証明書: カスタム内部CA

APIのSSL証明書が内部証明機関(CA)によって署名されるオンプレミス・デプロイメントでは、RetoolはデフォルトでAPIへのHTTPSを介した接続を拒否します。これは、Retoolサーバーが内部CAを信頼するように構成されていないためです。

内部CAを信頼するようにRetoolを構成するには、証明書ファイルの絶対パスと等しくなるようにNODE_EXTRA_CA_CERTSを定義します。ファイルは、1つ以上のPEM形式の信頼できる証明書から構成されている必要があります。

Docker Compose

Docker Composeデプロイ方法で、証明書をファイルシステム上にファイルとして格納し、そのファイルをapiコンテナーにマウントする場合があります。以下に、その例を示します。

retool-onpremiseリポジトリーにcaという名前のサブディレクトリーとして作成し、./ca/cert.pemにPEM形式で内部証明書を保存します。

以下のファイルを、次のように構成します。

docker-compose.yml
version: '2'
services:
  api:
    image: tryretool/backend:latest
    env_file: ./docker.env
    ...
    volumes:
      - ssh:/retool_backend/autogen_ssh_keys
      - ca:/retool_backend/ca

  db-connector:
    ...
    volumes:
      - ca:/retool_backend/ca
docker.env
NODE_ENV=production
...
NODE_EXTRA_CA_CERTS=/retool_backend/ca/cert.pem
...

Kubernetesおよび他のデプロイメント・インフラストラクチャ

処理はDocker Compose構成とよく似ていますが、インフラストラクチャによっては、別のオプションがあります。例えば、Kubernetesでは、Kubernetesシークレットを使用できます。Herokuでは、Dockerファイルを拡張して、証明書をコンテナーにコピーすることを選択できます。