云客户?
免费开始>
在MyJFrog >中升级
云有什么新>





概述

使用CA (Certificate Authority)有三种方式:

  • Access服务器可以充当CA,在这种情况下,您不需要提供自己的证书。
  • 您可以向Access提供您公司的CA证书,然后让Access使用该证书对服务器证书进行签名。
  • 或者,您可以提供自己的签名服务器证书,而不需要Access参与操作。
页面内容


设置TLS

设置TLS协议的步骤如下。

  • 在JFrog平台上启用TLS
  • 设置TLS证书:向平台指示使用哪种TLS证书

启用安全cookie的方法是在访问时启用TLS。当您使用HTTPS时,JDP将阻止对应用程序(HTTP)的不安全访问,并将安全标志添加到所有JDP cookie。

步骤1:在JFrog平台中启用TLS

缺省情况下,JFrog平台的TLS为禁用启用TLS后,所有到JFrog平台的通信都需要使用TLS,包括平台内的服务到服务通信。在JFrog平台中,Access充当CA并签署所有不同JFrog平台服务使用的TLS证书。

需要在TLS证书中设置的任何选项都需要启用TLS(请参阅下文)。

中设置TLS条目(在security部分下),启用TLS访问YAML配置文件到'真正的并将其重命名为access.config.import.yml

Security: tls: true
  • 对于Artifactory节点,根CA通过数据库自动分发,不需要手动复制Access根CA。
    对于每个其他JFrog产品节点,手动将Access根CA复制到该位置,JFROG_HOME美元/{产品}/ var / etc /安全/键/信任.例如,将Access根CA拷贝到JFROG_HOME美元/ x光/ var / etc /安全/键/信任x光。
  • 如果需要通过外部服务器(例如负载均衡器)对Access CA设置信任,则需要将Access根CA文件加载到外部服务密钥存储库。

步骤2:设置TLS证书

选项1:使用Access作为根CA,使用Access生成的自签名CA证书

  1. 启用TLS后(请参阅上面的步骤1),重新启动Artifactory节点,并让路由器使用Access生成自签名证书。
  2. 通过设置在Artifactory上启用TLSartifactory.tomcat.httpsConnector.enabledsystem.yaml文件真正的
  3. 重新启动Artifactory节点。

选项2:提供您自己的签名证书

先决条件

当提供您自己的自定义TLS证书时,您将需要提供匹配的私钥。该证书将用于端口8081 (Artifactory)而且8082(平台路由器)。

默认情况下,JFrog平台(来自Artifactory 7。X及以上)需要两个公共端口。您需要确保两个端口使用相同的证书。

  • 8081:由Artifactory(即Tomcat)服务
  • 8082:路由器服务
使用带有Artifactory和路由器端口的自定义TLS证书

如果您不是第一次启动应用程序,则需要手动创建/router/keys/文件夹。

  1. 将证书和密钥文件复制到引导/路由器/键/ custom-server.crt而且引导/路由器/键/ custom-server.key

    • custom-server.key私钥文件
    • custom-server.crt是证书文件

      重要的

      这些文件应该完全按照上面的名称命名。

  2. 复制自定义TLS证书的CA等/安全/键/相信/

  3. 重新启动Artifactory节点,并让路由器使用引导证书。
  4. 通过设置在Artifactory上启用TLSartifactory.tomcat.httpsConnector.enabled真正的(在system.yaml文件).
  5. 重新启动Artifactory节点。
  6. 复制自定义TLS证书的CA等/安全/键/相信/在同一个JPD中安装的所有JFrohth华体会最新官方网站g产品节点。
  7. 如果适用,请将CA复制到负载均衡器。

自定义证书和CA先决条件

自定义证书必须满足以下先决条件:

  • 私钥必须使用RSA算法
  • 私钥长度至少为1024位
  • 证书必须与提供的私钥匹配
  • 证书的颁发者必须与CA证书主题匹配
  • 证书的主题必须与财产相匹配shared.node.ipsystem.yaml
  • 证书的主题替代名称(SAN)必须包含证书的主题
  • 键使用扩展名应该标记为CRITICAL
  • 键的使用digitalSignature扩展应该被启用
  • 键的使用keyEncipherment扩展应该被启用
  • 扩展密钥使用tlsWebServerAuthentication应该启用
  • 扩展密钥使用tlsWebClientAuthentication应该启用

自定义CA证书必须满足以下前提条件:

  • 私钥必须使用RSA算法
  • 私钥长度至少为1024位
  • 证书必须与提供的私钥匹配
  • 证书有效期至少为7天
  • 证书必须用CA基本约束标记
  • 不应该设置SAN
  • 键使用扩展名应该标记为CRITICAL
  • 键的使用digitalSignature扩展应该被启用
  • 键的使用keyCertSign扩展应该被启用
  • 证书的CN应该是IP(而不是域名)。
  • IP应该与主题替代名称(SAN)中的IP集匹配。

禁用TLS

如果未启用TLS,则不需要采取任何步骤,路由器和Artifactory上都不会启用TLS。


选项3:向访问提供自定义CA证书

您可以提供一个自定义CA证书和匹配的私钥,供Access使用,用于签署所有不同的JFrog平台节点使用的TLS证书。

自定义CA前提条件

自定义CA证书必须满足中描述的先决条件选项2以上。

加载自定义CA证书及私钥。

  1. 创建ca.crt而且ca.private.key把它们放在下面JFROG_HOME美元/ artifactory / var /引导/ etc /访问键
  2. 重启Artifactory。

生成新的Access CA证书

在某些场景中,您可能希望强制Access生成一个新的CA证书。强制JFrog Access重新生成CA证书和匹配的私钥,请执行以下操作。

  1. 创建一个reset_ca_keys把它归档,放在下面JFROG_HOME美元/ artifactory / var /引导/ etc /访问键
  2. 重启Artifactory。
  3. 如果您已经在Artifactory和其他JFrog平台节点之间设置了TLS,请复制新的TLSca.crt受信任的目录上所有JFrog平台节点。
  • 没有标签
版权所有©2022 JFrog Ltd.