设置TLS
设置TLS协议的步骤如下。
- 在JFrog平台上启用TLS
- 设置TLS证书:向平台指示使用哪种TLS证书
启用安全cookie的方法是在访问时启用TLS。当您使用HTTPS时,JDP将阻止对应用程序(HTTP)的不安全访问,并将安全标志添加到所有JDP cookie。
步骤1:在JFrog平台中启用TLS
缺省情况下,JFrog平台的TLS为禁用.启用TLS后,所有到JFrog平台的通信都需要使用TLS,包括平台内的服务到服务通信。在JFrog平台中,Access充当CA并签署所有不同JFrog平台服务使用的TLS证书。
需要在TLS证书中设置的任何选项都需要启用TLS(请参阅下文)。
中设置TLS条目(在security部分下),启用TLS访问YAML配置文件到'真正的
并将其重命名为access.config.import.yml
.
Security: tls: true
- 对于Artifactory节点,根CA通过数据库自动分发,不需要手动复制Access根CA。
对于每个其他JFrog产品节点,手动将Access根CA复制到该位置,JFROG_HOME美元/{产品}/ var / etc /安全/键/信任
.例如,将Access根CA拷贝到JFROG_HOME美元/ x光/ var / etc /安全/键/信任
x光。 如果需要通过外部服务器(例如负载均衡器)对Access CA设置信任,则需要将Access根CA文件加载到外部服务密钥存储库。
步骤2:设置TLS证书
选项1:使用Access作为根CA,使用Access生成的自签名CA证书
- 启用TLS后(请参阅上面的步骤1),重新启动Artifactory节点,并让路由器使用Access生成自签名证书。
- 通过设置在Artifactory上启用TLS
artifactory.tomcat.httpsConnector.enabled
在system.yaml
文件真正的. - 重新启动Artifactory节点。
选项2:提供您自己的签名证书
先决条件
当提供您自己的自定义TLS证书时,您将需要提供匹配的私钥。该证书将用于端口8081 (Artifactory)而且8082(平台路由器)。
默认情况下,JFrog平台(来自Artifactory 7。X及以上)需要两个公共端口。您需要确保两个端口使用相同的证书。
- 8081:由Artifactory(即Tomcat)服务
- 8082:路由器服务
使用带有Artifactory和路由器端口的自定义TLS证书
如果您不是第一次启动应用程序,则需要手动创建/router/keys/文件夹。
将证书和密钥文件复制到
引导/路由器/键/ custom-server.crt
而且引导/路由器/键/ custom-server.key
.custom-server.key
私钥文件custom-server.crt
是证书文件重要的
这些文件应该完全按照上面的名称命名。
复制自定义TLS证书的CA
等/安全/键/相信/
.- 重新启动Artifactory节点,并让路由器使用引导证书。
- 通过设置在Artifactory上启用TLS
artifactory.tomcat.httpsConnector.enabled
来真正的(在system.yaml
文件). - 重新启动Artifactory节点。
- 复制自定义TLS证书的CA
等/安全/键/相信/
在同一个JPD中安装的所有JFrohth华体会最新官方网站g产品节点。 - 如果适用,请将CA复制到负载均衡器。
自定义证书和CA先决条件
自定义证书必须满足以下先决条件:
- 私钥必须使用RSA算法
- 私钥长度至少为1024位
- 证书必须与提供的私钥匹配
- 证书的颁发者必须与CA证书主题匹配
- 证书的主题必须与财产相匹配
shared.node.ip
从system.yaml
- 证书的主题替代名称(SAN)必须包含证书的主题
- 键使用扩展名应该标记为CRITICAL
- 键的使用
digitalSignature
扩展应该被启用 - 键的使用
keyEncipherment
扩展应该被启用 - 扩展密钥使用
tlsWebServerAuthentication
应该启用 - 扩展密钥使用
tlsWebClientAuthentication
应该启用
自定义CA证书必须满足以下前提条件:
- 私钥必须使用RSA算法
- 私钥长度至少为1024位
- 证书必须与提供的私钥匹配
- 证书有效期至少为7天
- 证书必须用CA基本约束标记
- 不应该设置SAN
- 键使用扩展名应该标记为CRITICAL
- 键的使用
digitalSignature
扩展应该被启用 - 键的使用
keyCertSign
扩展应该被启用 - 证书的CN应该是IP(而不是域名)。
- IP应该与主题替代名称(SAN)中的IP集匹配。
禁用TLS
如果未启用TLS,则不需要采取任何步骤,路由器和Artifactory上都不会启用TLS。
选项3:向访问提供自定义CA证书
您可以提供一个自定义CA证书和匹配的私钥,供Access使用,用于签署所有不同的JFrog平台节点使用的TLS证书。
自定义CA前提条件
自定义CA证书必须满足中描述的先决条件选项2以上。
加载自定义CA证书及私钥。
- 创建
ca.crt
而且ca.private.key
把它们放在下面JFROG_HOME美元/ artifactory / var /引导/ etc /访问键
. - 重启Artifactory。
生成新的Access CA证书
在某些场景中,您可能希望强制Access生成一个新的CA证书。强制JFrog Access重新生成CA证书和匹配的私钥,请执行以下操作。
- 创建一个
reset_ca_keys
把它归档,放在下面JFROG_HOME美元/ artifactory / var /引导/ etc /访问键
. - 重启Artifactory。
- 如果您已经在Artifactory和其他JFrog平台节点之间设置了TLS,请复制新的TLS
ca.crt
到受信任的
目录上所有JFrog平台节点。