端到端传输安全

    您的查询搜索没有结果。

    配置端到端传输安全

    本节将帮助您通过使用正确的 SSL/TLS 证书和验证过程来配置和提高代理与服务器通信的安全性。

    GoCD 代理允许进行一些配置,以便能够根据不同的安全级别配置和保护端到端传输安全。

    默认情况下,代理会信任所有提供给它的证书,这可能会导致中间人攻击(MITM)。如果您希望通过提供自己的服务器证书来进一步提高安全性,则可以在启动代理进程之前选择以下选项之一。

    java -jar agent-bootstrapper.jar -serverUrl https://ci.example.com/go [-rootCertFile /path/to/root-cert.pem] [-sslVerificationMode FULL|NONE|NO_VERIFY_HOST] [-sslCertificate /path/to/certificate.pem] [-sslPrivateKey /path/to/private-key.pem] [-sslPrivateKeyPassphraseFile /path/to/private-key-passphrase]

    The -rootCertFile选项

    The -rootCertFile该选项必须指向来自 GoCD 服务器的根证书(如果使用的是由知名 CA 签名的证书,如果默认 JVM 信任库中包含根证书,则可能不需要传递 rootCertFile)。您可以使用以下方法从 Firefox 导出它:页面信息窗口通过点击证书详细信息页面中的“导出”按钮,如下图所示:

    Download TLS certificate from GoCD server using Firefox

    如果您有 openssl 二进制文件可用,则可以运行以下命令从 GoCD 服务器导出根证书:

    openssl s_client -showcerts -connect HOSTNAME:PORT </dev/null 2>/dev/null|openssl x509 -outform PEM
    

    The -sslVerificationMode选项

    The -sslVerificationMode此选项允许您选择所需的验证级别。

    • NONE(默认值)将禁用所有 SSL/TLS 验证。
    • NO_VERIFY_HOST将执行证书检查,但忽略服务器主机名的验证。
    • FULL将执行完整的证书验证。

    The -sslCertificate选项

    为了在 GoCD 代理和服务器之间执行双向 TLS,请指定代理应使用的以 PEM 格式的证书以通过 HTTPS 服务器进行身份验证。

    The -sslPrivateKey选项

    为了在 GoCD 代理和服务器之间执行双向 TLS,请指定代理应使用的以 PEM 格式的私钥,以通过 HTTPS 服务器进行身份验证。

    The -sslPrivateKeyPassphraseFile选项

    如果私钥使用密码短语加密,请指定包含密码短语的文件。

    配置代理

    编辑文件wrapper-properties.conf并向其中添加以下行。请参阅安装文档以了解位置。wrapper-properties.conf参考资料:

    # wrapper-properties.conf
    wrapper.app.parameter.103=-rootCertFile
    wrapper.app.parameter.104=/path/to/root-cert.pem
    wrapper.app.parameter.105=-sslVerificationMode
    wrapper.app.parameter.106=FULL