微服务--使用HTTPS在Nexus Repository Manager 3.0上搭建私有Dock

最新推荐文章于 2024-09-20 21:38:59 发布
最新推荐文章于 2024-09-20 21:38:59 发布
阅读量3.2k 收藏
点赞数
http://ju.outofmemory.cn/entry/357233
  • 搭建方式
    配置HTTPS
    生成keystore文件
    添加SSL端口
    添加HTTPS支持配置文件
    修改HTTPS配置文件
    验证
    重新启动服务
    Web访问
    docker配置
    登录报错
    1-修改daemon.json文件
    2-配置ca-trust(centos)
    參考資料

搭建方式

搭建SSL的Nexus官方提供两种方式

  • 第一种是反向代理服务器,Nexus Repository Manager使用HTTP对外提供服务,然后使用Nginx之类的反向代理服务器对外提供HTTPS服务,但是反向代理服务器与Nexus Repository Manager之间依旧使用HTTP交互。
  • 第二种就是比较正常的,在Nexus Repository Manager上做一些配置,使得Nexus Repository Manager直接对外提供HTTPS服务。

本文主要描述的就是第二种方式

配置HTTPS

生成keystore文件

在项目的 $install-dir/etc/ssl/ 目录下,执行命令

#{NEXUS_DOMAIN} = nexus为服务器域名
#{NEXUS_IP} = 192.168.59.1 为服务器IP
$ cd $install-dir/etc/ssl/
$ keytool -genkeypair -keystore keystore.jks -storepass nexus3 -keypass nexus3 -alias jetty -keyalg RSA -keysize 2048 -validity 5000 -dname "CN=*.{NEXUS_DOMAIN}, OU=Example, O=Sonatype, L=Unspecified, ST=Unspecified, C=US" -ext "SAN=DNS:{NEXUS_DOMAIN},IP:{NEXUS_IP}" -ext "BC=ca:true"

添加SSL端口

修改 $data-dir/etc/nexus.properties 文件,在第一行添加 application-port-ssl=8443

添加HTTPS支持配置文件

修改 $data-dir/etc/nexus.properties 文件,修改Key为 nexus-args 所在行的值,在后面添加,${jetty.etc}/jetty-https.xml,${jetty.etc}/jetty-http-redirect-to-https.xml

nexus-args=${jetty.etc}/jetty.xml,${jetty.etc}/jetty-http.xml,${jetty.etc}/jetty-requestlog.xml,${jetty.etc}/jetty-https.xml,${jetty.etc}/jetty-http-redirect-to-https.xml

修改HTTPS配置文件

修改 ${jetty.etc}/jetty-https.xml 文件中keystore和truststore的配置部分

<Set name="KeyStorePath"><Property name="ssl.etc"/>/keystore.jks</Set>
<Set name="KeyStorePassword">nexus3</Set>
<Set name="KeyManagerPassword">nexus3</Set>
<Set name="TrustStorePath"><Property name="ssl.etc"/>/keystore.jks</Set>
<Set name="TrustStorePassword">nexus3</Set>

验证

重新启动服务

$nexus.exe /run

Web访问

可以访问 http://localhost:8081/ 或者 https://localhost:8443/ 来查看,如果能够正常打开网页则配置成功。此处由于配置了 jetty-http-redirect-to-https.xml ,所以在访问http的时候会自动redirect到https地址。

docker配置

登录报错

[root@localhost docker]# docker login -u admin -p admin123 192.168.59.1:8551
Error response from daemon: Get https://192.168.59.1:8551/v1/users/: x509: certificate signed by unknown authority

此处有个小插曲就是之前是报错如下 Error response from daemon: Gethttps://192.168.59.1:8551/v1/users/: x509: cannot validate certificate for 192.168.59.1 because it doesn't contain any IP SANs 这是因为在生成keystore的时候没有指定IP

此处有两种方式解决上述问题,第一种是添加insecure-registries,不对SSL进行认证校验,第二种是安装签名证书,进行校验。

1-不校验。修改daemon.json文件

[root@localhost docker]# vi /etc/docker/daemon.json
{
  "insecure-registries": [
    "192.168.59.1:8551"
  ],
  "disable-legacy-registry": true
}
[root@localhost docker]# docker login -u admin -p admin123 192.168.59.1:8551
Login Succeeded

或vim /etc/sysconfig/docker

OPTIONS='--selinux-enabled --log-driver=journald --signature-verification=false --insecure-registry 10.30.30.126:8123'

2-校验。配置ca-trust(centos)

[root@localhost docker]# docker login -u admin -p admin123 192.168.59.1:8551
Error response from daemon: Get https://192.168.59.1:8551/v2/: x509: certificate has expired or is not yet valid

出现上述问题,搜索之后大多数人说是服务器时间不同步问题,解决如下:

# 先解决时区问题
[root@localhost ~]# ls -l /etc/localtime 
lrwxrwxrwx. 1 root root 38 Apr 25 07:09 /etc/localtime -> ../usr/share/zoneinfo/America/New_York
[root@localhost ~]# rm -f /etc/localtime
[root@localhost ~]# ln -s /usr/share/zoneinfo/Asia/Shanghai /etc/localtime
# 在解决时间问题
[root@localhost docker]# yum install ntp.x86_64
# 可用的ntp服务器列表 http://www.ntp.org.cn/pool.php
[root@localhost docker]# ntpdate cn.ntp.org.cn
 Jun 17:50:20 ntpdate[18252]: no server suitable for synchronization found
# 由于公司代理服务器问题,连接不上NTP服务器,所以手动设置
[root@localhost ~]# date -s 20180606
Wed Jun  6 00:00:00 CST 2018
[root@localhost ~]# date -s 17:53:35
Wed Jun  6 17:53:35 CST 2018

基于centos7.0版本,生成和导入cert文件

#生成cert文件
[root@localhost ~]# keytool -printcert -sslserver 192.168.59.1:8443 -rfc >nexus.crt
[root@localhost ~]# yum install ca-certificates
[root@localhost ~]# update-ca-trust force-enable
# 还可以放在/etc/docker/certs.d/192.168.59.1:8443目录下
[root@localhost ~]# mv nexus.crt /etc/pki/ca-trust/source/anchors/nexus.crt
[root@localhost ~]# update-ca-trust
[root@localhost ~]# service docker restart
[root@localhost ~]# docker login -u admin -p admin123 192.168.59.1:8551
Error response from daemon: Get https://192.168.59.1:8551/v2/: x509: certificate signed by unknown authority

对于Ubuntu系统来说certificate的存放路径是 /usr/local/share/ca-certificates

#生成cert文件
[root@localhost ~]# keytool -printcert -sslserver 192.168.59.1:8443 -rfc >nexus.crt
# 还可以放在/etc/docker/certs.d/192.168.59.1:8443目录下
[root@localhost ~]# mv nexus.crt /usr/local/share/ca-certificates/nexus.crt
[root@localhost ~]# update-ca-certificates
[root@localhost ~]# service docker restart
[root@localhost ~]# docker login -u admin -p admin123 192.168.59.1:8551

依然报错如上,说是Unkonw authority,搜索之后发现 一般情况下,证书只支持域名访问,要使其支持IP地址访问,需要修改配置文件openssl.cnf

在Redhat7系统中,文件所在位置是/etc/pki/tls/openssl.cnf。在其中的[ v3_ca]部分,添加subjectAltName选项:

[ v3_ca ]  
subjectAltName = IP:192.168.59.1

再次执行 docker login

[root@localhost ~]# service docker restart
[root@localhost ~]# docker login -u admin -p admin123 192.168.59.1:8551
Login Succeeded

至此,大功告成!

參考資料

SSL and Repository Connector Configuration : https://help.sonatype.com/repomanager3/private-registry-for-docker/ssl-and-repository-connector-configuration

Inbound SSL - Configuring to Serve Content via HTTPS :https://help.sonatype.com/repomanager3/security/configuring-ssl#ConfiguringSSL-InboundSSL-ConfiguringtoServeContentviaHTTPS

Using Self-Signed Certificates with Nexus Repository Manager and Docker Daemonhttps://support.sonatype.com/hc/en-us/articles/217542177-Using-Self-Signed-Certificates-with-Nexus-Repository-Manager-and-Docker-Daemon

ca证书校验用户证书 : https://www.cnblogs.com/cmsd/p/6078705.html

03搭建docker私有仓库 : https://blog.csdn.net/gqtcgq/article/details/51163558

docker 报错:x509 : certificate has expired or is not yet valid: https://blog.csdn.net/bjbs_270/article/details/48784807

linux设置系统时间 : https://www.cnblogs.com/boshen-hzb/p/6269378.html

或vim /etc/sysconfig/docker

OPTIONS='--selinux-enabled --log-driver=journald --signature-verification=false --insecure-registry 10.30.30.126:8123 --insecure-registry 10.30.30.126:8889'

OPTIONS='--selinux-enabled --log-driver=journald --signature-verification=false --insecure-registry 10.30.30.126:8123 --insecure-registry 10.30.30.126:8889'
Michaelwubo
关注
使用Docker在NGINX反向代理后面安装Nexus Repository Manager
weixin_26752759的博客
09-12 1108
什么是Nexus? (What is Nexus?) Nexus is a software component management system developed by sonatype. It allows to manage different repositories to store builds, binaries, and other artifacts. It has a w...
Nexus使用nginx代理实现支持HTTPS协议
01-09
背景 公司全部网站需要支持 HTTPS 协议,在阿里云负载均衡配置 SSL 证书后,导致 NexusHTTPS 访问出错。 网站访问路径: 域名解析到阿里云的负载均衡,负载均衡配置 80 端口强转 443 端口,443 端口配置 SSL 证书,并转发到内网 nginx,内网的 nginx 再代理 Nexus 服务。 解决 浏览器 HTTPS 访问 Nexus 的 Console 报错信息: 报错信息大致意思是:HTTPS 访问的页面上不允许出现 HTTP 请求。 解决方法: 在 nginx 配置文件增加 “proxy_set_header X-Forwarded-Proto htt
Nexus 开启 HTTPS
热门推荐
老实人的博客
01-30 1万+
Nexus Registory SSL 配置 Nexus 使用 https 开启 HTTPS 方式大概分为两种,一种为Nexus 服务本身开启代理,另外一种使用 Nginx 进行反向代理实现 HTTPS, 由于我使用的方式是使用 Docker 进行的Nexus 的配置, 故使用第二种方式 Nginx反向代理实现各个仓库的 HTTPS 实现过程 制作泛域名证书 原因:使用 Nexus 服务作为 ...
Nexus Repository Manager:高效管理Maven项目的利器
最新发布
gitblog_06599的博客
09-20 325
Nexus Repository Manager:高效管理Maven项目的利器 详解Nexus的安装如何创建配置宿主仓库创建Maven项目 项目地址: https://gitcode.com/Resource-Bundle-Co...
keytool nexus3.x docker 仓库 https 跨节点 docker pull/push
码农崛起
06-13 896
nexus仓库管理器,分为两个版本,Nexus Repository Manager OSS 和 Nexus Repository Manager Pro。前者可以免费使用,相比后者,功能缺少一些。下载地址:https://www.sonatype.com/download-oss-sonatype,参考文档:https://help.sonatype.com/display/NXRM3安装:
nexus-3.37.0-01-win64 - Nexus Repository Manager OSS
12-12
Nexus Repository Manager OSS 由于nexus目前官网上(https://help.sonatype.com/repomanager3/download)已经很难下载了,除非翻墙,故整理了一下目前最新版本的分享一下,有需要的欢迎下载。
Nexus Repository Manager使用
08-02
### Nexus Repository Manager 使用详解 #### 一、简介 Nexus Repository Manager (NRM) 是一款由Sonatype开发的仓库管理工具,它可以帮助开发者管理和分发软件包及其依赖项。NRM支持多种格式,如Maven、npm、...
nexus-3.23.0-03-win64.rar-Nexus Repository Oss
06-04
利用Nexus你可以只在一个地方就能够完全控制访问 和部署在你所维护仓库中的每个Artifact。Nexus是一套“开箱即用”的系统不需要数据库,它使用文件系统加Lucene来组织数据。Nexus 使用ExtJS来开发界面,利用Restlet...
nexus-repository-composer:Nexus Repository Manager的Composer支持(正在进行中!)
03-09
docker run -d -p 8081:8081 --name nexus-repository-composer nexus-repository-composer 有关如何持久存储卷的更多信息,请查看。 现在可以从浏览器访问该应用程序,为 从Nexus Repository Manager版本3.17开始...
Nexus Repository Manager 3.28.1-01
10-26
最新版本的 Nexus Repository Manager 3.28.1-01 Nexus是一个强大的Maven仓库管理器,它极大地简化了本地内部仓库的维护和外部仓库的访问。 如果使用了公共的Maven仓库服务器,可以从Maven中央仓库下载所需要的构件...
nexus-https:配置了 HTTPSNexus Repo Manager 3 的 Dockerized 版本
05-29
基于 CentOS 的具有 HTTPS 支持的 Sonatype Nexus Repository Manager 3 的 Dockerfile。 GitHub 存储库: : 此Dockerfile大致基于以下内容,请参考该文件以获取其他配置信息: : 运行,生成一个默认的keystore.jks 。 docker run -p 8443:8443 bradbeck/nexus-https 要运行,绑定暴露的端口(8081、8443)、数据目录和包含keystore.jks卷。 $ docker run -d -p 8081:8081 -p 8443:8443 -v ~/nexus-data:/nexus-data -v ~/nexus-ssl:/opt/sonatype/nexus/etc/ssl --name nexus bradbeck/nexus-https
nexus配置https(nginx反向代理的方式)
weixin_34293246的博客
04-25 1417
nexus配置https(nginx反向代理的方式): apt-get install nginx cd /etc/nginx/sites-available cp -rv default defaults vi defaults listen 443 default_server; (默认为listen 80 default_server;) ssl on;ssl_certificate /e...
Nexus3 中 docker 仓库 配置 Https
一直被模仿,从未被超越
05-09 2166
一、生成证书颁发机构证书 1、生成 CA 证书私钥 openssl genrsa -out ca.key 4096 2、生成 CA 证书 # 调整 -subj 选项中的值以反映您的组织 openssl req -x509 -new -nodes -sha512 -days 3650 \ -subj "/C=CN/ST=Shanghai/L=Shanghai/O=example/OU=Personal/CN=nexus.mshxuyi.com" \ -key ca.key \ -out ca..
nexus私服开启HTTPS
文若书生的专栏
12-03 2111
maven3.8.1以上不允许使用HTTP服务的仓库地址,如果自己搭建的私服需要升级为HTTPS或做一些设置,如果要升级HTTPS服务有两种方式:1、使用Nginx开启HTTPS并反向代理nexus;2、直接在nexus开启HTTPS。这里介绍第二种方式。
nexus3部署
段帅星的博客
09-16 1135
环境信息: 系统:CentOS 7 配置: CPU 4核(建议最少4核)、内存4G 、磁盘200G IP:192.168.86.9 nexus3版本:nexus-3.27.0-03-unix.tar.gz nexus3安装包下载地址: wget http://download.sonatype.com/nexus/3/nexus-3.27.0-03-unix.tar.gz 或者 链接:https://pan.baidu.com/s/1OFruEz3aIU1NxHVQf5YBFQ 提取码:demo JDK下
私库搭建2:Nexus 配置 Docker 版 https
03-02 1249
私库搭建2:Nexus 配置 Docker 版 https
[maven] 使用 Nexus 管理 repository
GoldenaArcher的博客
09-19 624
首先简单的过一下管理的流程,本地的项目通过等指令和公司的 repo 进行沟通,公司的 repo 再和 central repo(maven 提供的)或是其他的 cloud 进行沟通。这个系列主要是讲 maven,所以主要的目标就是 Central Repo,实际操作上,我们公司的前段项目也是部署在 nexus 上,这块就对应了其他的 cloudfill:#333;color:#333;color:#333;fill:none;
Nexus Repository 搭建使用
chuyouyinghe的专栏
01-10 8309
Nexus Repository搭建maven的镜像的工具之一,在全球范围内使用挺广的。 一、Nexus 搭建过程   Nexus 镜像的搭建还是相对简单的,将下载的文件解压到相应的目录下,然后进入./nexus-version/bin/下,启动nexus即可将Nexus Repository运行起来(其中Nexus是基于Jetty来运行的)。   启动起来后,通过浏览器访问http://ip:8081就可以访问了。界面如下所示: 其中通过右侧的Sign In可以登录用户来管理Nexus。对
Mac系统Nexus Repository Manager OSS 3.59.0-01安装包
这意味着用户无需担心跨平台的兼容性问题,可以直接在Mac上安装和运行Nexus Repository Manager,而不需要额外的兼容性层或者虚拟化软件。 4. 安装文件名称解析: 在提供的压缩包子文件的文件名称列表中,"sonatype-...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值