客户内部CA
此目录包含内部证书颁发机构(CA)相关脚本帮助创建自己的(测试)CA和证书。
目录
先决条件
我们应该下载docker-compose模板:[下载]
现在我们用easyrsa3辅助工具。这个工具使用openssl,所以它需要安装,如果你不使用一些Linux厂商的打包版。助手脚本调用prepare-cust-ca.sh需要一个额外的工具叫做yq改变部分docker-compose.ymlYAML文件。请确保下载的版本是新鲜的可用!
安装在Debian/Ubuntu上
Sudo add-apt-repository ppa:rmescandon/yq Sudo apt-get update Sudo apt-get install easy-rsa yq
安装在Fedora/Centos/RedHat上
Sudo curl -o /usr/local/bin/yq https://github.com/mikefarah/yq/releases/download/3.4.1/yq_linux_amd64 Sudo chmod a+x /usr/local/bin/yq Sudo yum install epel-release Sudo yum makecache Sudo yum install easy-rsa
安装在OpenSuse/SLES上
Sudo curl -o /usr/local/bin/yq https://github.com/mikefarah/yq/releases/download/3.4.1/yq_linux_amd64 Sudo chmod a+x /usr/local/bin/yq Sudo zypper refresh Sudo zypper install easy-rsa
安装在Alpine
MIRROR_URL=$(grep "main$" /etc/apk/repositories|sed -e 's#\(.*\/alpine\)/.*$#\1#') echo "$MIRROR_URL/edge/community" >> /etc/apk/repositories apk update apk install easy-rsa yq . rsa
创建PKI基础设施
创建自订公开密码匙基础设施(公钥基础设施),我们应该创建一个新的CA,并创建服务器证书,并与创建的CA签署
正在创建目录以启动进程
第一步是创建PKI基础设施。
警告!所有步骤都需要在新创建的目录中开始。
Make-cadir ca-dir CD ca-dir ./easyrsa init-pki
自定义var文件
我们应该改变这些参数:
...set_var EASYRSA_DN "org"…set_var EASYRSA_REQ_COUNTRY "US" set_var EASYRSA_REQ_PROVINCE "California" set_var EASYRSA_REQ_CITY "Los Angeles" set_var EASYRSA_REQ_ORG "Example Startup Company" set_var EASYRSA_REQ_EMAIL "it@examplestartup.com" set_var EASYRSA_REQ_OU "IT Sec group"…set_var EASYRSA_CA_EXPIRE 3650…set_var EASYRSA_CERT_EXPIRE 1080…set_var EASYRSA_NS_SUPPORT“yes”…set_var EASYRSA_NS_COMMENT ""…
创建新CA
如果var文件改得很好,唯一重要的问题是普通的名字(CN)。
./easyrsa build-ca nopass
创建新的服务器证书
这里脚本还询问CN请小心这个。使用通配符(例如:* .examplestartup.com)这里也是允许的。
./easyrsa gen-req server nopass
使用CA签署服务器证书
./easyrsa sign-req server服务器
复制创建的证书
我们应该创建一个名为ssl旁边docker-compose.yaml,复制如下示例的文件,并设置所需的权限:
Mkdir -p SSL cp ca-dir/pki/private/server。关键的ssl /私人。密钥cp ca-dir/pki/issued/server。crt / ssl证书。CRT cat ca-dir/pki/ca。CRT >> ssl/certificate。crt chmod -R a+r ssl/ chmod a+w ssl/
准备.env而且docker-compose.yml
如果我们想在SSL中使用证书,我们需要在.env而在docker-compose.yml也
的变化docker-compose.yml
我们可以用prepare-cust-ca.shShell脚本,它可以扩展docker-compose.yml文件需要的选项。它会改变世界的某些部分.env也要归档。
的变化.env文件
如果需要的话,我们应该编辑文件,并像这样更改行:
...#部署公共域PUBLIC_DOMAIN=platform.examplestartup.com #对外访问的部署公共URL(公共域+协议+端口)PUBLIC_URL=https://platform.examplestartup.com #对外访问的SSO端点公共URL。在大多数情况下,它应该与PUBLIC_URL SSO_PUBLIC_URL=https://platform.examplestartup.com…JHUB_CUSTOM_CA_CERTS = /全/道路/ /平台/ ssl / deb_cacerts /
警告!JHUB_CUSTOM_CA_CERTS必须包含您的平台目录的完整路径,加上ssl / deb_cacerts /子目录。
启动平台
启动过程与文档中描述的相同官方文档.
部署或部署错误后的步骤
删除之前创建的子dirs
如果我们想重新启动RapidMiner Initialization服务的证书转换部分,我们应该删除已创建的子dirs:
Sudo rm -fr ssl/deb_cacerts/ Sudo rm -fr ssl/java_cacerts/ Sudo rm -fr ssl/rh_cacerts/