Consul Check HTTPS自己署名

Question

私はConsulを使ってWebアプリケーションを登録します。 WebアプリケーションはJava Consulクライアントを使用してチェックに登録します。私は、領事代理人と私のwebappと領事代理店の間の交換を暗号化する自己署名CAを使用してTLSと暗号化を有効にすることができます。しかし、自己署名入りのCA署名付き証明書でHTTPSをチェックすることはできません。

私のWebアプリケーションは保護されており、自己署名入りの証明書でHTTPSのみをリッスンします。領事とのセッションを登録し、確認のためにhttps：// ... URLを入力すると、私は拒否されます：

com.orbitz.consul.ConsulException：領事の要求はステータス[500]で失敗しました：rpcエラー：rpcエラー：チェック「サービス：a4cHealthCheck：172.17.0.3は」領事エージェントのログで臨界状態

であり、私が見ることができます：

2016/07/23 08:24:45 [WARN] agent: http request failed 'https://172.17.0.3:8443/rest/latest/health/check': Get https://172.17.0.3:8443/rest/latest/health/check: x509: certificate signed by unknown authority 

領事エージェントはのための自己署名証明書を受け入れていないようですチェック。チェックのためだけにSSL検証を無効にする方法や、チェックのためにトラストを提供する方法はありますか？

Answer 1

Golang crypto libには信頼できる権限を求める設定されたパスがあります。これは、OSによって異なりますが、Linuxシステムのために、あなたはこれをチェックすることができます

https://golang.org/src/crypto/x509/root_linux.go

だから、あなたはあなたの問題は、システムのデフォルトにあなたのCAをインストールすることで解決していることができます。ルート証明書をインストールする方法については

、参照

https://superuser.com/questions/437330/how-do-you-add-a-certificate-authority-ca-to-ubuntu

や他の人のためのOS：

http://kb.kerio.com/product/kerio-connect/server-configuration/ssl-certificates/adding-trusted-root-certificates-to-the-server-1605.html

HTH;）あなたがしてHTTPSチェックを無効にすることができます

Answer 2

プロパティtls_skip_verify。これは、Consul checks documentationのHTTPセクションに記述されています。 JSONファイルを使用してエージェントを設定する場合は、次の設定例があります。

{ 
    "services": [ 
    { 
     "id": "instance-1", 
     "name": "ManagementService", 
     "address": "localhost", 
     "port": 11080, 
     "checks": [ 
     { 
      "id": "api", 
      "name": "HTTP API", 
      "http": "https://localhost:11081/service/monitoring/ping", 
      "tls_skip_verify": true, 
      "interval": "5s", 
      "timeout": "1s" 
     } 
     ] 
    } 
    ] 
}