JBoss/Keycloak 服务器：更新自签名服务器 Ssl 证书

Question

我正在管理一个 keycloak 服务器，该服务器在 synology nas 上作为 jboss/keycloak 映像运行。 keycloak 服务器配置为使用自签名 ssl 证书（使用我们的根证书签名）。 现在，我创建了一个新的根证书并签署了新的服务器证书（使用 openssl）。我将服务器证书和密钥文件重命名为 tls.crt 和 tls.key 并将这些文件上传到 nas 上的文件夹（ssl-Folder）。 ssl 文件夹通过 docker-compose.yml 文件安装在 jboss/keycloak docker 映像中： 卷：

-ssl-文件夹：/etc/x509/https

我通过终端命令重新启动了 jboss/keycloak docker-container 须藤码头重新启动 此外，我重新启动了托管容器的 nas。

如果我通过 portainer 登录正在运行的 jboss/keycloak docker-container，我可以看到新的 tls.crt 和 tls.key 文件在运行容器中的路径 /etc/x509/https 中可用并且它们是可读的对于用户/组/其他。根据 jboss/keycloak 用户指南https://hub.docker.com/r/jboss/keycloak/ 1（“设置 TLS (SSL)”部分）：“图像会自动将它们转换为 Java 密钥库并重新配置 Wildfly 以使用它”

但是，如果我在浏览器窗口中打开 keycloak-server 的地址，则会显示连接是使用旧的 ssl 证书保护的。在我看来，密钥库不会自动更新。

我进一步连接到 keycloak 管理控制台并删除了用户/领域/密钥缓存（主 -> 领域设置 -> 缓存）。服务器仍然没有使用新证书。

我必须做什么才能让服务器使用新的 ssl 证书？ 提前谢谢！

Answer 1

我遇到了同样的问题。虽然我没有使用 docker compose，但我正在生成一个 keycloak 容器并将 tls.crt 和 tls.key 文件作为卷提供。在 keycloak 容器中仔细检查这两个文件确实是文件而不是 目录。我的问题是我没有提供文件的绝对路径；我提供了相对路径，这导致它们成为容器中的目录。进行此更改后，我看到在 /opt/jboss/keycloak/standalone/configuration/keystores 中创建了 https-keystore.jks 和 https-keystore.pk12 密钥库。

Answer 2

将新的 tls.crt 和 tls.key 文件放入 /etc/x509/https 目录后，您需要执行 /opt/jboss/tools/x509.sh 脚本才能将新的密钥库生成到/opt/jboss/keycloak/standalone/configuration/keystores 目录。

Answer 3

脚本/opt/jboss/tools/x509.sh 旨在为新创建的容器只运行一次。如果您更改/更新您的证书并重新启动容器或重新运行x509.sh 脚本，它将无法正常工作。您必须销毁容器并创建一个新容器。这样，它就可以正常工作了。