jumpserver 设置本地https及相关安全配置

（一）配置https，因为jumpserver为本地部署，所以没有办法采用通常的域名配置https的方法，只能用本地IP来配置https

这里采用开源的mkcert来制作证书，并配置。

一、安装mkcert，先安装 nss-tools工具

sudo yum install nss-tools

二、安装完成后，下载 mkcert 二进制包

安装前，可先到https://github.com/FiloSottile/mkcert/releases项目下看看最新的版本号，引用在下面的命令里，我这里是1.4.3

export VER="v1.4.3" && wget -O mkcert https://github.com/FiloSottile/mkcert/releases/download/${VER}/mkcert-${VER}-linux-amd64

下载文件后，使文件可执行并将二进制文件放在 /usr/local/bin 下面。安装mkcert完成

chmod +x mkcert

sudo mv mkcert /usr/local/bin

三、如何使用 mkcert 生成本地受信任的 SSL 证书

您需要首先在系统信任库中安装本地 CA.

mkcert -install

完成后，您可以开始为您的域名生成 SSL 证书，比如我现在要对jumpserver所以在内网IP192.168.1.12生成证书，这里采用一个虚拟的域名，客户端访问的时候，可以通过修改HOST文件访问，如下：

mkcert 192.168.1.12 jump.aqtvu.cn '*.jump.aqtvu.cn'  localhost 127.0.0.1 ::1

执行完成后，会在当前路径下生成二个文件，分别是以IP开头的KEY.PEM和PEM

下面将这二个文件，替换掉jumpserver中原来的测试证书。

sudo mv *.pem /opt/jumpserver/config/nginx/cert

cd /opt/jumpserver/config/nginx/cert

cp 192.168.1.12+3-key.pem server.key

cp 192.168.1.12+3.pem server.crt

重启jumpserver

./jmsctl.sh restart

（二）修改ssh端口并设置为强制key登录

制作中

END

未经允许不得转载：生于七零年代 » jumpserver 设置本地https及相关安全配置