Виправте конфігурацію зворотного проксі-сервера Apache із SSL для Jenkins та Sonar

Я запускаю два сервіси за сервером Apache: Jenkins (Порт 8080) і SonarQube (Порт 9000).

Мій конфігурація apache виглядає так:

<VirtualHost *:80>
  ServerName server
  Redirect permanent / https://server.domain.com/
</VirtualHost>

<VirtualHost *:80>
  ServerName server.domain.com
  Redirect permanent / https://server.domain.com/
</VirtualHost>

<VirtualHost *:443>
  ServerName server.domain.com

  SSLEngine on
  SSLCertificateFile /etc/ssl/certs/server.crt
  SSLCertificateKeyFile /etc/ssl/private/server.key

  ProxyPass        /jenkins http://localhost:8080/jenkins nocanon
  ProxyPassReverse /jenkins http://localhost:8080/jenkins
  ProxyPassReverse /jenkins http://server.domain.com/jenkins
  ProxyPassReverse /jenkins https://server.domain.com/jenkins

  ProxyPass        /sonar http://localhost:9000/sonar nocanon
  ProxyPassReverse /sonar http://localhost:9000/sonar

  AllowEncodedSlashes NoDecode
  ProxyRequests Off
  ProxyPreserveHost On
  <Proxy http://localhost:8080/*>
    Order deny,allow
    Allow from all
  </Proxy>
</VirtualHost>

Здається, все працює нормально, за винятком того, що Дженкінс скаржиться на це повідомлення: Схоже, ваш налаштований зворотний проксі-сервер порушений.

Коли я запускаю тест ReverseProxySetupMonitor, наданий Дженкінсом, повідомлення про помилку вказує на те, що щось із зворотним проксі не налаштовано правильно, як і не замінює http на https:

$ curl -iLk -e https://server.domain.com/jenkins/manage https://server.domain.com/jenkins/administrativeMonitor/hudson.diagnosis.ReverseProxySetupMonitor/test
[...]
404 http://server.domain.com/jenkins/manage vs. https://server.domain.com/jenkins/manage
[...]

Це з’явилося лише після того, як я включив SSL на сервері (який зараз використовує самопідписаний сертифікат).

Запитання: Як виправити налаштування зворотного проксі, щоб Дженкінс був щасливим? Бонусні бали за поради щодо вдосконалення файлу конфігурації apache.

Я вже перевірив наступні два пов'язані питання:

• Apache як проксі для Nexus, Jenkins та Foreman (кілька VirtualHosts на одному домені, IP та порт)
• Дженкінс повідомляє про неправильну настройку проксі-сервера з Apache, використовуючи віртуальні хости з SNI

На цій сторінці у вікі Дженкінс згадував, що станом на липень 2014 року рекомендована конфігурація для зворотного проксі-сервера Дженкінса. Відсутній параметр - RequestHeader set X-Forwarded-Proto "https"іRequestHeader set X-Forwarded-Port "443"

Так конфігурація стала

<VirtualHost *:443>
    SSLEngine on
    SSLCertificateFile /etc/ssl/certs/cert.pem
    ServerAdmin  webmaster@localhost
    ProxyRequests     Off
    ProxyPreserveHost On
    AllowEncodedSlashes NoDecode
    <Proxy *>
        Order deny,allow
        Allow from all
    </Proxy>
    ProxyPass         /  http://localhost:8080/ nocanon
    ProxyPassReverse  /  http://localhost:8080/
    ProxyPassReverse  /  http://www.example.com/
    RequestHeader set X-Forwarded-Proto "https"
    RequestHeader set X-Forwarded-Port "443"
</VirtualHost>

Налаштування Windows Apache на передній частині для Дженкінса

Основні відмінності тут:

• Як встановити тимчасовий сертифікат
• припинення крила апаратів про відсутність кеш-пам'яті ssl

Моя установка:

• Встановити потрібно було d: \ (не c: \ - адаптувати це до ваших потреб)

• Дженкінс знаходиться в порту 8080

• Розпакуйте Apache httpd-2.4.18-win64-VC14.zip (з http://www.apachelounge.com/download/ ) до d: \.

• Встановіть OpenSSL Win64OpenSSL_Light-1_0_2f.exe ( http://slproweb.com/products/Win32OpenSSL.html ) до d: \ OpenSSL-Win64

• Створіть сертифікат ssl:

  • CD в ​​каталог біткоїна OpenSSL і запустіть магію:

     pushd d:\OpenSSL-Win64\bin
     set OPENSSL_CONF=openssl.cfg
     openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout server.key -out server.crt
    

• Скопіюйте сервер. * Файли з d: \ OpenSSL-Win64 \ bin в D: \ Apache24 \ conf

• Редагувати d: \ Apache24 \ conf \ httpd.conf:

  • Знайдіть і замініть "c: /" на "d: /"

  • Змініть після рядка "Слухайте 80", додавши "Слухати 443":

    Listen 80
    Listen 443
    

  • Відменшіть ці рядки:

    LoadModule headers_module modules/mod_headers.so
    LoadModule proxy_module modules/mod_proxy.so
    LoadModule proxy_ajp_module modules/mod_proxy_ajp.so
    LoadModule proxy_http_module modules/mod_proxy_http.so
    LoadModule rewrite_module modules/mod_rewrite.so
    LoadModule socache_shmcb_module modules/mod_socache_shmcb.so
    LoadModule ssl_module modules/mod_ssl.so
    LoadModule vhost_alias_module modules/mod_vhost_alias.so
    

  • Оновіть "#ServerName www.example.com:80" на:

    ServerName myserver.mydomain:80
    

  • Додайте це наприкінці:

    <IfModule socache_shmcb_module>
    SSLSessionCache "shmcb:logs/ssl_scache(512000)"
    </IfModule>
    
    <VirtualHost *:80>
      ServerName myserver
      Redirect permanent / https://myserver.mydomain/
    </VirtualHost>
    
    <VirtualHost *:80>
      ServerName myserver.mydomain
      Redirect permanent / https://myserver.mydomain/
    </VirtualHost>
    
    <VirtualHost *:443>
                SSLEngine on
                SSLCertificateFile conf/server.crt
                SSLCertificateKeyFile conf/server.key
                ServerAdmin  me@mydomain
                ProxyRequests             Off
                ProxyPreserveHost On
                AllowEncodedSlashes NoDecode
                <Proxy *>
                            Order deny,allow
                            Allow from all
                </Proxy>
                ProxyPass         /  http://localhost:8080/ nocanon
                ProxyPassReverse  /  http://localhost:8080/
                ProxyPassReverse  /  http://myserver.mydomain/
                RequestHeader set X-Forwarded-Proto "https"
                RequestHeader set X-Forwarded-Port "443"
    </VirtualHost>
    

Я не зупиняв прослуховування Дженкінса на порту 8080, тому я все ще можу підключитися, якщо апарат не працює. Моя мета використання https - приховати параметри.