SSL 組態

發行項
06/21/2023

啟用 SSL

您可以編輯 CycleCloud 安裝目錄中找到 的 cycle_server.properties 檔案來啟用 SSL。使用文字編輯器開啟 cycle_server.properties 檔案，並適當地設定下列值：

# True if SSL is enabled
webServerEnableHttps=true
webServerRedirectHttp=true

重要

請注意，編輯 cycle_server.properties 檔案時，請務必先在檔案中尋找預先存在的索引鍵值定義。如果有一個以上的定義，最後一個定義就會生效。

CycleCloud 的預設 SSL 埠是埠 8443。如果您想要在其他埠上執行加密的 Web 通訊，您可以將屬性變更 webServerSslPort 為新的埠值。請確定 webServerSslPort 和 webServerPort 值 不衝突。

編輯 cycle_server.properties 檔案之後，您必須重新開機 CycleCloud，加密的通道才能啟用：

/opt/cycle_server/cycle_server restart

假設您在設定 CycleCloud 進行加密通訊時未變更 SSL 埠，您現在可以移至 http://<my CycleCloud address>:8443/ 確認 SSL 連線。

注意

如果 HTTPS URL 無法運作，請檢查< CycleCloud Home > /logs/catalina.err和< CycleCloud Home > /logs/cycle_server.log是否有可能指出加密通道未回應原因的錯誤訊息。

Self-Generated憑證

如果您沒有來自憑證授權單位單位的憑證 (CA) ，例如 VeriSign，您可以使用 Azure CycleCloud 提供的自動產生自我簽署憑證。這是一種快速開始使用 SSL 的方式，但大部分網頁瀏覽器都會顯示警告，指出受信任的授權單位尚未驗證用來加密通道的憑證。在某些情況下，例如安全網路上的內部 CycleCloud 部署，這是可接受的。使用者必須將例外狀況新增至瀏覽器以檢視網站，但內容和會話將會如預期般加密。

警告

Azure CycleCloud 自我簽署憑證具有縮短的存留期。到期時，瀏覽器會重新發出有關未受信任 SSL 憑證的警告。使用者必須明確接受他們才能檢視 Web 主控台。

使用 Let's Encrypt

CycleCloud 支援 Let's Encrypt的憑證。若要搭配 CycleCloud 使用 Let's Encrypt，您必須：

在埠 443 上啟用 SSL
確定 CycleCloud 可透過具有外部功能變數名稱的埠 443 公開連線

您可以使用設定頁面上的 [SSL] 選項，或從 CycleCloud 電腦執行 cycle_server keystore automatic DOMAIN_NAME ，啟用 [讓我們加密支援]。

使用CA-Generated憑證

使用 CA 產生的憑證可允許 Web 存取 CycleCloud 安裝，而不會顯示受信任的憑證錯誤。若要啟動程式，請先執行：

./cycle_server keystore create_request <FQDN>

系統會要求您提供功能變數名稱，這是已簽署憑證上的 [一般名稱] 欄位。這會為指定的網域產生新的自我簽署憑證，並寫入 cycle_server.csr 檔案。您必須將 CSR 提供給憑證授權單位單位，而且它們會提供最終簽署的憑證 (，其稱為 server.crt 下方) 。您也需要新憑證與根憑證之間的鏈結中使用的根憑證和任何中繼憑證。 CA 應該會為您提供這些。如果它們已將它們配套為單一憑證檔案，您可以使用下列命令加以匯入：

./cycle_server keystore import server.crt

如果它們提供多個憑證檔案，您應該一次將它們全部匯入，並將名稱附加至相同的命令，並以空格分隔：

./cycle_server keystore import server.crt ca_cert_chain.crt

匯入現有的憑證

如果您先前已建立 CA 或自我簽署憑證，您可以更新 CycleCloud 以搭配下列命令使用：

./cycle_server keystore update server.crt

如果您想要匯入 PFX 檔案，您可以在 CycleCloud 7.9.7 或更新版本中使用下列命令來執行此動作：

./cycle_server keystore import_pfx server.pfx --pass PASSWORD

請注意，PFX 檔案只能包含一個專案。

最後，如果您在這些命令之外對金鑰存放區進行變更，您可以在 CycleCloud 7.9.7 或更新版本中立即重載金鑰存放區：

./cycle_server keystore reconfig

設定 CycleCloud 以使用原生 HTTPS

根據預設，Azure CycleCloud 會設定為使用標準 JAVA IO HTTPS 實作。此預設值適用于所有支援的平臺。

若要改善在 Linux 平臺上執行的效能，CycleCloud 可以選擇性地設定為使用 Tomcat 原生 HTTPS 實作。

若要在 Linux 上啟用原生 HTTPS，請將 webServerEnableHttps 和 webServerUseNativeHttps 屬性新增至 您的 cycle_server.properties 檔案。使用文字編輯器開啟 cycle_server.properties ，並設定下列值：

# Turn on HTTPS
webServerEnableHttps = true

# Use Native HTTPS connector
webServerUseNativeHttps = true

TLS 1.0 和 1.1 的回溯相容性

根據預設，JAVA 和原生 HTTPS 連接器會設定為只使用 TLS 1.2 通訊協定。如果您需要為較舊的 Web 用戶端提供 TLS 1.0 或 1.1 通訊協定，您可以加入宣告以取得回溯相容性。

使用文字編輯器開啟 cycle_server.properties ，並尋找 sslEnabledProtocols 屬性：

sslEnabledProtocols="TLSv1.2"

將屬性變更為 + 您想要支援的通訊協定分隔清單。

sslEnabledProtocols="TLSv1.0+TLSv1.1+TLSv1.2"

關閉未加密的通訊

上述設定允許建立未加密 (HTTP) 連線，但它們會重新導向至 HTTPS 以取得安全性。您可能想要防止未加密存取 CycleCloud 安裝。若要關閉未加密的通訊，請在文字編輯器中開啟 您的 cycle_server.properties 檔案。尋找屬性， webServerEnableHttp 並將其變更為：

# HTTP
webServerEnableHttp=false

儲存變更並重新啟動 CycleCloud。 CycleCloud 的 HTTP 存取將會停用。

共用方式為