Prawidłowa konfiguracja odwrotnego proxy Apache z SSL dla Jenkins i Sonar

11

Korzystam z dwóch usług za serwerem Apache: Jenkins (Port 8080) i SonarQube (Port 9000).

Moja konfiguracja apache wygląda następująco:

<VirtualHost *:80>
  ServerName server
  Redirect permanent / https://server.domain.com/
</VirtualHost>

<VirtualHost *:80>
  ServerName server.domain.com
  Redirect permanent / https://server.domain.com/
</VirtualHost>

<VirtualHost *:443>
  ServerName server.domain.com

  SSLEngine on
  SSLCertificateFile /etc/ssl/certs/server.crt
  SSLCertificateKeyFile /etc/ssl/private/server.key

  ProxyPass        /jenkins http://localhost:8080/jenkins nocanon
  ProxyPassReverse /jenkins http://localhost:8080/jenkins
  ProxyPassReverse /jenkins http://server.domain.com/jenkins
  ProxyPassReverse /jenkins https://server.domain.com/jenkins

  ProxyPass        /sonar http://localhost:9000/sonar nocanon
  ProxyPassReverse /sonar http://localhost:9000/sonar

  AllowEncodedSlashes NoDecode
  ProxyRequests Off
  ProxyPreserveHost On
  <Proxy http://localhost:8080/*>
    Order deny,allow
    Allow from all
  </Proxy>
</VirtualHost>

Wydaje się, że wszystko działa dobrze, z wyjątkiem tego, że Jenkins narzeka na ten komunikat: Wygląda na to, że konfiguracja odwrotnego proxy jest zepsuta.

Po uruchomieniu testu ReverseProxySetupMonitor dostarczonego przez Jenkins komunikat o błędzie wskazuje, że coś z odwrotnym proxy nie jest poprawnie skonfigurowane, ponieważ nie zastępuje http https:

$ curl -iLk -e https://server.domain.com/jenkins/manage https://server.domain.com/jenkins/administrativeMonitor/hudson.diagnosis.ReverseProxySetupMonitor/test
[...]
404 http://server.domain.com/jenkins/manage vs. https://server.domain.com/jenkins/manage
[...]

Pojawiło się to dopiero po włączeniu protokołu SSL na serwerze (który teraz używa certyfikatu z podpisem własnym).

Pytanie: Jak naprawić konfigurację zwrotnego serwera proxy, aby Jenkins był zadowolony? Punkty bonusowe za wskazówki, jak poprawić plik konfiguracyjny apache.

Sprawdziłem już następujące dwa powiązane pytania:

friederbluemle
źródło

Odpowiedzi:

9

Ta strona na wiki Jenkins wspomniała, że ​​zgodnie z lipcem 2014 zalecana konfiguracja odwrotnego proxy Jenkins. Brakującym parametrem jest RequestHeader set X-Forwarded-Proto "https"iRequestHeader set X-Forwarded-Port "443"

Tak stała się konfiguracja

<VirtualHost *:443>
    SSLEngine on
    SSLCertificateFile /etc/ssl/certs/cert.pem
    ServerAdmin  webmaster@localhost
    ProxyRequests     Off
    ProxyPreserveHost On
    AllowEncodedSlashes NoDecode
    <Proxy *>
        Order deny,allow
        Allow from all
    </Proxy>
    ProxyPass         /  http://localhost:8080/ nocanon
    ProxyPassReverse  /  http://localhost:8080/
    ProxyPassReverse  /  http://www.example.com/
    RequestHeader set X-Forwarded-Proto "https"
    RequestHeader set X-Forwarded-Port "443"
</VirtualHost>
masegaloeh
źródło
2
Świetnie, działało idealnie! Musiałem też zrobić sudo a2enmod headers, inaczej Invalid command 'RequestHeader'
dostałbym
Czy możesz wyjaśnić, dlaczego używasz dwóch ProxyPassReversedyrektyw dla tej samej ścieżki ( /)?
Ortomala Lokni
1

Instalacja systemu Windows Apache Front-end dla Jenkins

Główne różnice tutaj:

  • Jak skonfigurować certyfikat tymczasowy
  • zatrzymanie skrzydeł apache o brak bufora ssl

Moja konfiguracja:

  • Zainstalowano d: \ (nie c: \ - dostosuj to do swoich potrzeb)

  • Jenkins jest na porcie 8080

  • Rozpakuj Apache httpd-2.4.18-win64-VC14.zip (z http://www.apachelounge.com/download/ ) do d: \.

  • Zainstaluj OpenSSL Win64OpenSSL_Light-1_0_2f.exe ( http://slproweb.com/products/Win32OpenSSL.html ) na d: \ OpenSSL-Win64

  • Utwórz certyfikat ssl:

    • cd do katalogu bin OpenSSL i uruchom magię:

       pushd d:\OpenSSL-Win64\bin
       set OPENSSL_CONF=openssl.cfg
       openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout server.key -out server.crt
      
  • Skopiuj pliki serwera. * Z d: \ OpenSSL-Win64 \ bin do D: \ Apache24 \ conf

  • Edytuj d: \ Apache24 \ conf \ httpd.conf:

    • Wyszukaj i zamień „c: /” na „d: /”

    • Zmień po wierszu „Listen 80”, dodając „Listen 443”:

      Listen 80
      Listen 443
      
    • Odkomentuj te linie:

      LoadModule headers_module modules/mod_headers.so
      LoadModule proxy_module modules/mod_proxy.so
      LoadModule proxy_ajp_module modules/mod_proxy_ajp.so
      LoadModule proxy_http_module modules/mod_proxy_http.so
      LoadModule rewrite_module modules/mod_rewrite.so
      LoadModule socache_shmcb_module modules/mod_socache_shmcb.so
      LoadModule ssl_module modules/mod_ssl.so
      LoadModule vhost_alias_module modules/mod_vhost_alias.so
      
    • Zaktualizuj „#ServerName www.example.com:80”, aby:

      ServerName myserver.mydomain:80
      
    • Dodaj to na końcu:

      <IfModule socache_shmcb_module>
      SSLSessionCache "shmcb:logs/ssl_scache(512000)"
      </IfModule>
      
      <VirtualHost *:80>
        ServerName myserver
        Redirect permanent / https://myserver.mydomain/
      </VirtualHost>
      
      <VirtualHost *:80>
        ServerName myserver.mydomain
        Redirect permanent / https://myserver.mydomain/
      </VirtualHost>
      
      <VirtualHost *:443>
                  SSLEngine on
                  SSLCertificateFile conf/server.crt
                  SSLCertificateKeyFile conf/server.key
                  ServerAdmin  me@mydomain
                  ProxyRequests             Off
                  ProxyPreserveHost On
                  AllowEncodedSlashes NoDecode
                  <Proxy *>
                              Order deny,allow
                              Allow from all
                  </Proxy>
                  ProxyPass         /  http://localhost:8080/ nocanon
                  ProxyPassReverse  /  http://localhost:8080/
                  ProxyPassReverse  /  http://myserver.mydomain/
                  RequestHeader set X-Forwarded-Proto "https"
                  RequestHeader set X-Forwarded-Port "443"
      </VirtualHost>
      

Nie zatrzymałem Jenkinsa nasłuchiwania na porcie 8080, więc nadal mogę się połączyć, jeśli apache się nie powiedzie. Moim celem przy użyciu https jest ukrywanie parametrów.

David Robson
źródło