为jumphotoshoperver堡垒机自签ssl证书的痛苦经历
自签ssl证书
-
创建ssl目录
cd ~ //切换根目录
mkdir ssl //创建ssl目录(颜色为蓝色) -
自签名证书生成
一级证书
openssl genrsa -des3 -out ca.key 2048 //生成自签名证书的私钥ca.key
要求输入密码,要记住该密码后面需要用,在使用证书的地方也需要用
openssl req -new -x509 -days 365 -key ca.key -out ca.crt //生成自签名证书ca.crt -
使用自签名证书签名服务器证书
openssl genrsa -out server.key 2048 //生成服务器私钥server.key
openssl req -new -key server.key -out server.csr //生成服务器证书请求server.csr
openssl -req -days 365 -in server.csr -CA ca.crt -CAkey ca.key -set_serial 01 -out server.crt //生成服务器证书server.crt -
验证证书有效性
openssl x509 -text -noout -in server.crt -
生成证书后需要安装到nginx服务下应用
自签参考这个博主http://www.manongjc.com/detail/25-npanpduoxasuhjh.html
放到外网的做法还需研究
内网堡垒机使用的话其实只需要把刚刚自签的证书放到/opt/jumpserver/config/nginx/cert/
- 上传证书
cd /opt/jumpserver/config/nginx/cert/ //将证书文件上传至该目录下 - 开启SSL端口
vim /opt/jumpserver/config/config.txt
USE_LB=1 //Nginx 配置, USE_LB=1 表示开启, 为 0 的情况下, HTTPS_PORT 定义不生效(一般默认LB置为1) - 修改Nginx配置文件
vim /opt/jumpserver/config/nginx/lb_http_server.conf
upstream http_server {
ip_hash;
server web:80; # 这个是可以通过容器访问, 外部访问是 80端口
server HOST2:80; # 另外的要写真实IP
}
server {
listen 80;
server_name jumpserver.opscn.cn; # 取消注释并自行修改成你自己的域名(内网的话就写ip地址即可)
return 301 https:// s e r v e r n a m e server_name servernamerequest_uri;
}
server {
listen 443 ssl;
server_name jumpserver.opscn.cn; # 取消注释并自行修改成你自己的域名(内网的话就写ip地址即可)
server_tokens off;
ssl_certificate cert/server.crt ; # 修改 server.crt 为你的证书, 不要改路径 certs/(我自签的证书就叫server,所以没有改)
ssl_certificate_key cert/server.key; # 修改 server.key 为你的证书, 不要改路径 certs/(我自签的证书就叫server,所以没有改)
ssl_session_timeout 1d;
ssl_session_cache shared:MozSSL:10m;
ssl_session_tickets off;
ssl_protocols TLSv1.1 TLSv1.2;
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4:!DH:!DHE:!DES:!ECDHE-RSA-DES-CBC3-SHA;
add_header Strict-Transport-Security “max-age=31536000” always;
ssl_prefer_server_ciphers off;
client_max_body_size 5000m;
location / {
proxy_pass http://http_server;
proxy_buffering off;
proxy_request_buffering off;
proxy_http_version 1.1;
proxy_set_header Host $host;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection $http_connection;
proxy_set_header X-Forwarded-For $remote_addr;
proxy_ignore_client_abort on;
proxy_connect_timeout 600;
proxy_send_timeout 600;
proxy_read_timeout 600;
send_timeout 6000;
}
}
- 重新启动jumpserver
cd /opt/jumpserver-installer-v2.16.3(就是当初jumpserver的安装包名字目录)
./jmsctl.sh restart - 最后正常访问即可
参考这个博主https://www.csdn.net/tags/NtzaMgysNDM2MjItYmxvZwO0O0OO0O0O.html
这篇好文章是转载于:学新通技术网
- 版权申明: 本站部分内容来自互联网,仅供学习及演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系,请提供相关证据及您的身份证明,我们将在收到邮件后48小时内删除。
- 本站站名: 学新通技术网
- 本文地址: /boutique/detail/tanhgbfjbi
-
为jumphotoshoperver堡垒机自签ssl证书的痛苦经历
-
No static field INSTANCE of type Lorg/apache/http/conn/ssl/AllowAllHostnameVerifier;
-
九十七、fatal: unable to access ‘httphotoshop://github.com/flasky.git/‘: OpenSSL SSL_read: Conne 解决
-
py的smtplib库收邮件提取验证码信息
-
Windows Server 服务器漏洞SSL/TLS RC4 信息泄露漏洞(CVE-2013-2566) 和 SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808)
-
Nginx | nginx配置httphotoshop
-
photoshop保存的图片太大微信发不了怎么办
PHP中文网 06-15 -
Android 11 保存文件到外部存储,并分享文件
Luke 10-12 -
word里面弄一个表格后上面的标题会跑到下面怎么办
PHP中文网 06-20 -
《学习通》视频自动暂停处理方法
HelloWorld317 07-05 -
photoshop扩展功能面板显示灰色怎么办
PHP中文网 06-14 -
微信公众号没有声音提示怎么办
PHP中文网 03-31 -
excel下划线不显示怎么办
PHP中文网 06-23 -
怎样阻止微信小程序自动打开
PHP中文网 06-13 -
excel打印预览压线压字怎么办
PHP中文网 06-22 -
TikTok加速器哪个好免费的TK加速器推荐
TK小达人 10-01
