给Jenkins加https证书

最新推荐文章于 2025-09-17 14:39:14 发布
原创 最新推荐文章于 2025-09-17 14:39:14 发布 · 3.5k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#https #jenkins

本文详细介绍了如何为Jenkins添加HTTPS证书的步骤,包括生成CA私钥、服务器证书请求文件,以及解决在转换和导入过程中遇到的问题,如pkcs12转jks报错、证书链建立、Subject Alternative Name缺失等。

一、步骤详解

1. 生成CA私钥

openssl genrsa -out CA/cakey.pem 2048

2. 使用CA私钥生成CA证书

openssl req -new -x509 -key CA/cakey.pem -out cacert.pem (需指定一个密码)

3. 生成服务器私钥

openssl genrsa -out CA/private/server.key 2048

4. 生成服务器证书请求文件

openssl req -new -key CA/private/server.key -out CA/certs/server.csr (需指定一个密码) (需指定一个challenge password)

5. 使用CA私钥生成服务器证书(openssl ca,此处的ca引用的是openssl.cnf配置文件里private_key指向的私钥文件)

openssl ca -in CA/certs/server.csr -out CA/certs/server.crt

6. 将服务器私钥文件和证书文件转成pkcs12格式(p12格式封装包含私钥和证书)

openssl pkcs12 -export -in CA/certs/server.crt -inkey CA/private/server.key -out CA/server.p12 (需指定一个密码)

7. 将pkcs12格式转换为jks格式

keytool -importkeystore -v -srckeystore server.p12 -srcstoretype pkcs12 -srcstorepass 第6步给p12设置的密码 -destkeystore keystore -deststoretype jks -deststorepass 给keystore设置的新密码

8. 将keystore文件复制到Jenkins secrets目录

C:\Program Files (x86)\Jenkins\secrets

9. 修改jenkins.xml配置文件,以启用https访问

原:<arguments>-Xrs -Xmx256m -Dhudson.lifecycle=hudson.lifecycle.WindowsServiceLifecycle -jar "%BASE%\jenkins.war" --httpPort=8080 --webroot="%BASE%\war"</arguments>

新:<arguments>-Xrs -Xmx256m -Dhudson.lifecycle=hudson.lifecycle.WindowsServiceLifecycle -jar "%BASE%\jenkins.war" --httpPort=-1 --httpsPort=443 --httpsKeyStore="%BASE%\secrets\keystore" --httpsKeyStorePassword=1234abcd --webroot="%BASE%\war"</arguments>

10. 重启jenkins

11. CA证书pem格式转换成crt格式

openssl x509 -outform der -in cacert.pem -out ca.crt

12. 用户浏览器安装ca.crt证书,使用https://xxx访问jenkins

二、遇到的问题

1. pkcs12在转换为jks格式时候报错(未找到原因):

错误信息:

keytool error: java.io.IOException: parseAlgParameters failed: ObjectIdentifier() -- data isn't an object ID (tag = 48)

java.io.IOException: parseAlgParameters failed: ObjectIdentifier() -- data isn't an object ID (tag = 48)

        at sun.security.pkcs12.PKCS12KeyStore.parseAlgParameters(Unknown Source)

        at sun.security.pkcs12.PKCS12KeyStore.engineLoad(Unknown Source)

        at java.security.KeyStore.load(Unknown Source)

        at sun.security.tools.keytool.Main.loadSourceKeyStore(Unknown Source)

        at sun.security.tools.keytool.Main.doImportKeyStore(Unknown Source)

        at sun.security.tools.keytool.Main.doCommands(Unknown Source)

        at sun.security.tools.keytool.Main.run(Unknown Source)

        at sun.security.tools.keytool.Main.main(Unknown Source)

Caused by: java.io.IOException: ObjectIdentifier() -- data isn't an object ID (tag = 48)

        at sun.security.util.ObjectIdentifier.<init>(Unknown Source)

        at sun.security.util.DerInputStream.getOID(Unknown Source)

        at com.sun.crypto.provider.PBES2Parameters.engineInit(PBES2Parameters.java:267)

        at java.security.AlgorithmParameters.init(Unknown Source)

        ... 8 more

原因:未找到

解决办法:使用keytool生成服务器私钥和证书请求文件

上面步骤里的3-7步改为:

③生成一个名为jenkins的私钥和证书对,存在keystore里

>keytool -genkeypair -keysize 2048 -keyalg RSA -alias jenkins -keystore keystore (需为keystore指定一个密码)

④生成服务器证书请求文件

>keytool" -certreq -alias jenkins -keyalg RSA -file jenkins.csr -keystore keystore

⑤生成服务器证书

>openssl ca -in jenkins.csr -out jenkins.crt

⑥将CA证书导入keystore

>keytool -import -alias root -file CA/cacert.pem -keystore keystore

⑦将生成的服务器证书导入keystore,替换原有的证书(此步骤前必须先导入CA证书,keystore需要证书链)

>keytool -import -alias jenkins -trustcacerts -file jenkins.crt -keystore keystore

2. 使用keytool生成的服务器证书请求文件,生成服务器证书时失败(The stateOrProvinceName field is different between)

>openssl ca -in jenkins.csr -out jenkins.crt

Using configuration from C:\Program Files\Common Files\SSL/openssl.cnf

Check that the request matches the signature

Signature ok

The stateOrProvinceName field is different between

CA certificate (SH) and the request (SH)

原因:CA证书和证书请求文件jenkins.csr里的stateOrProvinceName信息不匹配,虽然都是SH,但编码可能不一样;

解决办法:将openssl.cnf文件里的policy = policy_match改为policy = policy_anything,重新运行上面的命令;

[ policy_match ]

countryName = match

stateOrProvinceName = match

organizationName = match

organizationalUnitName = optional

commonName = supplied

emailAddress = optional

[ policy_anything ]

countryName = optional

stateOrProvinceName = optional

localityName = optional

organizationName = optional

organizationalUnitName = optional

commonName = supplied

emailAddress = optional

3. 将服务器证书导入keystore时失败

>keytool -import -alias jenkins -trustcacerts -file jenkins.crt -keystore keystore

Enter keystore password:

keytool error: java.lang.Exception: Failed to establish chain from reply

原因:jenkins证书在导入时没有形成证书链;

解决办法:在执行上面命令前先执行

>keytool -import -alias root -file CA/cacert.pem -keystore keystore

形成证书链;

4. 浏览器安装CA证书后访问https://xxx,证书仍然显示invalid

在chrome里F12,选择Security,可看到错误信息如下:

Certificate - Subject Alternative Name missing

原因:给Jenkins服务器颁发的证书中缺少“Subject Alternative Name(使用者可选名称)”项;

解决办法:在生成证书请求文件的时候带上Subject Alternative Name作为扩展信息:

keytool -certreq -alias jenkins -keyalg RSA -file jenkins.csr -keystore keystore -ext san=dns:spam,ip:10.180.131.25

5. 生成的Jenkins服务器证书请求文件jenkins.csr包含了san信息 ,但生成的jenkins.crt文件仍然没有Subject Alternative Name项

keytool -certreq -alias jenkins -keyalg RSA -file jenkins.csr -keystore keystore -ext san=dns:spam,ip:10.180.131.25

原因:openssl.cnf文件里copy_extensions = copy项没有打开,生成crt证书的时候忽略了证书请求文件里的扩展信息;

解决办法:将openssl.cnf文件里#copy_extensions = copy前的注释去掉,重新运行证书生成命令;

Jenkins基于https的k8s配置
05-05 6289
前言 之前写过一篇《基于K8s的动态Jenkins Slave构建实践》,当时用的k8s版本较低,最近将k8s版本升级1.10最新的了,并且启用了https和角色管理。突然就发现之前的jenkins配置有点问题了。 这篇主要就是来记录一下新的配置。 环境 Jenkins 2.107.2 Kubernetes plugin 1.6 kubernetes集群 1.10.0 k8s...
Jenkins安装,简单配置自动部署|自动化监控
Whhhhhhhhhhhhhhh的博客
02-05 1669
Jenkins安装使用。集合自动部署和自动化定时巡检说明不同风格项目的配置方式。
打apk包报错parseAlgParameters failed: ObjectIdentifier() -- data isn‘t an object ID (tag = 48)
最新发布
s_nshine的博客
09-17 134
翻译搜索复制。
jenkinsjenkins+gitlab实现一键构建部署
程序员王多余的个人博客
07-12 6781
Jenkins,原名 Hudson,2011 年改为现在的名字。它是一个开源的实现持续集成的软件工具。官方网站。
Jenkinsssl(https)的访问支持(Windows/Linux)
weixin_33826609的博客
03-30 1057
前言: 增ssl(https)的访问可以为部署在公网下的jenkins提供更安全的问题,最明显的好处应该是登录和jenkins-ci.jar的调用。 比如jenkins-ci.jar的调用,一般在windows下通过明文账号密码的传输请求是非常不安全的;有关windows配置和实践参考以下文章: http://www.cnblogs.com/EasonJim/p/6086018.html(...
Jenkins设置https访问
运维@小兵的博客
09-04 3783
一、生成证书 openssl生成自签证书 二、启动Jenkins时指定证书 java -jar jenkins.war --logfile=/data/jenkins/log --httpPort=-1 --httpsPort=8090 -Dfile.encoding=UTF-8 --httpsCertificate=cert.pem --httpsPrivateKey=cert.key & 参考文章:https://www.cnblogs.com/EasonJim/p/6648552.ht
jenkins证书制作
SnowXu01的博客
12-31 847
1. 生成服务器证书 keytool -genkey -v -alias tomcat -keyalg RSA -keystore /etc/jenkins/ssl/jenkins.keystore -validity 36500 2. 生成客户端证书 keytool -genkey -v -alias jenkins -keyalg RSA -storetype PKCS12 -keystor...
自签名CA和CN证书生成脚本:Jenkins HTTPS密指南
对于Jenkins这样的持续集成服务器,使用HTTPS设置不仅可以保证传输过程中代码的私密性,还可以验证服务器的身份,防止中间人攻击。使用Let's Encrypt提供的免费证书可以实现这一目标,而且由于证书由权威CA签发,...
Jenkins基于https的k8s配置和Gitlab.rar
09-16
4. **配置Ingress**: 为了通过HTTPS访问Jenkins,需要创建一个Ingress资源,配置SSL证书和规则,确保流量通过HTTPS到达Jenkins服务。 5. **初始化Jenkins**: 在Pod启动后,可能需要执行一些初始化脚本来安装插件和...
从根本解决jenkins无法下载插件ssl证书问题
qq_41919284的博客
12-13 3917
解决jenkins无法下载插件ssl证书问题 部分异常: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target at sun.security.provider.certpath.SunCertPathBuilder.build(SunCertPathBuilder.java:141) 开始: 1、githua下载地址:
jenkins安装不上awvs插件的ca证书
weixin_44491306的博客
03-31 1430
jenkins安装不上awvs插件的ca证书
jenkins部署并配置https
weixin_46240034的博客
12-04 3423
最近一直在玩CI&CD,正好手上有闲置的服务器,就用来部署Jenkins了。 Jenkins的安装及配置 本着能docker就docker的原则,就上Google搜了下,果然有docker部署Jenkins的教程 https://www.linuxidc.com/Linux/2020-01/161895.htm Docker环境下的安装 在Docker容器中运行Jenkins: docker run -p 8080:8080 -p 50000:5000 --name jenkins \ -u r
set https on Jenkins
qpqpwj的博客
07-06 1435
阅读本教程 你会学习到 1.set https on jenkins 2.use ssh login jenkins           历史版本功能比照 https://jenkins.io/changelog/ 版本信息   如果是早期版本的话(2.47前期版本) 可能会没有cli re
Windows 10 + Jenkins 2.4 安装插件时https证书问题及解决
oscar999的专栏
09-18 1490
自有根证书环境下, Jenkins安装插件遇到的https 证书问题解决
jenkins 证书凭证Credentials
kuangben2000的博客
04-16 3972
jenkins 证书凭证Credentials https://www.cnblogs.com/111testing/p/9721280.html jenkins 证书凭证Credentials 大家都知道jenkins在拉取git项目代码的时候,如果没有配置证书凭证Credentials” 或者配置的不对, 就会出现红色报错,最终导致拉取不到git项目,如下图: 如...
Jenkins构建打包APP设置https代理
weixin_42763067的博客
10-24 312
修改项目的 gradle.properties 文件,一般在项目的根目录下,添以下配置
由于Jenkins是使用http,而是不是可以使用https引发的相关问题
qq_44488261的博客
04-02 852
把私钥和证书配置Jenkins中重启,这样就可以使用https访问Jenkins了。机构颁发的证书的主要是就是那种大的对公众的大型web网站需要使用到,淘宝京东之类的。ssl证书又分为了两种,一种是自签名证书,一种是机构颁发的证书。2、继续使用openssl工具和公钥生成证书并自签名。自签名证书呢,主要就是内部自己使用,因为缺少公信力。使用https协议,需要使用到ssl证书。ssl证书就是https中的那个s。4、如何生成ssl自签名证书?1、如何使用使用https?2、什么是ssl证书
jenkinsssh证书
qq_43807473的博客
07-18 1110
完成后进入系统设置,路由地址:/manage/configure,找到SSH 远程主机这时候证书这个位置就会出现刚才创建的凭证了选择后再构建项目时选择这个就可以免密访问服务器了。2、添ssh凭证:jenkins路由地址为:/manage/credentials/store/system/domain/_/选择第二个,将生成的私匙 id_rsa 里边的内容赋值到密钥,id留空自动生成,记得写一个描述,要不然后边就不记得是干嘛的了。这时候在构建的时候就可以选择创建的ssh远程主机了并且免密访问。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值