1. 概述编辑
1.1 版本
| 运维平台版本 | 功能变更 |
|---|---|
| V1.13.0 | - |
| V2.0.0 | 单机配置步骤优化,添加Nginx组件后自动转发,方便配置SSL |
1.2 应用场景
要启用 HTTPS 协议,我们需要使用有效的 SSL 证书。SSL 证书中包含身份验证信息,帮助保障用户的通信加密和安全。
在构建一个安全的工程中,证书起到关键作用,它保证了客户端与服务器之间的交互安全性。
本文将介绍如何通过简单的前端界面操作,为容器化部署的FineReport、FineBI运维项目配置SSL证书,以满足使用HTTPS访问帆软应用的需求。
这样做可以确保FineReport、FineBI工程使用安全的通信协议,并给用户提供加密保护。
2. 使用前提编辑
2.1 确认工程部署方式
运维平台前端开启运维项目的 SSL ,是要对运维项目中的 Nginx 组件进行配置。因此需要满足以下两个条件:
1)运维项目的部署方式必须是「运维平台部署」,「非运维平台部署」的项目不支持本文操作。
2)运维平台部署的单机项目,可能未配置 Nginx 组件。管理员需在「组件管理」中添加 Nginx 组件,添加成功后 Nginx 会自动对接工程节点,此时方可进行 SSL 配置。
2.2 准备证书
在配置证书前,首先需要为运维项目Nginx组件所在服务器申请证书。
请自行向 CA 厂商购买证书,证书认证一般都是由 VeriSign、GlobalSign 等国际公认的 CA 机构认证。
需要准备的证书相关文件和要求如下:
| 内容 | 要求 |
|---|---|
| 证书文件 | 请准备好你的证书 证书格式为 .crt 或 .pem(nginx仅支持这两种) |
| 密钥文件 | 请准备好你的证书对应的密钥文件 证书格式为 .key |
2.3 确认证书、域名、IP一一对应
1)确认证书对应的域名
将证书上传到拥有JDK环境的计算机上,进入证书所在目录。
使用语句打印查询证书信息:keytool -printcert -file name.pem(请将name.pem换成你的证书名称)。
确认证书绑定的域名:在返回值中,「Owner: CN」/「所有者: CN」后的值,即为该证书对应的域名。
2)确认域名绑定IP
请将证书对应的域名,与运维项目中的Nginx组件所在服务器的IP,互相绑定。
由于不同服务器的操作不尽相同,帆软不提供此操作的指导文档,请自行联系你的服务器厂商咨询。
绑定成功后,管理员可ping 域名,确认返回值中的IP是否正确。
2.4 准备端口
请准备一个运维项目中的Nginx组件所在服务器的空闲端口,用于后续访问运维项目。
请确保端口防火墙已开放,可正常访问。
如希望在访问时不添加端口,直接通过域名访问,请使用 HTTPS 的默认端口 443 。
本文示例使用 443 端口。
3. 操作步骤编辑
3.1 配置证书
1)管理员登录FineOps运维平台,点击「项目管理」,点击指定项目后的「组件管理」。
2)在「组件管理」界面,找到 Nginx 组件,点击「更改配置」,进入「SSL配置」界面。
3)依次上传第二章准备的证书和密钥文件,填入域名和端口。
4)点击「确定」。
3.2 校验配置
1)依次点击「确定」后,会弹出提示「开启SSL将重启项目的Nginx组件,期间项目将持续几分钟无法访问,重启完成后https访问地址为XXX(对应域名后的url),是否继续?」
2)点击「继续并重启」,运维平台会自动进行以下检测和配置,请耐心等待:
检测所填端口是否可用,如不可用,配置失败。
将证书和密钥文件上传到运维项目Nginx组件的/nginx/conf/ssl目录下
使用原命令新建替换Nginx,并新增443端口,环境变量新增SSL相关配置。
自动重启Nginx,启动完毕后即可实现HTTPS访问。
3.3 效果预览
在浏览器输入上文提示中的地址,即https://your_domain:port/webroot/decision,确保能够成功访问,如果网页地址栏出现小锁标志,表示SSL配置成功。
your_domain是你的域名。
端口为上文配置的端口,如果端口号为443,可省略不写。
注:原http请求会自动跳转https。
