Графана OAuth: Самоподписанный сертификат

Question

Бриф

• Я использую Grafana на Docker
• Я подключаю Keycloak с Grafana для входа
• Я следовал все шаги на https://grafana.com/docs/grafana/latest/auth/generic-oauth/, и он отлично работает

Проблема

• Для HTTPS у меня есть самозаверяющий сертификат на Keycloak
• В djna go у меня это как REQUESTS_CA_BUNDLE=path_to_ca

В Grafana я вынужден установить GF_AUTH_GENERIC_OAUTH_TLS_SKIP_VERIFY_INSECURE=true, так как не могу найти способ упомянуть путь CA

Есть ли способ установить путь к файлу CA?

Answer 1

Бэкэнд Grafana написан на Golang, который пытается использовать системные сертификаты CA - https://golang.org/src/crypto/x509/root_linux.go:

// Possible certificate files; stop after finding one.
var certFiles = []string{
    "/etc/ssl/certs/ca-certificates.crt",                // Debian/Ubuntu/Gentoo etc.
    "/etc/pki/tls/certs/ca-bundle.crt",                  // Fedora/RHEL 6
    "/etc/ssl/ca-bundle.pem",                            // OpenSUSE
    "/etc/pki/tls/cacert.pem",                           // OpenELEC
    "/etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem", // CentOS/RHEL 7
    "/etc/ssl/cert.pem",                                 // Alpine Linux
}

Поэтому попробуйте добавить свой собственный CA, используемый для Keycloak к вашей системе CA сертификатов.