为Jenkins增加ssl(https)的访问支持(Windows/Linux)

Posted Jim

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了为Jenkins增加ssl(https)的访问支持(Windows/Linux)相关的知识,希望对你有一定的参考价值。

前言:

增加ssl(https)的访问可以为部署在公网下的jenkins提供更安全的问题,最明显的好处应该是登录和jenkins-ci.jar的调用。

比如jenkins-ci.jar的调用,一般在windows下通过明文账号密码的传输请求是非常不安全的;有关windows配置和实践参考以下文章:

http://www.cnblogs.com/EasonJim/p/6086018.html(这篇是关于windows的配置方法)

http://www.cnblogs.com/EasonJim/p/6086168.html(这个是对jenkins-ci.jar的用法实践)

关于自签名证书的不安全性探讨:

参考:http://www.cnblogs.com/EasonJim/p/6640426.html

个人看法,如果要真正安全,可以考虑购买由权威机构颁发的证书;虽然自签名证书不安全,但是我觉得在一定程度上加密的传输流程上会增加破解的难度。

还有什么方法可以代替jenkins在ssl(https)的安全:

我觉得如果在公开的外网访问web上,应该没有比部署ssl更安全的方案。但是可以通过以下技巧使安全得到进一步增强:

1、对于部署到外网的jenkins使用vpn的登录机制,只有公司内部的人员才能有权限登录vpn连接和操作jenkins。

2、全程内网进行管理,不接触外网。

3、如果要调用jenkins-ci.jar功能,在linux下推荐使用ssh的key进行登录去操作。

以下为具体的部署步骤:

原理:使用了java自带的keytool工具来操作。keytool可以走只生成请求证书,然后提供到正规权威机构获取正规证书,也可以生成自签名证书。

1、正规流程申请权威机构正规证书:

keytool放置在jdk的jre/bin文件夹下,如果是windows使用msi安装的jenkins,放置在:C:\\Program Files (x86)\\Jenkins\\jre\\bin

参考:https://wiki.jenkins-ci.org/display/JENKINS/Starting+and+Accessing+Jenkins

以下以windows安装版为讲解步骤

①在服务器上创建一个新的密钥库。这将在当前目录中放置一个“keystore”文件。

C:\\Program Files (x86)\\Jenkins\\jre\\bin>keytool -genkeypair -keysize 2048 -keyalg RSA -alias jenkins -keystore keystore
Enter keystore password:
Re-enter new password:
What is your first and last name?
[Unknown]: server-name.your.company.com
What is the name of your organizational unit?
[Unknown]: Your City
What is the name of your organization?
[Unknown]: Your company name
What is the name of your City or Locality?
[Unknown]: Your city
What is the name of your State or Province?
[Unknown]: Your State
What is the two-letter country code for this unit?
[Unknown]: US
Is CN=server-name.your.company.com, OU=Your City, O=Your company name, L=Your City, ST=Your State, C=US correct?
[no]: yes

Enter key password for <jenkins>
(RETURN if same as keystore password):

②验证密钥库是否已创建(您的指纹会有所不同)

C:\\Program Files (x86)\\Jenkins\\jre\\bin>keytool -list -keystore keystore
Enter keystore password:

Keystore type: JKS
Keystore provider: SUN

Your keystore contains 1 entry

jenkins, May 6, 2015, PrivateKeyEntry,
Certificate fingerprint (SHA1): AA:AA:AA:AA:AA:AA:AA:AA:AA:AA:AA:AA:AA:AA:AA:AA:AA:AA:AA:AA

③创建证书请求。这将在当前目录中创建一个“certreq.csr”文件。

C:\\Program Files (x86)\\Jenkins\\jre\\bin>keytool -certreq -alias jenkins -keyalg RSA -file certreq.csr -keystore keystore
Enter keystore password:

④使用\'certreq.csr\'文件的内容从证书提供者生成证书。请求SHA-1证书(SHA-2未经测试,但可能会工作)。如果使用DigiCert,请将生成的证书下载为其他格式“.p7b文件中的所有证书的.p7b软件包”(这一步就是向正规机构购买证书然后导出p7b的过程)

⑤将生成的.p7b添加到您上面创建的密钥库中。

C:\\Program Files (x86)\\Jenkins\\jre\\bin>keytool -import -alias jenkins -trustcacerts -file response_from_digicert.p7b -keystore keystore
Enter keystore password:
Certificate reply was installed in keystore

⑥将\'keystore\'文件复制到您的Jenkins secrets目录。在股票安装中,这将在

C:\\Program Files (x86)\\Jenkins\\secrets

⑦修改C:\\ Program Files(x86)\\ Jenkins \\ jenkins.xml文件的<arguments>部分以反映新的证书。注意:此示例通过httpPort = -1禁用http,并通过httpsPort = 8443将服务器放置在8443上

<arguments>-Xrs -Xmx256m -Dhudson.lifecycle=hudson.lifecycle.WindowsServiceLifecycle -jar "%BASE%\\jenkins.war" --httpPort=-1 --httpsPort=8443 --httpsKeyStore="%BASE%\\secrets\\keystore" --httpsKeyStorePassword=your.password.here</arguments>

⑧重新启动jenkins服务以初始化新配置。

net stop jenkins
net start jenkins

⑨30-60秒后,Jenkins将完成启动过程,您应该可以访问该网站https://server-name.your.company.com:8443; 通过浏览器的工具验证证书看起来不错。如果服务立即终止,您的配置中会出现错误。有用的错误信息可以在以下位置找到:

C:\\Program Files (x86)\\Jenkins\\jenkins.err.log
C:\\Program Files (x86)\\Jenkins\\jenkins.out.log

注意:以上过程为windows安装版的生成过程,如果使用jdk的keytool去操作,步骤不变,只是路径变了。

2、证书在其它启动方式上的配置:

如果使用war包安装的方式,则将使用如下命令进行启动:

java -jar jenkins.war --httpPort=-1 --httpsPort=443 --httpsKeyStore=path/to/keystore --httpsKeyStorePassword=keystorePassword

可以看出,只要指定https的文件和密码即可。和上面的原理不变。

如果使用tomcat这样的第三方容器,那么原理也是一样的,都是配置容器的https证书的位置。比如tomcat的配置如下:

//修改server.xml文件
<Connector port="443" protocol="org.apache.coyote.http11.Http11Protocol"
minSpareThreads="5" maxSpareThreads="75"
enableLookups="true" disableUploadTimeout="true"
acceptCount="100"  maxThreads="200" SSLEnabled="true" 
scheme="https" secure="true"
keystoreFile="path/to/keystore" keystorePass="keystorePassword"
clientAuth="false" sslProtocol="TLS"/>

同样是修改https证书的位置和密码。

3、使用keytool生成自签名证书

参考:http://www.voidcn.com/blog/taohuagege1/article/p-6488794.html

提示:以下步骤是生成自签名的过程,生成后配置启动参考上面的。

①生成根证书

keytool -genkeypair -alias ROOTCERT -keyalg RSA -keystore rootlib.jks
命令解释:生成一对RSA非对称密钥和一个自签名证书,以别名ROOTCERT存储在rootlib中。
注意:enter后,会提示输入密钥库的使用口令,和填写相关OU,CN等信息。之后会在你的当前工作目录下生成一个rootlib.jks的文件。

②生成证书请求

1)keytool -genkeypair -alias SERVERCERT -keyalg RSA -keystore serverlib.jks (跟①步骤一样)。
注意:此时”您的名字与姓氏是什么” ,需要输入localhost(就是证书请求者的域名)2)keytool -certreq -file server.csr -alias SERVERCERT -keystore serverlib.jks
命令解释:在serverlib文件中从别名为SERVERCERT中取出公钥和用户信息生 成证书请求,并写入到server.csr文件中。之后会在你的当前工作目录下生成一个server.csr的文件。

③用根证书对证书请求签名,生成应用证书

keytool -gencert -infile server.csr -outfile servercert.cer -alias ROOTCERT -keystore rootlib.jks
命令解释:使用别名为ROOTCERT的私钥对server.csr证书请求进行签发证书,并导入到servercert.cer 文件中。

④导出根证书,添加为客户端受信任的根证书颁发机构中

keytool -exportcert -alias ROOTCERT -file root.cer -keystore rootlib.jks
命令解释:从rootlib.jks将别名ROOTCERT的证书导出到root.cer文件中

⑤导入证书到jks文件中

1)我们先要更新serverlib.jks中的证书(用根证书签发好的应用证书--servercert.cer)
keytool -importcert -alias SERVERCERT -file servercert.cer -keystore serverlib.jks
此时会报:无法从回复中建立链(这是因为更新的证书无法信任)。我们先要将根证书导入到serverlib.jks中,使之信任
2)keytool -importcert -alias TRUSTCERT -file root.cer -keystore serverlib.jks
3)这时在执行1)中的命令,即可更新。

注意:更新证书时的别名不能写错,否则keytool工具会认为添加。

⑥配置启动

最后得到serverlib.jks文件就是我们需要的,通过上面的步骤配置启动即可。

 

线索参考:

http://stackoverflow.com/questions/40126736/enable-https-in-jenkins

关键字:keytool生成自签名证书

 

以上是关于为Jenkins增加ssl(https)的访问支持(Windows/Linux)的主要内容,如果未能解决你的问题,请参考以下文章

为Azure DevOps Server (TFS) 配置安全访问(HTTPS with SSL)

Centos7.5 下Nginx配置SSL支持https访问。

Nginx强制跳转Https配置

springboot配置ssl访问https

weblogic支持ssl双向认证配置完成后但是用https访问不起

如何在Nginx中添加SSL证书以支持HTTPS协议访问