Proxy-doku
Inhaltsverzeichnis |
golem
Auf der proxy VM kommt Nginx als Reverse-Proxy zum Einsatz, welcher die SSL Verbindungen annimmt und an die einzelnen Services verteilt
Zertifikate
Die Zertifikate werden hier durch Certbot verwaltet. Dieser erneuert die Zertifikate anhand der Vhosts im sites-enabled Ordner von Nginx. Zum manuellen erneuern von allen oder einzelnen Zertifikaten braucht man nur certbot --nginx starten.
pikachu
Auf proxy (webproxy) ist der Varnish-Proxy, der die Dienste, die auf Pikachu laufen, auf die Webserver verteilt.
Zertifikate
Der Let's Encrypt-Client ist ebenfalls hier: in /home/letsencrypt, mit entsprechendem User.
gen_cert.sh und gen_mail_cert.sh erneuern die Zertifikate für den Proxy und die Maildienste. Im gleichen Verzeichnis liegen .list-Dateien, die die Liste der anzufordernden Domains fürs Zertifikat enthalten. Wenn man sie ändert, muß als root gen_csr.sh aufgerufen werden; die anderen Skripts laufen aber mit dem User letsencrypt.
Die Zertifikate sollten automatisch verteilt werden, nginx gehört jedoch neu gestartet.
Falls die Mail-Zertifikate nicht automatisch auf den Mailservern landen, siehe E-Mail-Account#Technisches.