JFrog帮助中心

我们的新传送门很快就要来了!
文档+知识库





JFrog帮助中心-一个全新的知识体验即将到来!



概述

TLS连接可以在不同节点和服务之间的JFrog管道中使用。缺省情况下,禁用TLS协议。当启用TLS时,所有到JFrog管道的通信都需要使用TLS。

此特性仅适用于管道内部版本。

JFrog Pipelines支持TLS的以下场景:

  • 通过JFrog Access颁发的CA证书,JFrog平台启用TLS。
    • pipes配置了一个使用公共受信任证书设置的负载均衡器。
    • pipes配置了一个使用自定义证书设置的负载均衡器。
  • JFrog平台启用TLS,由用户提供CA证书和匹配的私钥。
    • pipes配置了一个使用公共受信任证书设置的负载均衡器。
    • pipes配置了一个使用自定义证书设置的负载均衡器。
  • JFrog平台禁用TLS。pipes配置了一个使用公共受信任证书设置的负载均衡器。
  • 使用JFrog Access颁发CA证书的JFrog平台禁用TLS。pipes配置了一个使用自定义证书设置的负载均衡器。

HA的设置

  • 对于HA设置,需要将证书添加到每个节点的受信任目录或KeyStore。证书不会在HA节点之间自动传播。
  • 有关如何TLS连接可以在JFrog平台的不同集群节点和服务之间使用,请参阅章节TLS证书管理
页面内容


JFrog管线中的TLS

本节提供在JFrog管道中启用TLS的相关信息。JFrog管线服务不允许在未验证受信任CA证书的情况下与外部服务建立SSL/TLS连接。

启用TLS后,每个JFrog Pipelines服务必须信任Access作为证书颁发机构。Access与所有管线节点共享CA证书。然而,管道中的其他服务也需要信任Access。管道服务和Access之间的信任是通过将ca.crt从$JFROG_HOME/ Artifactory /var/etc/ Access /keys下的Artifactory服务器复制到任何你想在$JFROG_HOME//var/etc/security/keys/trusted下设置信任的管道服务节点来创建的。

先决条件

  • 在Artifactory中启用TLS。有关更多信息,请参见TLS证书管理
  • 启用TLS后重新启动Artifactory。

在JFrog管道中启用TLS

在JFrog Pipelines中启用TLS的操作步骤如下:

  1. 复制ca.crt文件从您的Artifactory服务器,可在JFROG_HOME美元/ artifactory / var / etc /访问键
  2. 运行如下命令递归创建管线相关目录:
    Mkdir -p /opt/jfrog/pipelines/var/etc/security/keys/trusted . Mkdir -p /opt/jfrog/pipelines/var/etc/security/keys/trusted . Mkdir -p
  3. 粘贴ca.crt文件,从JFROG_HOME美元/ artifactory / var / etc /访问键,/ opt / jfrog /管道/ var / etc /安全/键/信任
  4. 安装管线并确保https用于所有url:

    Sudo pipelines install \——base-url-ui https:// \——base-url https:// \——artifactory-joinkey  \——install -ip  \——api-url https://:8082/pipelines/api \——www-url https://:30001 \——rabbitmq-url amqp://:30200

    有关安装管线的信息,请参见安装管道

在安装了Pipelines的所有节点上重复上述步骤。

在所有附加节点都安装了相同版本的pipeline之后,必须将负载均衡器配置为通过公共基本URI分发请求。

负载均衡器还可以使用自定义证书进行设置。在这种情况下,这些证书在阴极射线管格式应该加载到JFROG_HOME美元/管道/ var / etc /安全/键/信任

此外,www-url必须位于负载均衡器后面,以确保web-socket工作。


自定义CA证书在JFrog管道

介绍如何在JFrog Pipelines中加载自定义CA证书。

您可以提供一个自定义CA证书和匹配的私钥,供JFrog Access使用,用于签署所有不同的JFrog Pipeline节点使用的TLS证书。

先决条件

自定义CA前提条件

自定义CA证书必须满足以下前提条件:

  • 私钥必须使用RSA算法。
  • 私钥长度至少为1024位。
  • 证书必须与提供的私钥匹配。
  • 证书有效期至少为7天。
  • 证书必须用CA基本约束标记。
  • 不应该设置SAN。
  • 键使用扩展名应该标记为CRITICAL。
  • 键的使用digitalSignature扩展应该被启用。
  • 键的使用keyCertSign扩展应该被启用。


在JFrog管道中加载自定义CA证书

ca.crt而且ca.private.key,执行以下步骤在Access和JFrog管道之间创建信任:

加载自定义CA证书及私钥。

  1. 创建ca.crt把它归档,放在下面JFROG_HOME美元/ artifactory / var /引导/ etc /访问键
  2. 重启Artifactory。
  3. 运行如下命令递归创建管线相关目录:
    Mkdir -p /opt/jfrog/pipelines/var/etc/security/keys/trusted . Mkdir -p /opt/jfrog/pipelines/var/etc/security/keys/trusted . Mkdir -p
  4. 粘贴ca.crt文件,抄袭JFROG_HOME美元/ artifactory / var / etc /访问键,/ opt / jfrog /管道/ var / etc /安全/键/信任
  5. 安装管线并确保https用于所有url:

    Sudo pipelines install \——base-url-ui https:// \——base-url https:// \——artifactory-joinkey  \——install -ip  \——api-url https://:8082/pipelines/api \——www-url https://:30001 \——rabbitmq-url amqp://:30200

    有关安装管线的信息,请参见安装管道

在安装了Pipelines的所有节点上重复上述步骤。

在所有附加节点都安装了相同版本的pipeline之后,必须将负载均衡器配置为通过公共基本URI分发请求。

负载均衡器还可以使用自定义证书进行设置。在这种情况下,这些证书在阴极射线管格式应该加载到JFROG_HOME美元/管道/ var / etc /安全/键/信任

此外,www-url必须位于负载均衡器后面,以确保web-socket工作。

  • 没有标签
版权所有©2023 JFrog Ltd。