Megosztás a következőn keresztül:

SSL-konfiguráció

  • Cikk

SSL engedélyezése

Az SSL a CycleCloud telepítési könyvtárában található cycle_server.properties fájl szerkesztésével engedélyezhető. Nyissa meg a cycle_server.properties fájlt egy szövegszerkesztővel, és állítsa be a következő értékeket megfelelően:

# True if SSL is enabled
webServerEnableHttps=true
webServerRedirectHttp=true

Fontos

Vegye figyelembe, hogy a cycle_server.properties fájl szerkesztésekor fontos, hogy először keresse meg a fájlban a már meglévő kulcsérték-definíciókat. Ha több definíció is létezik, az utolsó érvényes.

A CycleCloud alapértelmezett SSL-portja a 8443-as port. Ha titkosított webes kommunikációt szeretne futtatni egy másik porton, a tulajdonságot módosíthatja webServerSslPort az új portértékre. Győződjön meg arról, hogy a webServerSslPort és az webServerPort értékek NEM ÜTKÖZnek.

A cycle_server.properties fájl szerkesztése után újra kell indítania a CycleCloudot a titkosított kommunikációs csatorna aktiválásához:

/opt/cycle_server/cycle_server restart

Feltételezve, hogy nem módosította a CycleCloud SSL-portot a titkosított kommunikációhoz való konfigurálásakor, most már http://<my CycleCloud address>:8443/ ellenőrizheti az SSL-kapcsolatot.

Megjegyzés

Ha a HTTPS URL-cím nem működik, ellenőrizze a CycleCloud Home>/logs/catalina.err és a< CycleCloudHome>/logs/cycle_server.log hibaüzeneteit, amelyek jelezhetik, hogy a titkosított csatorna miért nem válaszol.<

Self-Generated tanúsítványok

Ha nem rendelkezik hitelesítésszolgáltatótól (CA) származó tanúsítvánnyal( például VeriSign), használhatja az Azure CycleCloudhoz biztosított automatikusan létrehozott önaláírt tanúsítványt. Ez egy gyors módszer az SSL díjmentes használatának megkezdésére, de a legtöbb webböngésző figyelmeztetést jelenít meg, amely szerint egy megbízható szolgáltató nem ellenőrizte a csatorna titkosításához használt tanúsítványt. Bizonyos esetekben, például a biztonságos hálózatokon történő belső CycleCloud-üzemelő példányok esetében ez elfogadható. A felhasználóknak kivételt kell hozzáadniuk a böngészőjükhöz a webhely megtekintéséhez, de a tartalom és a munkamenet egyébként a várt módon lesz titkosítva.

Figyelmeztetés

Az Azure CycleCloud önaláírt tanúsítványa rövidebb élettartamú. Ha lejár, a böngészők ismét kibocsátják a nem megbízható SSL-tanúsítványokra vonatkozó figyelmeztetést. A felhasználóknak kifejezetten el kell fogadniuk őket a webkonzol megtekintéséhez.

A Let's Encrypt használata

A CycleCloud támogatja a Let's Encrypt tanúsítványait. A Let's Encrypt és a CycleCloud együttes használatához a következőket kell tennie:

  • SSL engedélyezése a 443-as porton
  • győződjön meg arról, hogy a CycleCloud nyilvánosan elérhető a 443-as porton egy külső tartománynévvel

Engedélyezheti a Let's Encrypt támogatását az "SSL" beállítással a beállítások oldalán, vagy a CycleCloud gépről való futtatással cycle_server keystore automatic DOMAIN_NAME .

CA-Generated-tanúsítványok használata

A hitelesítésszolgáltató által létrehozott tanúsítvány használatával webes hozzáférés érhető el a CycleCloud-telepítéshez a megbízható tanúsítványhiba megjelenítése nélkül. A folyamat elindításához először futtassa a következőt:

./cycle_server keystore create_request <FQDN>

A rendszer kérni fogja, hogy adjon meg egy tartománynevet, amely az aláírt tanúsítvány "Köznapi neve" mezője. Ez létrehoz egy új önaláírt tanúsítványt a megadott tartományhoz, és megír egy cycle_server.csr fájlt. Meg kell adnia a CSR-t egy hitelesítésszolgáltatónak, és ők adják meg a végső aláírt tanúsítványt (amelyet alább server.crt néven nevezünk). Szüksége lesz a főtanúsítványokra és az új tanúsítvány és a főtanúsítvány közötti láncban használt köztes tanúsítványokra is. Ezeket a hitelesítésszolgáltatónak kell megadnia. Ha egyetlen tanúsítványfájlként csomagolva adták meg őket, a következő paranccsal importálhatja őket:

./cycle_server keystore import server.crt

Ha több tanúsítványfájlt is biztosítottak, importálja őket egyszerre, és a neveket ugyanahhoz a parancshoz fűzze szóközökhöz elválasztva:

./cycle_server keystore import server.crt ca_cert_chain.crt

Meglévő tanúsítványok importálása

Ha korábban létrehozott egy hitelesítésszolgáltatói vagy önaláírt tanúsítványt, frissítheti a CycleCloudot, hogy a következő paranccsal használja:

./cycle_server keystore update server.crt

Ha PFX-fájlt szeretne importálni, a következő paranccsal teheti meg a CycleCloud 7.9.7 vagy újabb verziójában:

./cycle_server keystore import_pfx server.pfx --pass PASSWORD

Vegye figyelembe, hogy a PFX-fájl csak egy bejegyzést tartalmazhat.

Végül, ha ezeken a parancsokon kívül módosítja a kulcstárat, azonnal betöltheti a kulcstárat a CycleCloud 7.9.7 vagy újabb verziójában:

./cycle_server keystore reconfig

A CycleCloud konfigurálása natív HTTPS használatára

Alapértelmezés szerint az Azure CycleCloud a szabványos Java IO HTTPS-implementáció használatára van konfigurálva. Ez az alapértelmezett beállítás minden támogatott platformon jól működik.

A Linux-platformokon való futtatás teljesítményének javítása érdekében a CycleCloud opcionálisan konfigurálható a Tomcat natív HTTPS-implementációjának használatára.

A natív HTTPS linuxos engedélyezéséhez adja hozzá a cycle_server.properties fájlhoz az attribútumokat és webServerUseNativeHttps az webServerEnableHttps attribútumokat. Nyissa meg a cycle_server.properties fájlt egy szövegszerkesztővel, és állítsa be a következő értékeket:

# Turn on HTTPS
webServerEnableHttps = true

# Use Native HTTPS connector
webServerUseNativeHttps = true

A TLS 1.0 és 1.1 visszamenőleges kompatibilitása

Alapértelmezés szerint a Java- és natív HTTPS-összekötők úgy lesznek konfigurálva, hogy csak a TLS 1.2 protokollt használják. Ha TLS 1.0 vagy 1.1 protokollt kell kínálnia a régebbi webes ügyfelek számára, akkor a visszamenőleges kompatibilitást is engedélyezheti.

Nyissa meg a cycle_server.properties fájlt egy szövegszerkesztővel, és keresse meg az sslEnabledProtocols attribútumot:

sslEnabledProtocols="TLSv1.2"

Módosítsa az attribútumot a + támogatni kívánt protokollok tagolt listájára.

sslEnabledProtocols="TLSv1.0+TLSv1.1+TLSv1.2"

Titkosítatlan kommunikáció kikapcsolása

A fenti beállítás lehetővé teszi a titkosítatlan (HTTP-) kapcsolatok létrejöttét, de a biztonság érdekében a rendszer átirányítja őket a HTTPS-hez. Előfordulhat, hogy meg szeretné akadályozni a CycleCloud-telepítéshez való titkosítás nélküli hozzáférést. A titkosítatlan kommunikáció kikapcsolásához nyissa meg a cycle_server.properties fájlt egy szövegszerkesztőben. Keresse meg a tulajdonságot webServerEnableHttp , és módosítsa a következőre:

# HTTP
webServerEnableHttp=false

Mentse a módosításokat, és indítsa újra a CycleCloudot. A CycleCloud HTTP-hozzáférése le lesz tiltva.