JFrog

    云客户?
    免费开始>
    在MyJFrog >中升级
    云有什么新>






    跳到元数据的末尾
    进入元数据的开始

    概述

    TLS连接可以在不同节点和服务之间的JFrog管道中使用。缺省情况下,禁用TLS协议。当启用TLS时,所有到JFrog管道的通信都需要使用TLS。

    此特性仅适用于管道内部版本。

    JFrog Pipelines支持TLS的以下场景:

    • 通过JFrog Access颁发的CA证书,JFrog平台启用TLS。
      • pipes配置了一个使用公共受信任证书设置的负载均衡器。
      • pipes配置了一个使用自定义证书设置的负载均衡器。
    • JFrog平台启用TLS,由用户提供CA证书和匹配的私钥。
      • pipes配置了一个使用公共受信任证书设置的负载均衡器。
      • pipes配置了一个使用自定义证书设置的负载均衡器。
    • JFrog平台禁用TLS。pipes配置了一个使用公共受信任证书设置的负载均衡器。
    • 使用JFrog Access颁发CA证书的JFrog平台禁用TLS。pipes配置了一个使用自定义证书设置的负载均衡器。

    HA的设置

    • 对于HA设置,需要将证书添加到每个节点的受信任目录或KeyStore。证书不会在HA节点之间自动传播。
    • 有关如何TLS连接可以在JFrog平台的不同集群节点和服务之间使用,请参阅章节TLS证书管理
    页面内容

    JFrog管线中的TLS

    本节提供在JFrog管道中启用TLS的相关信息。JFrog管线服务不允许在未验证受信任CA证书的情况下与外部服务建立SSL/TLS连接。

    启用TLS后,每个JFrog Pipelines服务必须信任Access作为证书颁发机构。Access与所有管线节点共享CA证书。然而,管道中的其他服务也需要信任Access。管道服务和Access之间的信任是通过将ca.crt从$JFROG_HOME/ Artifactory /var/etc/ Access /keys下的Artifactory服务器复制到任何你想在$JFROG_HOME//var/etc/security/keys/trusted下设置信任的管道服务节点来创建的。

    先决条件

    • 在Artifactory中启用TLS。有关更多信息,请参见TLS证书管理
    • 启用TLS后重新启动Artifactory。

    在JFrog管道中启用TLS

    在JFrog Pipelines中启用TLS的操作步骤如下:

    1. 复制ca.crt文件从您的Artifactory服务器,可在JFROG_HOME美元/ artifactory / var / etc /访问键
    2. 运行如下命令递归创建管线相关目录:
      Mkdir -p /opt/jfrog/pipelines/var/etc/security/keys/trusted . Mkdir -p /opt/jfrog/pipelines/var/etc/security/keys/trusted . Mkdir -p
    3. 粘贴ca.crt文件,从JFROG_HOME美元/ artifactory / var / etc /访问键,/ opt / jfrog /管道/ var / etc /安全/键/信任

    4. 安装管线并确保https用于所有url:

      Sudo pipelines install \——base-url-ui https:// \——base-url https:// \——artifactory-joinkey  \——install -ip  \——api-url https://:8082/pipelines/api \——www-url https://:30001 \——rabbitmq-url amqp://:30200

      有关安装管线的信息,请参见安装管道

    在安装了Pipelines的所有节点上重复上述步骤。

    在所有附加节点都安装了相同版本的pipeline之后,必须将负载均衡器配置为通过公共基本URI分发请求。

    负载均衡器还可以使用自定义证书进行设置。在这种情况下,这些证书在阴极射线管格式应该加载到JFROG_HOME美元/管道/ var / etc /安全/键/信任

    此外,www-url必须位于负载均衡器后面,以确保web-socket工作。

    自定义CA证书在JFrog管道

    介绍如何在JFrog Pipelines中加载自定义CA证书。

    您可以提供一个自定义CA证书和匹配的私钥,供JFrog Access使用,用于签署所有不同的JFrog Pipeline节点使用的TLS证书。

    先决条件

    自定义CA前提条件

    自定义CA证书必须满足以下前提条件:

    • 私钥必须使用RSA算法。
    • 私钥长度至少为1024位。
    • 证书必须与提供的私钥匹配。
    • 证书有效期至少为7天。
    • 证书必须用CA基本约束标记。
    • 不应该设置SAN。
    • 键使用扩展名应该标记为CRITICAL。
    • 键的使用digitalSignature扩展应该被启用。
    • 键的使用keyCertSign扩展应该被启用。


    在JFrog管道中加载自定义CA证书

    ca.crt而且ca.private.key,执行以下步骤在Access和JFrog管道之间创建信任:

    加载自定义CA证书及私钥。

    1. 创建ca.crt把它归档,放在下面JFROG_HOME美元/ artifactory / var /引导/ etc /访问键
    2. 重启Artifactory。
    3. 运行如下命令递归创建管线相关目录:
      Mkdir -p /opt/jfrog/pipelines/var/etc/security/keys/trusted . Mkdir -p /opt/jfrog/pipelines/var/etc/security/keys/trusted . Mkdir -p
    4. 粘贴ca.crt文件,抄袭JFROG_HOME美元/ artifactory / var / etc /访问键,/ opt / jfrog /管道/ var / etc /安全/键/信任

    5. 安装管线并确保https用于所有url:

      Sudo pipelines install \——base-url-ui https:// \——base-url https:// \——artifactory-joinkey  \——install -ip  \——api-url https://:8082/pipelines/api \——www-url https://:30001 \——rabbitmq-url amqp://:30200

      有关安装管线的信息,请参见安装管道

    在安装了Pipelines的所有节点上重复上述步骤。

    在所有附加节点都安装了相同版本的pipeline之后,必须将负载均衡器配置为通过公共基本URI分发请求。

    负载均衡器还可以使用自定义证书进行设置。在这种情况下,这些证书在阴极射线管格式应该加载到JFROG_HOME美元/管道/ var / etc /安全/键/信任

    此外,www-url必须位于负载均衡器后面,以确保web-socket工作。

    • 没有标签
    版权所有©2023 JFrog Ltd。