TLS-Zertifikate: Træfik 2 für Container jenseits von HTTPS

Wer viele verschlüsselte Dienste auf einem Server betreibt, hat oft mit Zertifikaten zu kämpfen. Træfik nimmt einem viel Arbeit ab, auch für TCP-Verbindungen.

Lesezeit: 4 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen
Von
Inhaltsverzeichnis

Wenn Sie Træfik 1 für die Verwaltung von TLS-Zertifikaten und Routing einsetzen, müssen Sie spätestens dann die Zertifikate extrahieren, wenn ein Dienst nicht über HTTPS läuft. Dafür gibt es zwar zuverlässige Werkzeuge, aber am Ende liegen Zertifikatsdateien an verschiedenen Stellen im System – in Verzeichnissen, Container-Volumes oder gar Datenbanken.

Ist ein neues Zertifikat nötig, müssen Sie all die Daten aktualisieren und die zugehörigen Container oft neu starten. Das ist Fleißarbeit, die nicht nur nervt, sondern schnell zu Flüchtigkeitsfehlern führt. Mit Træfik 2 hat das ein Ende, denn der kann jedwede TCP-Verbindung nach außen per TLS absichern und kümmert sich vollautomatisch um die Zertifikatsverwaltung. Für den Dienst dahinter passiert das vollkommen transparent. Außerdem kann Træfik Anfragen je nach Hostname zu unterschiedlichen Diensten routen.

Wer bereits Erfahrung mit Træfik 2 hat, wird sich in das Konzept schnell hineinfinden. Es ähnelt dem Vorgehen bei HTTP-Verbindungen sehr. Für alle, für die Træfik 2 noch Neuland ist, haben wir bereits eine Einführung verfasst. Darin werden Grundlagen wie die Einrichtung von Let’s Encrypt und das HTTP-Routing erklärt. In diesem Artikel dient der MQTT-Broker Mosquitto als Beispieldienst. Er kann zwar selbst TLS anbieten, aber eben nur, wenn man ihm die richtigen Zertifikate zur Verfügung stellt. Eleganter ist es allerdings, wenn Træfik auch diesen Dienst absichert, wenn er sich ohnehin um die Verwaltung der Let’s-Encrypt-Zertifikate kümmert. Zum Artikel stellen wir ein Repository auf GitHub bereit. Dort sind alle hier beschriebenen Dateien enthalten.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

  • Zugriff auf alle Inhalte von heise+
  • exklusive Tests, Ratgeber & Hintergründe: unabhängig, kritisch fundiert
  • c't, iX, Technology Review, Mac & i, Make, c't Fotografie direkt im Browser lesen
  • einmal anmelden – auf allen Geräten lesen - monatlich kündbar
  • erster Monat gratis, danach monatlich 9,95 €
  • Wöchentlicher Newsletter mit persönlichen Leseempfehlungen des Chefredakteurs
GRATIS-Monat beginnen Jetzt GRATIS-Monat beginnen Mehr Informationen zu heise+