Nexus Repository Manager 3, использующий SSL, недоступный браузерами или Docker - PullRequest
Новая
       24

Nexus Repository Manager 3, использующий SSL, недоступный браузерами или Docker

0 голосов
/ 07 ноября 2018

Я не Java-парень, но мы используем Nexus для наших пакетов NPM и Nuget и хотим начать использовать его также для размещения образов Docker, но я не могу заставить SSL работать, используя их руководство. Я использую версию 3.14

Я сгенерировал хранилище ключей и убедился, что он работает, используя:

keytool -printcert -sslserver localhost: 8444 -v

Мой файл nexus.properties содержит

ssl.etc = $ {karaf.data} / и т.д. / SSL
Приложение-порта SSL = 8444
нексус-арг = $ {jetty.etc} /jetty.xml, $ {jetty.etc} /jetty-http.xml, $ {jetty.etc} /jetty-requestlog.xml, $ {jetty.etc} / jetty- https.xml

Я попытался обновить local_policy.jar и US_export_policy.jar, попытался обновить JRE, и я все еще просто получаю

ERR_SSL_VERSION_OR_CIPHER_MISMATCH из chrome, когда я пробую браузер или TLS Handshake не удалось, Docker пытается войти в систему.

Ответы [ 2 ]

0 голосов
/ 07 ноября 2018

Я нашел проблему. Это было в том, как я генерировал хранилище ключей. Я использовал экспортированный сертификат .pfx из windows и пытался разбить его на отдельные части перед импортом в хранилище ключей.

Как только я попытался импортировать сертификат pfx, содержащий закрытый ключ, он заработал. Это только казалось, что работает после теста

keytool -printcert -sslserver localhost: 8444 -v

возвращал сертификат без ошибок.

0 голосов
/ 07 ноября 2018

Поскольку вы создаете хранилище ключей, убедитесь, что вы пользуетесь следующими общими советами.

  • Используйте AES или RSA (не DSA или DES) для вашего алгоритма ключа
  • Использовать 2048 бит (или больше. Перейти на 4096)
  • Используйте алгоритм надежной подписи, такой как SHA256 или SHA512 (не SHA, SHA1, MD5)
  • Тип хранилища ключей должен быть PKCS12 или JKS (для хранилища ключей Java)

Если вы используете DSA или DES, вы не сможете подключиться. Если вы используете слишком низкий битрейт, вы не сможете подключиться. Если вы используете плохой алгоритм подписи, вы не сможете подключиться.

См. https://www.eclipse.org/jetty/documentation/current/configuring-ssl.html для примеров создания хранилища ключей с использованием keytool или openssl.

...