TPotCE项目中CitrixHoneypot的SSL证书配置问题解析

问题背景

在TPotCE 24.04.x安全监控平台部署过程中，用户遇到了CitrixHoneypot组件无法正确加载SSL证书的问题。该问题表现为443端口无法识别配置的Let's Encrypt证书，而64297端口的Nginx管理门户SSL配置却正常工作。

技术分析

配置错误的根源

经过深入排查，发现问题核心在于Dockerfile中的证书路径配置错误。用户原本配置的路径为：

cp /root/citrixhoneypot/cert/cert.cert /opt/citrixhoneypot/ssl/cert.pem
cp /root/citrixhoneypot/cert/key.key /opt/citrixhoneypot/ssl/key.pem

而正确的路径应该是：

cp /root/cert/cert.cert /opt/citrixhoneypot/ssl/cert.pem
cp /root/cert/key.key /opt/citrixhoneypot/ssl/key.pem

关键配置要点

1. 证书文件命名规范：CitrixHoneypot要求证书文件必须命名为cert.pem和key.pem，放置在/opt/citrixhoneypot/ssl/目录下

2. 权限设置：需要确保CitrixHoneypot用户对该目录和证书文件有适当的读取权限

3. Docker卷映射：在docker-compose.yml中必须正确映射主机证书路径到容器内部路径

4. 证书格式：Let's Encrypt证书需要转换为PEM格式才能被正确识别

解决方案

1. 修正路径配置：确保Dockerfile中的证书复制命令指向正确的源路径

2. 验证权限设置：

   chown -R citrixhoneypot:citrixhoneypot /opt/citrixhoneypot
   chmod 774 /opt/citrixhoneypot/ssl
   

3. 重启服务流程：

   • 停止TPot服务：systemctl stop tpot
   • 重新构建容器：docker compose -f ~/tpotce/docker-compose.yml up -d
   • 启动TPot服务：systemctl start tpot

经验总结

1. 路径一致性检查：在修改配置文件时，必须确保所有相关路径引用保持一致

2. 证书格式验证：使用openssl命令验证证书和私钥文件的格式是否正确

3. 容器日志检查：通过docker logs <container-name>查看容器启动日志，可快速定位证书加载问题

4. 测试验证：配置修改后，使用curl -v https://localhost:443命令验证SSL握手过程

最佳实践建议

1. 对于生产环境，建议使用统一的证书管理策略

2. 考虑使用Docker secrets来管理敏感证书文件，而非直接挂载

3. 建立配置变更记录，便于问题回溯

4. 在修改关键配置前，先备份原始文件

通过以上分析和解决方案，用户成功解决了CitrixHoneypot组件SSL证书加载问题，为类似场景下的证书配置提供了有价值的参考。