Frappe Docker项目中使用自定义SSL证书配置指南

在基于Frappe Docker的生产环境部署中，SSL证书的配置是确保通信安全的关键环节。本文将详细介绍如何为Traefik反向代理及Frappe站点配置自定义SSL证书，涵盖从证书准备到动态配置的全过程。

核心组件与原理

Frappe Docker栈采用Traefik作为入口网关，其证书管理机制具有以下特点：

1. 动态配置：支持通过YAML文件实时加载证书配置
2. 热加载：无需重启服务即可应用新证书
3. 多证书支持：可同时管理多个域名的证书

证书准备规范

自定义证书需满足以下要求：

• 证书文件应为PEM格式的.crt文件
• 私钥文件应为无密码保护的.key文件
• 建议证书包含完整的证书链
• 文件权限应设置为600确保安全性

配置实现步骤

1. 目录结构规划

推荐在宿主机建立统一证书管理目录：

/data/
  └── devops/
      └── ssl/
          ├── server.crt         # 主证书文件
          ├── server_no_pass.key  # 无密码私钥
          └── dynamic_conf.yml   # Traefik动态配置

2. 动态配置文件详解

dynamic_conf.yml需包含TLS证书声明：

tls:
  certificates:
    - certFile: "/ssl/server.crt"       # 容器内证书路径
      keyFile: "/ssl/server_no_pass.key" # 容器内私钥路径

3. Traefik服务配置

在docker-compose.yml中需要关注以下关键配置项：

services:
  traefik:
    volumes:
      - /data/devops/ssl:/ssl  # 证书目录挂载
    command:
      - --providers.file.filename=/ssl/dynamic_conf.yml  # 动态配置加载

4. 证书更新机制

当证书需要更新时：

1. 将新证书和私钥替换原文件
2. 保持文件名一致
3. Traefik会自动检测变更并重新加载配置

高级配置建议

1. 多域名支持：

tls:
  certificates:
    - certFile: "/ssl/primary.crt"
      keyFile: "/ssl/primary.key"
    - certFile: "/ssl/secondary.crt"
      keyFile: "/ssl/secondary.key"

2. 证书监控： 建议设置监控检查证书有效期，可通过crontab定期检查：

0 0 * * * openssl x509 -noout -dates -in /data/devops/ssl/server.crt

3. 安全加固：

• 私钥文件应严格限制访问权限
• 建议使用专用用户运行Traefik
• 定期轮换证书密钥

常见问题排查

1. 证书未生效：

• 检查文件挂载路径是否正确
• 验证Traefik日志中的配置加载记录
• 确认证书文件权限(建议644)

2. 私钥密码问题： Traefik要求私钥必须是无密码保护的，可通过以下命令移除密码：

openssl rsa -in encrypted.key -out server_no_pass.key

3. 证书链不完整： 合并中间证书到主证书文件：

cat server.crt intermediate.crt > fullchain.crt

通过以上配置，Frappe Docker环境即可实现安全的自定义证书管理，既满足生产环境的安全要求，又保持了配置的灵活性和可维护性。