az SSL konfigurálása a Jenkins szerveren
nagyon fontos a Jenkins védelme azáltal, hogy engedélyezi a projekt környezetben futó SSL-t. Ez a cikk végigvezeti Önt az SSL Jenkins szerveren történő konfigurálásának lépésről lépésre.
Az alábbiakban bemutatjuk az SSL konfigurálásának lépéseit a Jenkins szerveren.
- SSL tanúsítványok beszerzése
- SSL kulcsok konvertálása PKCS12 formátumba
- pkcs12 konvertálása JKS formátumba
- JKS hozzáadása a Jenkins elérési úthoz
- állítsa be a Jenkins indítását a JKS fájl használatához.
- érvényesítse a Jenkins SSL-t
kezdjük a beállítással
1.lépés: Domain beszerzése& SSL tanúsítványok
az SSL konfigurálásához érvényes domainnel kell rendelkeznie, amely a Jenkins server IP-re mutat. A tartomány lehet belső vagy külső a szervezet infrastruktúrája alapján.
SSL tanúsítvány a következő módszerekkel szerezhető be.
- a legtöbb esetben a Jenkins privát környezetben lesz, belső DNS-sel, és a belső SSL tanúsítványokat az adott szervezetektől szerezheti be.
- önaláírt SSL tanúsítványokat is létrehozhat az OpenSSL használatával. Kövesse ezt a blogot, hozzon létre SSL tanúsítványokat önaláírt tanúsítványok létrehozásához az OpenSSL használatával.
- is, akkor használja a szolgáltatásokat Let ‘ s encrypt érvényes SSL tanúsítványok. Ezeket a tanúsítványokat azonban háromhavonta meg kell újítani.
2. lépés: SSL kulcsok konvertálása PKCS12 formátumba
Megjegyzés: Ha már rendelkezik a tanúsítvánnyal
.p12
vagy.pfx
formátumban, akkor nem kell ezt az átalakítást elvégeznie.
az alábbi parancs átalakítja az SSL cert-eket köztes PKCS12 formátumba, melynek neve jenkins.p12
. A parancs végrehajtása előtt győződjön meg róla, hogy a következő CERT-ek vannak veled.
- ca.crt
- szerver.kulcs
- szerver.crt
továbbá
- cserélje ki a
jenkins.devopscube.com
parancsot a saját alias nevével - cserélje ki a
your-strong-password
erős jelszóval.
openssl pkcs12 -export -out jenkins.p12 \-passout 'pass:your-strong-password' -inkey server.key \-in server.crt -certfile ca.crt -name jenkins.devopscube.com
3. lépés: Pkcs12 konvertálása JKS formátumba
a következő keytool paranccsal konvertálhatja a jenkins.p12
fájlt JKS formátumba.
cserélje ki a következőket a saját értékeire.
-
-srcstorepass
– a 3.lépésben használt jelszó -
-deststorepass
– cserélje ki egy erős jelszóra. -
-srcalias
– a 2.lépésben használt alias név -destalias
– cserélje ki a cél alias nevét.
keytool -importkeystore -srckeystore jenkins.p12 \-srcstorepass 'your-secret-password' -srcstoretype PKCS12 \-srcalias jenkins.devopscube.com -deststoretype JKS \-destkeystore jenkins.jks -deststorepass 'your-secret-password' \-destalias jenkins.devopscube.com
egy jenkins.jks
nevű fájlt kell látnia az aktuális tartózkodási helyén.
4. lépés: JKS hozzáadása a Jenkins elérési útjához
jenkins_keystore.jks
fájlt egy meghatározott helyre kell menteni, ahol Jenkins elérheti.
hozzunk létre egy mappát, és helyezzük át ajenkins_keystore.jks
kulcsot erre a helyre.
mkdir -p /etc/jenkinscp jenkins_keystore.jks /etc/jenkins/
módosítsa a kulcsok és a mappa engedélyeit.
chown -R jenkins: /etc/jenkinschmod 700 /etc/jenkinschmod 600 /etc/jenkins/jenkins.jks
5.lépés: módosítsa a Jenkins konfigurációját az SSL-hez
az összes kulcs Jenkins indítási konfiguráció megtalálható a /etc/sysconfig/jenkins
fájlban. Az összes SSL alapú konfiguráció ebbe a fájlba kerül.
nyissa meg a fájlt
sudo vi /etc/sysconfig/jenkins
keresse meg és cserélje ki a fájl értékeit az alábbiak szerint.
Megjegyzés: cserélje le a
your-keystore-password
a 3.lépésben beállított kulcstároló jelszóra
JENKINS_PORT="-1"JENKINS_HTTPS_PORT="8443"JENKINS_HTTPS_KEYSTORE="/etc/jenkins/jenkins.jks"JENKINS_HTTPS_KEYSTORE_PASSWORD="<your-keystore-password>"JENKINS_HTTPS_LISTEN_ADDRESS="0.0.0.0"
mentse el a konfigurációt, és indítsa újra a Jenkins programot.
sudo systemctl restart jenkins
ellenőrizze Jenkins állapotát.
sudo systemctl status jenkins
6. lépés: SSL érvényesítése
most már https-en keresztül is hozzáférhet a Jenkins-hez a 8443-as porton keresztül
https://<jenkins-dns/ip>:8443
a curl segítségével is ellenőrizheti az SSL-t
curl -k https://<jenkins-dns/ip>:8443
- több