设置 Traefik 以仅使用 CLI 使用 Let's Encrypt 要求客户端证书

Question

我正在尝试设置 Traefik 来做 SSL 客户端证书，就像我过去用 Apache 做的那样。但我似乎无法让它正常工作。我也在用Docker，这里是命令参数

    command:
      - --defaultEntryPoints=http,https
      - --insecureSkipVerify
      - "--entryPoints=Name:http Address::80 Compress:true Redirect.entryPoint:https"
      # This one works with no authentication
      - "--entryPoints=Name:https Address::443 Compress:true TLS"

      # These don't seem to do anything
      - "--entryPoints=Name:https Address::443 Compress:true TLS CA.Optional:false CA:/run/secrets/CA"
      - --ping
      - --docker
      - --docker.endpoint=tcp://daemon:2375
      - --docker.exposedByDefault=false
      - --docker.swarmMode
      - --docker.watch
      - --acme
      - --acme.email=REDACTED@trajano.net
      - --acme.onhostrule
      - --acme.entrypoint=https
      - --acme.httpchallenge
      - --acme.httpchallenge.entrypoint=http
      - --zookeeper.endpoint=zookeeper:2181
      - --zookeeper.prefix=traefik
      - --acme.storage=traefik/acme/acme.json

Answer 1

毕竟是CA.Optional 和CA。我使用的是自动选择证书的 Firefox，而当我使用 Chrome 时，它​​正在使用缓存的内容。所以当我清除浏览器缓存时，事情就开始工作了。

请注意，此方法仅验证客户端证书是否由 CA 签名，但不会执行任何额外检查，例如正在使用的主题。据我了解，这是目前 Traefik 1.7 的限制。