SSL-konfiguráció
SSL engedélyezése
Az SSL a CycleCloud telepítési könyvtárában található cycle_server.properties fájl szerkesztésével engedélyezhető. Nyissa meg a cycle_server.properties fájlt egy szövegszerkesztővel, és állítsa be a következő értékeket megfelelően:
# True if SSL is enabled
webServerEnableHttps=true
webServerRedirectHttp=true
Fontos
Vegye figyelembe, hogy a cycle_server.properties fájl szerkesztésekor fontos, hogy először keresse meg a fájlban a már meglévő kulcsérték-definíciókat. Ha több definíció is létezik, az utolsó érvényes.
A CycleCloud alapértelmezett SSL-portja a 8443-as port. Ha titkosított webes kommunikációt szeretne futtatni egy másik porton, a tulajdonságot módosíthatja webServerSslPort
az új portértékre. Győződjön meg arról, hogy a webServerSslPort
és az webServerPort
értékek NEM ÜTKÖZnek.
A cycle_server.properties fájl szerkesztése után újra kell indítania a CycleCloudot a titkosított kommunikációs csatorna aktiválásához:
/opt/cycle_server/cycle_server restart
Feltételezve, hogy nem módosította a CycleCloud SSL-portot a titkosított kommunikációhoz való konfigurálásakor, most már http://<my CycleCloud address>:8443/
ellenőrizheti az SSL-kapcsolatot.
Megjegyzés
Ha a HTTPS URL-cím nem működik, ellenőrizze a CycleCloud Home>/logs/catalina.err és a< CycleCloudHome>/logs/cycle_server.log hibaüzeneteit, amelyek jelezhetik, hogy a titkosított csatorna miért nem válaszol.<
Self-Generated tanúsítványok
Ha nem rendelkezik hitelesítésszolgáltatótól (CA) származó tanúsítvánnyal( például VeriSign), használhatja az Azure CycleCloudhoz biztosított automatikusan létrehozott önaláírt tanúsítványt. Ez egy gyors módszer az SSL díjmentes használatának megkezdésére, de a legtöbb webböngésző figyelmeztetést jelenít meg, amely szerint egy megbízható szolgáltató nem ellenőrizte a csatorna titkosításához használt tanúsítványt. Bizonyos esetekben, például a biztonságos hálózatokon történő belső CycleCloud-üzemelő példányok esetében ez elfogadható. A felhasználóknak kivételt kell hozzáadniuk a böngészőjükhöz a webhely megtekintéséhez, de a tartalom és a munkamenet egyébként a várt módon lesz titkosítva.
Figyelmeztetés
Az Azure CycleCloud önaláírt tanúsítványa rövidebb élettartamú. Ha lejár, a böngészők ismét kibocsátják a nem megbízható SSL-tanúsítványokra vonatkozó figyelmeztetést. A felhasználóknak kifejezetten el kell fogadniuk őket a webkonzol megtekintéséhez.
A Let's Encrypt használata
A CycleCloud támogatja a Let's Encrypt tanúsítványait. A Let's Encrypt és a CycleCloud együttes használatához a következőket kell tennie:
- SSL engedélyezése a 443-as porton
- győződjön meg arról, hogy a CycleCloud nyilvánosan elérhető a 443-as porton egy külső tartománynévvel
Engedélyezheti a Let's Encrypt támogatását az "SSL" beállítással a beállítások oldalán, vagy a CycleCloud gépről való futtatással cycle_server keystore automatic DOMAIN_NAME
.
CA-Generated-tanúsítványok használata
A hitelesítésszolgáltató által létrehozott tanúsítvány használatával webes hozzáférés érhető el a CycleCloud-telepítéshez a megbízható tanúsítványhiba megjelenítése nélkül. A folyamat elindításához először futtassa a következőt:
./cycle_server keystore create_request <FQDN>
A rendszer kérni fogja, hogy adjon meg egy tartománynevet, amely az aláírt tanúsítvány "Köznapi neve" mezője. Ez létrehoz egy új önaláírt tanúsítványt a megadott tartományhoz, és megír egy cycle_server.csr fájlt. Meg kell adnia a CSR-t egy hitelesítésszolgáltatónak, és ők adják meg a végső aláírt tanúsítványt (amelyet alább server.crt néven nevezünk). Szüksége lesz a főtanúsítványokra és az új tanúsítvány és a főtanúsítvány közötti láncban használt köztes tanúsítványokra is. Ezeket a hitelesítésszolgáltatónak kell megadnia. Ha egyetlen tanúsítványfájlként csomagolva adták meg őket, a következő paranccsal importálhatja őket:
./cycle_server keystore import server.crt
Ha több tanúsítványfájlt is biztosítottak, importálja őket egyszerre, és a neveket ugyanahhoz a parancshoz fűzze szóközökhöz elválasztva:
./cycle_server keystore import server.crt ca_cert_chain.crt
Meglévő tanúsítványok importálása
Ha korábban létrehozott egy hitelesítésszolgáltatói vagy önaláírt tanúsítványt, frissítheti a CycleCloudot, hogy a következő paranccsal használja:
./cycle_server keystore update server.crt
Ha PFX-fájlt szeretne importálni, a következő paranccsal teheti meg a CycleCloud 7.9.7 vagy újabb verziójában:
./cycle_server keystore import_pfx server.pfx --pass PASSWORD
Vegye figyelembe, hogy a PFX-fájl csak egy bejegyzést tartalmazhat.
Végül, ha ezeken a parancsokon kívül módosítja a kulcstárat, azonnal betöltheti a kulcstárat a CycleCloud 7.9.7 vagy újabb verziójában:
./cycle_server keystore reconfig
A CycleCloud konfigurálása natív HTTPS használatára
Alapértelmezés szerint az Azure CycleCloud a szabványos Java IO HTTPS-implementáció használatára van konfigurálva. Ez az alapértelmezett beállítás minden támogatott platformon jól működik.
A Linux-platformokon való futtatás teljesítményének javítása érdekében a CycleCloud opcionálisan konfigurálható a Tomcat natív HTTPS-implementációjának használatára.
A natív HTTPS linuxos engedélyezéséhez adja hozzá a cycle_server.properties fájlhoz az attribútumokat és webServerUseNativeHttps
az webServerEnableHttps
attribútumokat. Nyissa meg a cycle_server.properties fájlt egy szövegszerkesztővel, és állítsa be a következő értékeket:
# Turn on HTTPS
webServerEnableHttps = true
# Use Native HTTPS connector
webServerUseNativeHttps = true
A TLS 1.0 és 1.1 visszamenőleges kompatibilitása
Alapértelmezés szerint a Java- és natív HTTPS-összekötők úgy lesznek konfigurálva, hogy csak a TLS 1.2 protokollt használják. Ha TLS 1.0 vagy 1.1 protokollt kell kínálnia a régebbi webes ügyfelek számára, akkor a visszamenőleges kompatibilitást is engedélyezheti.
Nyissa meg a cycle_server.properties fájlt egy szövegszerkesztővel, és keresse meg az sslEnabledProtocols
attribútumot:
sslEnabledProtocols="TLSv1.2"
Módosítsa az attribútumot a +
támogatni kívánt protokollok tagolt listájára.
sslEnabledProtocols="TLSv1.0+TLSv1.1+TLSv1.2"
Titkosítatlan kommunikáció kikapcsolása
A fenti beállítás lehetővé teszi a titkosítatlan (HTTP-) kapcsolatok létrejöttét, de a biztonság érdekében a rendszer átirányítja őket a HTTPS-hez.
Előfordulhat, hogy meg szeretné akadályozni a CycleCloud-telepítéshez való titkosítás nélküli hozzáférést. A titkosítatlan kommunikáció kikapcsolásához nyissa meg a cycle_server.properties fájlt egy szövegszerkesztőben. Keresse meg a tulajdonságot webServerEnableHttp
, és módosítsa a következőre:
# HTTP
webServerEnableHttp=false
Mentse a módosításokat, és indítsa újra a CycleCloudot. A CycleCloud HTTP-hozzáférése le lesz tiltva.