mais ceci impliquerait de modifier le présent [docker-compose.yml](./docker-compose.yml) à chaque fois, alors qu'il est autonome avec le système actuel.
On a choisi une bonne fois pour toutes `/DATA/docker/certs` comme dossier de stockage des certificats, et par convention, les services monteront `/DATA/docker/certs/<domain>` pour ne pas risquer de compromettre d'autres services.
## Mise à jour
......
pica-tls-certs-monitor/docker-compose.yml
+ 1
1
View file @ 7ea34133
......@@ -6,6 +6,6 @@ services:
container_name: tls-certs-monitor
volumes:
- /DATA/docker/traefik/certs/acme.json:/certs/acme.json
- /DATA/docker/tls/certs:/output
- /DATA/docker/certs:/output
- /var/run/docker.sock:/var/run/docker.sock
restart: unless-stopped
0% or .
You are about to add 0 people to the discussion. Proceed with caution.
Finish editing this message first!
Please register or to comment