Ubuntu系统Jumpserver+nginx 配置 ssl证书

Ubuntu系统Jumpserver+nginx 配置 ssl证书

1. 在jumpserver服务端生成证书请求文件及私钥，注意请求文件中必定要包括Subject Alternative Name (SAN) 扩展，否则配置后会提示证书无效（坑一）。

cd /opt/certs

//创建ssl证书请求配置文件

sudo vim jumpserver_san.cnf 包含以下内容：

[req]

default_bits = 2048

prompt = no

default_md = sha256

distinguished_name = dn

req_extensions = req_ext

[dn]

C = CN //国家

ST = YourState //省份

L = YourCity //城市

O = Your Company //公司

OU = IT Department //部门

CN = jumpserver.test.com //域名

emailAddress = admin@test.com //邮箱

[req_ext]

subjectAltName = @alt_names //备用名称，即SAN扩展

[alt_names] //备用名称列表

DNS.1 = jumpserver.test.com

DNS.2 = jumpserver

//生成私钥

sudo openssl genrsa -out jumpserver.key 2048

//使用 SAN 配置生成证书请求

sudo openssl req -new -key jumpserver.key -out jumpserver_san.csr -config jumpserver_san.cnf

//验证新的 CSR 包含 SAN

sudo openssl req -in jumpserver_san.csr -noout -text | grep -A10 “Subject Alternative Name”

1. 申请证书(使用Win adds证书颁发机构)

访问
https://subca.test.com/certsrv –申请证书–高级证书申请

提交新的jumpserver_san.csr 文件内容

选择 “Web Server” 模板

1. 证书申请颁发后，登陆https://subca.test.com/certsrv 下载证书链，下载证书(jumpserver.cer)，选择base64编码，从证书链中导出根证书(root.cer)及中间证书(subca.cer)。
2. Jumpserver服务器上根证书及中间证书安装（一般只需安装根证书）

//将导出的根证书、中间证书、jumpserver证书重命名为.crt文件

mv root.cer root.crt

mv subca.cer subca.crt

mv jumpserver.cer jumpserver.crt

//安装根证书及中间证书

sudo cp root.crt /usr/local/share/ca-certificates/

sudo cp subca.crt /usr/local/share/ca-certificates/

sudo update-ca-certificates

1. 将私钥及证书拷贝到jumpserver指定目录

sudo cp jumpserver.key jumpserver.crt /opt/jumpserver/config/nginx/cert

私钥文件权限修改为600，证书文件权限修改为644

chmod 600 jumpserver.key

chmod 644 jumpserver.crt

6、修改
/opt/jumpserver/config/nginx/lb_http_server.con配置文件中 （坑二）

ssl_certificate cert/jumpserver.crt; # 修改 server.crt 为你的证书,

ssl_certificate_key cert/jumpserver.key; # 修改 server.key 为你的证书

1. 修改/opt/jumpserver/config/config.txt

//撤销行首#符号，修改域名及证书文件名称和秘钥文件名称

HTTPS_PORT=443

SERVER_NAME=jumpserver.test.com

SSL_CERTIFICATE=jumpserver.crt

SSL_CERTIFICATE_KEY=jumpserver.key

1. 修改远程应用发布机配置文件（坑三）C:UsersjumpserverAppDataLocalprograms inkerconfig.yml

将CORE_HOST由http改为https

CORE_HOST:https://保垒机IP

保存后重启服务

1. 重启jumpserver服务

./jmsctl.sh restart