У меня есть сервер Fedora с Jenkins, который я устанавливаю через yum. Все в порядке, я могу получить к нему доступ с помощью http://ci.mydomain.com.
Но теперь я хочу получить к нему доступ с помощью https://ci.mydomain.com поэтому логин с именем пользователя и паролем зашифрован.
Как я могу это сделать?
Следующее мое /etc/sysconfig/jenkins файл. Запуск Jenkins работает, но я не могу получить доступ к Jenkins через веб-браузер с https://ci.mydomain.com или http://ci.mydomain.com:443, ...
## Path: Development/Jenkins
## Description: Configuration for the Jenkins continuous build server
## Type: string
## Default: "/var/lib/jenkins"
## ServiceRestart: jenkins
#
# Directory where Jenkins store its configuration and working
# files (checkouts, build reports, artifacts, ...).
#
JENKINS_HOME="/var/lib/jenkins"
## Type: string
## Default: ""
## ServiceRestart: jenkins
#
# Java executable to run Jenkins
# When left empty, we'll try to find the suitable Java.
#
JENKINS_JAVA_CMD=""
## Type: string
## Default: "jenkins"
## ServiceRestart: jenkins
#
# Unix user account that runs the Jenkins daemon
# Be careful when you change this, as you need to update
# permissions of $JENKINS_HOME and /var/log/jenkins.
#
JENKINS_USER="jenkins"
## Type: string
## Default: "-Djava.awt.headless=true"
## ServiceRestart: jenkins
#
# Options to pass to java when running Jenkins.
#
JENKINS_JAVA_OPTIONS="-Djava.awt.headless=true"
## Type: integer(0:65535)
## Default: 8080
## ServiceRestart: jenkins
#
# Port Jenkins is listening on.
#
JENKINS_PORT="8080"
## Type: integer(1:9)
## Default: 5
## ServiceRestart: jenkins
#
# Debug level for logs -- the higher the value, the more verbose.
# 5 is INFO.
#
JENKINS_DEBUG_LEVEL="5"
## Type: yesno
## Default: no
## ServiceRestart: jenkins
#
# Whether to enable access logging or not.
#
JENKINS_ENABLE_ACCESS_LOG="no"
## Type: integer
## Default: 100
## ServiceRestart: jenkins
#
# Maximum number of HTTP worker threads.
#
JENKINS_HANDLER_MAX="100"
## Type: integer
## Default: 20
## ServiceRestart: jenkins
#
# Maximum number of idle HTTP worker threads.
#
JENKINS_HANDLER_IDLE="20"
## Type: string
## Default: ""
## ServiceRestart: jenkins
#
# Pass arbitrary arguments to Jenkins.
# Full option list: java -jar jenkins.war --help
#
JENKINS_ARGS="--httpsPort=443 --httpsKeyStore=/root/.keystore --httpsKeyStorePassword=MYPASSWORD"
На всякий случай, если вы используете Nginx, а не Apache, вы можете использовать proxy_redirect http:// https://; чтобы переписать заголовок Location, когда ответ приходит от Jenkins.
Полная настройка nginx, в которой SSL завершается с помощью Nginx и внутренним прокси передается Jenkins с использованием 8080, может выглядеть так:
upstream jenkins {
server 127.0.0.1:8080 fail_timeout=0;
}
server {
listen 80 default;
server_name 127.0.0.1 *.mydomain.com;
rewrite ^ https://$server_name$request_uri? permanent;
}
server {
listen 443 default ssl;
server_name 127.0.0.1 *.mydomain.com;
ssl_certificate /etc/ssl/certs/my.crt;
ssl_certificate_key /etc/ssl/private/my.key;
ssl_session_timeout 5m;
ssl_protocols SSLv3 TLSv1;
ssl_ciphers HIGH:!ADH:!MD5;
ssl_prefer_server_ciphers on;
# auth_basic "Restricted";
# auth_basic_user_file /home/jenkins/htpasswd;
location / {
proxy_set_header Host $http_host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-Proto https;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_redirect http:// https://;
add_header Pragma "no-cache";
proxy_pass http://jenkins;
}
}
Эта страница должна помочь вам настроить его за Apache (который будет обрабатывать HTTPS): https://wiki.eclipse.org/Hudson-ci/Running_Hudson_behind_Apache
Помимо «обычного» обратного прокси, вам понадобится это (как показано на этой странице):
Header edit Location ^http://www.example.com/hudson/ https://www.example.com/hudson/
Обратите внимание, что (когда-нибудь?) Jenkins может сгенерировать ключ для вас, все, что вам нужно сделать, это установить --httpsPort=(portnum) параметр в JENKINS_ARGS.
В моем случае я установил JENKINS_PORT="-1" (отключить http) и установить --httpsPort=8080 что хорошо сработало для моих целей.
Просто обратите внимание, что для любого порта ниже 1000 обычно требуется root-доступ, поэтому выберите порт выше этого ...
(Ссылка на сайт для получения дополнительной информации)
Для сервера Ubuntu (при условии, что вы установили с apt-get install jenkins):
Вы хотите отредактировать /etc/default/jenkins в нижней части файла отредактируйте Jenkins_args. В своих аргументах я отключил HTTP-доступ (с помощью -1) и поставил SSL на порт Jenkins по умолчанию (8080). Самая важная часть здесь заключается в том, что вы отправили httpsPort и сертификат / ключ (если он у вас есть, в противном случае вы можете оставить их для самостоятельно созданного). Я помещаю crts в apache, а затем использую их для обоих, но вы можете разместить их где угодно.
JENKINS_ARGS="--webroot=/var/cache/jenkins/war --httpsPort=$HTTP_PORT --httpPort=-1 --httpsCertificate=/etc/apache2/ssl.crt/CERT.crt --httpsPrivateKey=/etc/apache2/ssl.key/KEY.key --ajp13Port=$AJP_PORT"
В некоторых случаях вам придется использовать хранилище ключей Java. Сначала преобразуйте свои ключи:
openssl pkcs12 -inkey /var/lib/jenkins/jenkins.key.pem -in /var/lib/jenkins/jenkins.crt.pem -export -out keys.pkcs12
keytool -importkeystore -srckeystore keys.pkcs12 -srcstoretype pkcs12 -destkeystore jenkins.jks
Теперь используйте аргументы Jenkins вроде
JENKINS_ARGS="--webroot=/var/cache/$NAME/war --httpsPort=$HTTP_PORT --httpPort=-1 --httpsKeyStore=/etc/apache2/ssl.crt/jenkins.jks --httpsKeyStorePassword=thePassword --ajp13Port=$AJP_PORT"