配置SSL/TLS密码

您可以选择Go将使用哪些密码和SSL/TLS协议与代理和用户(及其浏览器)进行通信

配置GoCD服务器

以下系统属性暴露以覆盖Go服务器的默认SSL/TLS配置:

Key Default value Description
go.ssl.ciphers.include null 要启用密码套件名称(精确或正则表达式)的逗号分隔列表
go.ssl.ciphers.exclude null 要禁用密码套件名称(精确或正则表达式)的逗号分隔列表
go.ssl.protocols.include null 要启用的SSL/TLS协议的逗号分隔列表
go.ssl.protocols.exclude null 要禁用的SSL/TLS协议的逗号分隔列表
go.ssl.renegotiation.allowed Y 允许/禁止TLS重新协商的标志,接受 -“Y”和“N”

设置:

  • Linux

    这可以通过/etc/default/go-server来配置,例如:

    export GO_SERVER_SYSTEM_PROPERTIES="-Dgo.ssl.ciphers.include='TLS_ECDHE.*' -Dgo.ssl.ciphers.exclude='.*NULL.*,.*RC4.*' -Dgo.ssl.protocols.include='TLSv1.2' -Dgo.ssl.protocols.exclude='SSLv3' -Dgo.ssl.renegotiation.allowed='N'"
    
  • Windows

    按照说明为Windows服务器安装添加新属性,例如:

    wrapper.java.additional.17="-Dgo.ssl.ciphers.include=TLS_ECDHE.*"
    wrapper.java.additional.18="-Dgo.ssl.ciphers.exclude=.*NULL.*,.*RC4.*"
    wrapper.java.additional.19="-Dgo.ssl.protocols.include=TLSv1.2"
    wrapper.java.additional.20="-Dgo.ssl.protocols.exclude=SSLv3"
    wrapper.java.additional.21="-Dgo.ssl.renegotiation.allowed=N"
    

    重新启动服务器以使更改生效。

配置GoCD代理

代理用于与Go服务器通信的默认传输协议是TLSv1.2。这可以通过根据您的要求将属性go.ssl.agent.protocol配置为合适的值来覆盖。如果您的JRE不支持TLSv1.2,请按如下所示设置此属性:

  • Linux

    这可以通过/etc/default/go-agent来配置,例如:

    export GO_AGENT_SYSTEM_PROPERTIES="-Dgo.ssl.agent.protocol='SSL'"
    
  • Windows

    按照说明为Windows代理安装程序添加新属性,例如:

    wrapper.java.additional.17="-Dgo.ssl.agent.protocol='SSL'"
    

    重新启动代理以使更改生效。

阅读jetty的文档了解更多关于SSL / TLS配置。

results matching ""

    No results matching ""