JFrog管线中的TLS
本节提供在JFrog管道中启用TLS的相关信息。JFrog管线服务不允许在未验证受信任CA证书的情况下与外部服务建立SSL/TLS连接。
启用TLS后,每个JFrog Pipelines服务必须信任Access作为证书颁发机构。Access与所有管线节点共享CA证书。然而,管道中的其他服务也需要信任Access。管道服务和Access之间的信任是通过将ca.crt从$JFROG_HOME/ Artifactory /var/etc/ Access /keys下的Artifactory服务器复制到任何你想在$JFROG_HOME/
先决条件
- 在Artifactory中启用TLS。有关更多信息,请参见TLS证书管理.
- 启用TLS后重新启动Artifactory。
在JFrog管道中启用TLS
在JFrog Pipelines中启用TLS的操作步骤如下:
- 复制
ca.crt
文件从您的Artifactory服务器,可在JFROG_HOME美元/ artifactory / var / etc /访问键
. - 运行如下命令递归创建管线相关目录:
Mkdir -p /opt/jfrog/pipelines/var/etc/security/keys/trusted . Mkdir -p /opt/jfrog/pipelines/var/etc/security/keys/trusted . Mkdir -p
. - 粘贴
ca.crt
文件,从JFROG_HOME美元/ artifactory / var / etc /访问键
,/ opt / jfrog /管道/ var / etc /安全/键/信任
. 安装管线并确保
https
用于所有url:Sudo pipelines install \——base-url-ui https://
\——base-url https:// \——artifactory-joinkey \——install -ip \——api-url https:// :8082/pipelines/api \——www-url https:// :30001 \——rabbitmq-url amqp:// :30200 有关安装管线的信息,请参见安装管道.
在安装了Pipelines的所有节点上重复上述步骤。
在所有附加节点都安装了相同版本的pipeline之后,必须将负载均衡器配置为通过公共基本URI分发请求。
负载均衡器还可以使用自定义证书进行设置。在这种情况下,这些证书在阴极射线管
格式应该加载到JFROG_HOME美元/管道/ var / etc /安全/键/信任
.
此外,www-url必须位于负载均衡器后面,以确保web-socket工作。
自定义CA证书在JFrog管道
介绍如何在JFrog Pipelines中加载自定义CA证书。
您可以提供一个自定义CA证书和匹配的私钥,供JFrog Access使用,用于签署所有不同的JFrog Pipeline节点使用的TLS证书。
先决条件
- 在Artifactory中启用TLS。有关更多信息,请参见在JFrog平台中启用TLS.
- 启用TLS后重新启动Artifactory。
自定义CA前提条件
自定义CA证书必须满足以下前提条件:
- 私钥必须使用RSA算法。
- 私钥长度至少为1024位。
- 证书必须与提供的私钥匹配。
- 证书有效期至少为7天。
- 证书必须用CA基本约束标记。
- 不应该设置SAN。
- 键使用扩展名应该标记为CRITICAL。
- 键的使用
digitalSignature
扩展应该被启用。 - 键的使用
keyCertSign
扩展应该被启用。
在JFrog管道中加载自定义CA证书
后ca.crt
而且ca.private.key
,执行以下步骤在Access和JFrog管道之间创建信任:
加载自定义CA证书及私钥。
- 创建
ca.crt
把它归档,放在下面JFROG_HOME美元/ artifactory / var /引导/ etc /访问键
. - 重启Artifactory。
- 运行如下命令递归创建管线相关目录:
Mkdir -p /opt/jfrog/pipelines/var/etc/security/keys/trusted . Mkdir -p /opt/jfrog/pipelines/var/etc/security/keys/trusted . Mkdir -p
. - 粘贴
ca.crt
文件,抄袭JFROG_HOME美元/ artifactory / var / etc /访问键
,/ opt / jfrog /管道/ var / etc /安全/键/信任
. 安装管线并确保
https
用于所有url:Sudo pipelines install \——base-url-ui https://
\——base-url https:// \——artifactory-joinkey \——install -ip \——api-url https:// :8082/pipelines/api \——www-url https:// :30001 \——rabbitmq-url amqp:// :30200 有关安装管线的信息,请参见安装管道.
在安装了Pipelines的所有节点上重复上述步骤。
在所有附加节点都安装了相同版本的pipeline之后,必须将负载均衡器配置为通过公共基本URI分发请求。
负载均衡器还可以使用自定义证书进行设置。在这种情况下,这些证书在阴极射线管
格式应该加载到JFROG_HOME美元/管道/ var / etc /安全/键/信任
.
此外,www-url必须位于负载均衡器后面,以确保web-socket工作。