(一)配置https,因为jumpserver为本地部署,所以没有办法采用通常的域名配置https的方法,只能用本地IP来配置https
这里采用开源的mkcert来制作证书,并配置。
一、安装mkcert,先安装 nss-tools工具
sudo yum install nss-tools
二、安装完成后,下载 mkcert 二进制包
安装前,可先到https://github.com/FiloSottile/mkcert/releases项目下看看最新的版本号,引用在下面的命令里,我这里是1.4.3
export VER="v1.4.3" && wget -O mkcert https://github.com/FiloSottile/mkcert/releases/download/${VER}/mkcert-${VER}-linux-amd64
下载文件后,使文件可执行并将二进制文件放在 /usr/local/bin 下面。安装mkcert完成
chmod +x mkcert
sudo mv mkcert /usr/local/bin
三、如何使用 mkcert 生成本地受信任的 SSL 证书
您需要首先在系统信任库中安装本地 CA.
mkcert -install
完成后,您可以开始为您的域名生成 SSL 证书,比如我现在要对jumpserver所以在内网IP192.168.1.12生成证书,这里采用一个虚拟的域名,客户端访问的时候,可以通过修改HOST文件访问,如下:
mkcert 192.168.1.12 jump.aqtvu.cn '*.jump.aqtvu.cn' localhost 127.0.0.1 ::1
执行完成后,会在当前路径下生成二个文件,分别是以IP开头的KEY.PEM和PEM
下面将这二个文件,替换掉jumpserver中原来的测试证书。
sudo mv *.pem /opt/jumpserver/config/nginx/cert
cd /opt/jumpserver/config/nginx/cert
cp 192.168.1.12+3-key.pem server.key
cp 192.168.1.12+3.pem server.crt
重启jumpserver
./jmsctl.sh restart
(二)修改ssh端口并设置为强制key登录
制作中
END
未经允许不得转载:生于七零年代 » jumpserver 设置本地https及相关安全配置