JFrog


    云客户?
    免费开始>
    在MyJFrog >中升级
    云有什么新>





    使用旧版本?JFrog Artifactory 6.x|JFrog x射线2.x|JFrog任务控制3.x|JFrog Distribution 1.x|


    跳到元数据的末尾
    进入元数据的开始

    概述

    使用CA (Certificate Authority)有三种方式:

    • Access服务器可以充当CA,在这种情况下,您不需要提供自己的证书。
    • 您可以向Access提供您公司的CA证书,然后让Access使用该证书对服务器证书进行签名。
    • 或者,您可以提供自己的签名服务器证书,而不需要Access参与操作。
    页面内容

    设置TLS

    设置TLS协议的步骤如下。

    • 在JFrog平台上启用TLS
    • 设置TLS证书:向平台指示使用哪种TLS证书

    启用安全cookie的方法是在访问时启用TLS。当您使用HTTPS时,JDP将阻止对应用程序(HTTP)的不安全访问,并将安全标志添加到所有JDP cookie。

    步骤1:在JFrog平台中启用TLS

    缺省情况下,JFrog平台的TLS为禁用启用TLS后,所有到JFrog平台的通信都需要使用TLS,包括平台内的服务到服务通信。在JFrog平台中,Access充当CA并签署所有不同JFrog平台服务使用的TLS证书。

    需要在TLS证书中设置的任何选项都需要启用TLS(请参阅下文)。

    中设置TLS条目(在security部分下),启用TLS访问YAML配置文件到'真正的并将其重命名为access.config.import.yml

    Security: tls: true
    • 对于Artifactory节点,根CA通过数据库自动分发,不需要手动复制Access根CA。
      对于每个其他JFrog产品节点,手动将Access根CA复制到该位置,JFROG_HOME美元/{产品}/ var / etc /安全/键/信任.例如,将Access根CA拷贝到JFROG_HOME美元/ x光/ var / etc /安全/键/信任x光。

    • 如果需要通过外部服务器(例如负载均衡器)对Access CA设置信任,则需要将Access根CA文件加载到外部服务密钥存储库。

    步骤2:设置TLS证书

    选项1:使用Access作为根CA,使用Access生成的自签名CA证书

    1. 启用TLS后(请参阅上面的步骤1),重新启动Artifactory节点,并让路由器使用Access生成自签名证书。
    2. 通过设置在Artifactory上启用TLSartifactory.tomcat.httpsConnector.enabledsystem.yaml文件真正的
    3. 重新启动Artifactory节点。

    选项2:提供您自己的签名证书

    先决条件

    当提供您自己的自定义TLS证书时,您将需要提供匹配的私钥。该证书将用于端口8081 (Artifactory)而且8082(平台路由器)。

    默认情况下,JFrog平台(来自Artifactory 7。X及以上)需要两个公共端口。您需要确保两个端口使用相同的证书。

    • 8081:由Artifactory(即Tomcat)服务
    • 8082:路由器服务
    使用带有Artifactory和路由器端口的自定义TLS证书

    如果您不是第一次启动应用程序,则需要手动创建/router/keys/文件夹。

    1. 将证书和密钥文件复制到引导/路由器/键/ custom-server.crt而且引导/路由器/键/ custom-server.key

      • custom-server.key私钥文件

      • custom-server.crt是证书文件

        重要的

        这些文件应该完全按照上面的名称命名。

    2. 复制自定义TLS证书的CA等/安全/键/相信/

    3. 重新启动Artifactory节点,并让路由器使用引导证书。
    4. 通过设置在Artifactory上启用TLSartifactory.tomcat.httpsConnector.enabled真正的(在system.yaml文件).
    5. 重新启动Artifactory节点。
    6. 复制自定义TLS证书的CA等/安全/键/相信/在同一个JPD中安装的所有JFrohth华体会最新官方网站g产品节点。
    7. 如果适用,请将CA复制到负载均衡器。

    自定义证书和CA先决条件

    自定义证书必须满足以下先决条件:

    • 私钥必须使用RSA算法
    • 私钥长度至少为1024位
    • 证书必须与提供的私钥匹配
    • 证书的颁发者必须与CA证书主题匹配
    • 证书的主题必须与财产相匹配shared.node.ipsystem.yaml
    • 证书的主题替代名称(SAN)必须包含证书的主题
    • 键使用扩展名应该标记为CRITICAL
    • 键的使用digitalSignature扩展应该被启用
    • 键的使用keyEncipherment扩展应该被启用
    • 扩展密钥使用tlsWebServerAuthentication应该启用
    • 扩展密钥使用tlsWebClientAuthentication应该启用

    自定义CA证书必须满足以下前提条件:

    • 私钥必须使用RSA算法
    • 私钥长度至少为1024位
    • 证书必须与提供的私钥匹配
    • 证书有效期至少为7天
    • 证书必须用CA基本约束标记
    • 不应该设置SAN
    • 键使用扩展名应该标记为CRITICAL
    • 键的使用digitalSignature扩展应该被启用
    • 键的使用keyCertSign扩展应该被启用
    • 证书的CN应该是IP(而不是域名)。
    • IP应该与主题替代名称(SAN)中的IP集匹配。

    禁用TLS

    如果未启用TLS,则不需要采取任何步骤,路由器和Artifactory上都不会启用TLS。


    选项3:向访问提供自定义CA证书

    您可以提供一个自定义CA证书和匹配的私钥,供Access使用,用于签署所有不同的JFrog平台节点使用的TLS证书。

    自定义CA前提条件

    自定义CA证书必须满足中描述的先决条件选项2以上。

    加载自定义CA证书及私钥。

    1. 创建ca.crt而且ca.private.key把它们放在下面JFROG_HOME美元/ artifactory / var /引导/ etc /访问键
    2. 重启Artifactory。

    生成新的Access CA证书

    在某些场景中,您可能希望强制Access生成一个新的CA证书。强制JFrog Access重新生成CA证书和匹配的私钥,请执行以下操作。

    1. 创建一个reset_ca_keys把它归档,放在下面JFROG_HOME美元/ artifactory / var /引导/ etc /访问键
    2. 重启Artifactory。
    3. 如果您已经在Artifactory和其他JFrog平台节点之间设置了TLS,请复制新的TLSca.crt受信任的目录上所有JFrog平台节点。
    • 没有标签
    版权所有©2022 JFrog Ltd.