配置端到端传输安全

本节将帮助您通过使用正确的 SSL/TLS 证书和验证过程来配置和提高代理与服务器通信的安全性。

GoCD 代理允许进行一些配置，以便能够根据不同的安全级别配置和保护端到端传输安全。

默认情况下，代理会信任所有提供给它的证书，这可能会导致中间人攻击（MITM）。如果您希望通过提供自己的服务器证书来进一步提高安全性，则可以在启动代理进程之前选择以下选项之一。

java -jar agent-bootstrapper.jar -serverUrl https://ci.example.com/go [-rootCertFile /path/to/root-cert.pem] [-sslVerificationMode FULL|NONE|NO_VERIFY_HOST] [-sslCertificate /path/to/certificate.pem] [-sslPrivateKey /path/to/private-key.pem] [-sslPrivateKeyPassphraseFile /path/to/private-key-passphrase]

The -rootCertFile选项

The -rootCertFile该选项必须指向来自 GoCD 服务器的根证书（如果使用的是由知名 CA 签名的证书，如果默认 JVM 信任库中包含根证书，则可能不需要传递 rootCertFile）。您可以使用以下方法从 Firefox 导出它：页面信息窗口通过点击证书详细信息页面中的“导出”按钮，如下图所示：

如果您有 openssl 二进制文件可用，则可以运行以下命令从 GoCD 服务器导出根证书：

openssl s_client -showcerts -connect HOSTNAME:PORT </dev/null 2>/dev/null|openssl x509 -outform PEM

The -sslVerificationMode选项

The -sslVerificationMode此选项允许您选择所需的验证级别。

• NONE（默认值）将禁用所有 SSL/TLS 验证。
• NO_VERIFY_HOST将执行证书检查，但忽略服务器主机名的验证。
• FULL将执行完整的证书验证。

The -sslCertificate选项

为了在 GoCD 代理和服务器之间执行双向 TLS，请指定代理应使用的以 PEM 格式的证书以通过 HTTPS 服务器进行身份验证。

The -sslPrivateKey选项

为了在 GoCD 代理和服务器之间执行双向 TLS，请指定代理应使用的以 PEM 格式的私钥，以通过 HTTPS 服务器进行身份验证。

The -sslPrivateKeyPassphraseFile选项

如果私钥使用密码短语加密，请指定包含密码短语的文件。

配置代理

编辑文件wrapper-properties.conf并向其中添加以下行。请参阅安装文档以了解位置。wrapper-properties.conf参考资料：

# wrapper-properties.conf
wrapper.app.parameter.103=-rootCertFile
wrapper.app.parameter.104=/path/to/root-cert.pem
wrapper.app.parameter.105=-sslVerificationMode
wrapper.app.parameter.106=FULL