SSL-konfiguration
Aktivera SSL
SSL kan aktiveras genom att redigera filen cycle_server.properties som finns i cyclecloud-installationskatalogen. Öppna filen cycle_server.properties med en textredigerare och ange följande värden på rätt sätt:
# True if SSL is enabled
webServerEnableHttps=true
webServerRedirectHttp=true
Viktig
Observera att när du redigerar filen cycle_server.properties är det viktigt att du först letar efter befintliga nyckelvärdesdefinitioner i filen. Om det finns mer än en definition gäller senaste en.
Standard-SSL-porten för CycleCloud är port 8443. Om du vill köra krypterad webbkommunikation på någon annan port kan du ändra egenskapen webServerSslPort till det nya portvärdet. Kontrollera att värdena webServerSslPort och webServerPortINTE ÄR KONFLIKTFYLLDA.
När du har redigerat filen cycle_server.properties måste du starta om CycleCloud för att den krypterade kommunikationskanalen ska aktiveras:
/opt/cycle_server/cycle_server restart
Förutsatt att du inte ändrade SSL-porten för CycleCloud när du konfigurerade den för krypterad kommunikation kan du nu gå till http://<my CycleCloud address>:8443/ för att verifiera SSL-anslutningen.
Not
Om HTTPS-URL:en inte fungerar kontrollerar du <CycleCloud Home>/logs/catalina.err och <CycleCloud Home>/logs/cycle_server.log för felmeddelanden som kan tyda på varför den krypterade kanalen inte svarar.
Self-Generated certifikat
Om du inte har ett certifikat från en certifikatutfärdare (CA) som VeriSign kan du använda det automatiskt genererade självsignerade certifikatet som tillhandahålls med Azure CycleCloud. Det här är ett snabbt sätt att börja använda SSL utan kostnad, men de flesta webbläsare visar en varning om att en betrodd utfärdare inte har verifierat certifikatet som används för att kryptera kanalen. I vissa fall, till exempel interna CycleCloud-distributioner i säkra nätverk, är detta acceptabelt. Användarna måste lägga till ett undantag i webbläsaren för att visa webbplatsen, men innehållet och sessionen krypteras annars som förväntat.
Varning
Det självsignerade Azure CycleCloud-certifikatet har en kortare hållbarhetstid. När den upphör att gälla utfärdar webbläsare varningen om att SSL-certifikaten inte är betrodda. Användarna måste uttryckligen acceptera dem för att visa webbkonsolen.
Arbeta med Let's Encrypt
CycleCloud stöder certifikat från Let's Encrypt. Om du vill använda Let's Encrypt med CycleCloud måste du:
- aktivera SSL på port 443
- se till att CycleCloud kan nås offentligt via port 443 med ett externt domännamn
Du kan aktivera Let's Encrypt-stöd med alternativet "SSL" på inställningssidan eller genom att köra cycle_server keystore automatic DOMAIN_NAME från CycleCloud-datorn.
Arbeta med CA-Generated certifikat
Om du använder ett CA-genererat certifikat tillåts webbåtkomst till din CycleCloud-installation utan att det betrodda certifikatfelet visas. Starta processen genom att först köra:
./cycle_server keystore create_request <FQDN>
Du uppmanas att ange ett domännamn, som är fältet "Gemensamt namn" på det signerade certifikatet. Detta genererar ett nytt självsignerat certifikat för den angivna domänen och skriver en cycle_server.csr fil. Du måste ange csr till en certifikatutfärdare och de kommer att tillhandahålla det slutliga signerade certifikatet (som kallas server.crt nedan). Du behöver också rotcertifikaten och eventuella mellanliggande certifikat som används i kedjan mellan det nya certifikatet och rotcertifikatet. Ca:en bör ange dessa åt dig. Om de har angett dem som paketerade som en enda certifikatfil kan du importera dem med följande kommando:
./cycle_server keystore import server.crt
Om de har angett flera certifikatfiler bör du importera alla samtidigt som namnen läggs till i samma kommando, avgränsade med blanksteg:
./cycle_server keystore import server.crt ca_cert_chain.crt
Importera befintliga certifikat
Om du tidigare har skapat en certifikatutfärdare eller ett självsignerat certifikat kan du uppdatera CycleCloud så att det används med följande kommando:
./cycle_server keystore update server.crt
Om du vill importera en PFX-fil kan du göra det med följande kommando i CycleCloud 7.9.7 eller senare:
./cycle_server keystore import_pfx server.pfx --pass PASSWORD
Observera att PFX-filen bara kan innehålla en post. Dessutom krävs argumentet -pass, även om det inte finns något lösenord (använd --pass '' i så fall).
Om du gör ändringar i nyckelarkivet utanför dessa kommandon kan du läsa in nyckelarkivet igen omedelbart i CycleCloud 7.9.7 eller senare:
./cycle_server keystore reconfig
Information om keystore-implementering
Certifikat för CycleCloud lagras i /opt/cycle_server/config/private/keystore, förutom andra certifikat som behövs för drift. Följande är en icke-fullständig lista över de objekt som lagras i nyckelarkivet:
| Alias | Avsikt |
|---|---|
| identitet | Innehåller certifikatkedjan för det användarriktade webbgränssnittet (port 443 eller 8443) |
| klusteridentitet | Innehåller certifikatkedjan för noder för att ansluta till CycleCloud (port 9443) |
| rot | Innehåller certifikatet som används för att signera alla lokala certifikat, inklusive klusteridentitet |
Nyckelarkivet kan inspekteras med Javas nyckelarkivfil. Följande kommando visar till exempel alla objekt i nyckelarkivet:
keytool -list -keystore /opt/cycle_server/config/private/keystore -storepass changeit
De cycle_server kommandona ovan uppdaterar identity alias. Uppdatering av andra poster, inklusive certifikat cluster-identity eller root, stöds INTE .
Nyckelarkivet kan ändras direkt, men det rekommenderas inte. När ändringar görs kräver de i allmänhet en omstart av CycleServer för att träda i kraft.
Varning
Om du ändrar innehållet i nyckelarkivet kan det leda till att kluster inte fungerar! Gör alltid en säkerhetskopia innan du ändrar den.
Lösenordet för nyckelarkivet är changeit och kan inte ändras just nu. Filen är dock läsbar och skrivbar endast av användaren cycle_server.
Bakåtkompatibilitet för TLS 1.0 och 1.1
Som standard konfigureras CycleServer så att endast TLS 1.2-protokollet används. Om du behöver erbjuda TLS 1.0- eller 1.1-protokoll för äldre webbklienter kan du välja bakåtkompatibilitet.
Öppna cycle_server.properties med en textredigerare och leta efter attributet sslEnabledProtocols:
sslEnabledProtocols="TLSv1.2"
Ändra attributet till en + avgränsad lista över protokoll som du vill stödja.
sslEnabledProtocols="TLSv1.0+TLSv1.1+TLSv1.2"
Inaktivera okrypterad kommunikation
Konfigurationen ovan gör att okrypterade anslutningar (HTTP) kan göras, men de omdirigeras till HTTPS för säkerhet.
Du kanske vill förhindra okrypterad åtkomst till din CycleCloud-installation. Om du vill inaktivera okrypterad kommunikation öppnar du filen cycle_server.properties i en textredigerare. Leta efter egenskapen webServerEnableHttp och ändra den till:
# HTTP
webServerEnableHttp=false
Spara ändringarna och starta om CycleCloud. HTTP-åtkomst till CycleCloud inaktiveras.