traefik 2.0 und unsichere SSL Zertifikate

Erstmal sollte ich vielleicht erklären, warum man sich mit ungültigen Zertifikaten herumschlagen möchte. Das mag auf den ersten Blick zwar Pervers wie nur was erscheinen, aber es gibt in der Tat Webanwendungen, die nicht im Stande sind, korrekte SSL Zertifikate auszuliefern. Ein Paradebeispiel dafür ist der Controller von Ubiquiti, wo es ein ziemlich steiler Akt wäre, dort herumzustochern.

Da bei mir der Controller als Docker-Container läuft, war für mich der nächste logische Schritt, das Zertifikat durch einen Reverse-Proxy für mich auszutauschen. Traefik bietet sich da sehr gut an und steht als Draufgabe sogar in Version 2.0 als GA zur Verfügung. Eine passende docker-compose Passage würde so aussehen:

services:
unifi:
image: linuxserver/unifi-controller
restart: unless-stopped
ports:
- "3478:3478/udp"
- "10001:10001/udp"
- "6789:6789"
- "8080:8080"
- "8880:8880"
- "8443:8443"
- "8843:8843"
networks:
- traefik_proxy
labels:
- "traefik.enable=true"
- "traefik.http.routers.unifi.rule=Host(`${UNIFI_HOSTNAME}`)"
- "traefik.http.routers.unifi.entrypoints=http"
- "traefik.http.middlewares.unifi.redirectscheme.scheme=https"

- "traefik.http.routers.unifi-secure.rule=Host(`${UNIFI_HOSTNAME}`)"
- "traefik.http.routers.unifi-secure.entryPoints=https"
- "traefik.http.routers.unifi-secure.tls=true"
- "traefik.http.services.unifi-secure.loadbalancer.server.port=8443"
- "traefik.http.services.unifi-secure.loadbalancer.server.scheme=https"

environment:
- TZ="Europe/Vienna"
volumes:
- type: volume
source: unifi_data
target: /config
volume:
nocopy: true

Und genau da patzt dann traefik 2.0 mit dem Ignorieren der Validität des SSL Zertifikats, sodass man gezwungen ist, auf die nächste Version 2.1 auszuweichen, welche noch nicht offiziell released wurde. Bugs dieser Funktion scheinen aber – sofern man Github Issues trauen kann – vor einer geraumen Weile gemeldet worden sein.

Die passende Fehlermeldung dazu findet sich im Debug Log:

‚500 Internal Server Error‘ caused by: x509: cannot validate certificate for 172.21.0.2 because it doesn’t contain any IP SANs

Author:

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Notify me of followup comments via e-mail. You can also subscribe without commenting.