Stunnel: Docker Container mit HTTPS & SSL / TLS absichern

Lesedauer 2 Minuten

Hat man seinen HTTP-Dienst endlich erfolgreich als Docker Container laufen, ist der nächste Schritt die unsichere HTTP-Verbindung mit einem SSL-Zertifikat und HTTPS nachzurüsten. Das geht kompliziert über Anpassungen am Docker Image, oder extrem einfach mit Stunnel.

Was ist Stunnel?

Stunnel ist eine Proxy-Lösung, die SSL/TLS-Verschlüsselung zu bestehenden Clients und Servern hinzufügt, ohne dass Änderungen an den Programmcode erforderlich sind.

Die Architektur von Stunnel basiert auf OpenSSL und ist optimiert für Sicherheit, Portabilität sowie Skalierbarkeit (einschließlich Lastenausgleich), was diese Lösung skalierbar macht.

Stunnel ist auf allen gängigen Plattformen verfügbar und arbeitet unabhängig vom verwendeten Protokoll. So lassen sich neben HTTP auch FTP, POP3, SMTP etc. absichern.

Docker Container mit SSL

Im folgenden Szenario lauft in unserem Docker-Container ein HTTP-Dienst auf Port 8080. Um diesen mit Stunnel abzusichern benötigen wir

Stunnel selbst.
Details zur Installation von Stunnel findest Du hier.
Ein in der Regel selbst signiertes SSL-Zertifikat.
Solltest Du mit einem DynIP-Anbieter arbeiten kann auch ein ein Zertifikat für eine DynIP-Domain verwendet werden.

Nach der Installation von Stunnel legen wir folgende Konfiguration in der Datei stunnel.conf ab:

[https-docker]
accept  =  8081
connect =  8080
cert = stunnel.pem
verifyChain = no

[https-docker]

accept = 8081

connect = 8080

cert = stunnel.pem

verifyChain = no

Die Stunnel-Konfiguration erklärt:

Die 1. Zeile ist der Name des Config-Section, hier https-docker. Dieser Name ist frei wählbar.
accept: Der Port, auf dem Stunnel die verschlüsselte Verbindung erwartet, hier 8081.
connect: Der Port über den sich Stunnel mit dem Dienst im Container verbindet, hier 8080.
cert: Der Pfad zum SSL-Zertifikat. Solltest Du Stunnel nicht aus dem Ordner starten, in dem das Zertifikat liegt, muss hier der absolute Pfad ergänzt werden.
verifyChain: Steht dieser Parameter auf “no”, erlaubt Stunnel selbst signierte SSL-Zertifikate.

Das ist auch schon alles. Wir starten Stunnel mit

./stunnel stunnel.conf

1	./stunnel stunnel.conf

Dann rufen unseren Docker-Dienst über Port 8081 über eine gesicherte SSL-Verbindung im Browser auf:

https://127.0.0.1:8081

1	https://127.0.0.1:8081

Port 8080 sollte auf dem Host unseres Docker-Containers in dessen Firewall blockiert werden. Port 8081 hingegen wird freigegeben. So ist sichergestellt, daß nach außen nur SSL-Verbindungen genutzt werden:

Mehr zum Thema Docker lesen.

Hat Dir der Beitrag gefallen?

Wenn Du Fragen oder Anmerkungen zu diesem Beitrag hast, dann starte einen Kommentar. DANKE für Dein Feedback!

GRATIS: Hol Dir Pulse², die App zu meinem Blog.

Name*

E-Mail*

Webseite

0 Kommentare

Neuester

Ältester Beliebtester

Inline Feedbacks

View all comments

Name	Borlabs Cookie
Anbieter	Eigentümer dieser Website, keine Übermittlung von Daten and Dritte, Impressum
Zweck	Speichert die Einstellungen der Besucher, die in der Cookie Box ausgewählt wurden.
Cookie Name	borlabs-cookie
Cookie Laufzeit	1 Jahr

Name	Wordpress Application Firewall
Anbieter	Eigentümer dieser Website, keine Übermittlung von Daten and Dritte.
Zweck	Essentielles Session-Cookie um die Sicherheit unserer Website zu gewährleisten. Identifiziert den Besucher anhand einer anonymen ID um mehrfache Hackversuche wiederkehrender Besucher zu verhindern.
Cookie Name	icwp-wpsf

Name	Wordpress Login Session
Anbieter	Eigentümer dieser Website, keine Übermittlung von Daten and Dritte.
Zweck	Dieses Session Cookie speichert den Zustand unseres Login-Bereichs, um festzustellen ob ein User eingeloggt ist oder nicht.
Cookie Name	swpm_session

Name	PHP Session ID
Anbieter	Eigentümer dieser Website, keine Übermittlung von Daten and Dritte
Zweck	Dieses Session-Cookie wird benötigt um die einwandfreie Navigation auf unseren Seiten zu gewährleisten. Es identifiziert den Besucher anhand einer anonymen ID.
Cookie Name	PHPSESSID

Name	WooCommerce
Anbieter	Eigentümer dieser Website, keine Übermittlung von Daten and Dritte
Zweck	Dieses Cookie wird zur Funktionalität des WooCommerce Onlineshops benötigt.
Cookie Name	woocommerce_cart_hash, tk_ai

Akzeptieren	Google Analytics
Name	Google Analytics
Anbieter	Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ireland
Zweck	Cookie von Google für Website-Analysen. Erzeugt statistische, anonymisierte Daten darüber, wie der Besucher die Website nutzt. Google Analytics hilft uns, unser Angebot auf unsere Besucher besser abstimmen zu können.
Datenschutzerklärung	https://policies.google.com/privacy
Cookie Name	_ga,_gat,_gid
Cookie Laufzeit	1 Jahre

Akzeptieren	Vimeo
Name	Vimeo
Anbieter	Vimeo Inc., 555 West 18th Street, New York, New York 10011, USA
Zweck	Wird verwendet, um Vimeo-Inhalte zu entsperren.
Datenschutzerklärung	https://vimeo.com/privacy
Host(s)	player.vimeo.com
Cookie Name	vuid
Cookie Laufzeit	2 Jahre

Akzeptieren	YouTube
Name	YouTube
Anbieter	Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ireland
Zweck	Wird verwendet, um YouTube-Inhalte zu entsperren.
Datenschutzerklärung	https://policies.google.com/privacy
Host(s)	google.com
Cookie Name	NID
Cookie Laufzeit	6 Monate