Java 将内部CA导入Jenkins
我试图使用Jenkins作业(管道)从json端点读取一些信息,然后根据这些信息做一些事情 它从中读取的端点是内部端点,应用程序可以通过https访问,证书由我们的内部CA自签名 下面是示例代码,由管道运行以解析json:Java 将内部CA导入Jenkins,java,ssl,jenkins,jenkins-pipeline,self-signed,Java,Ssl,Jenkins,Jenkins Pipeline,Self Signed,我试图使用Jenkins作业(管道)从json端点读取一些信息,然后根据这些信息做一些事情 它从中读取的端点是内部端点,应用程序可以通过https访问,证书由我们的内部CA自签名 下面是示例代码,由管道运行以解析json: newjsonslurper().parse(新URL('https://my.internal.url/info“))?.application?.git?.commit 为了使它更复杂一点,我还使用了管道中全局工具配置中的Java二进制文件 当我运行管道时,我得到以下错误
newjsonslurper().parse(新URL('https://my.internal.url/info“))?.application?.git?.commit
为了使它更复杂一点,我还使用了管道中全局工具配置中的Java二进制文件
当我运行管道时,我得到以下错误:
sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
at sun.security.provider.certpath.SunCertPathBuilder.build(SunCertPathBuilder.java:141)
at sun.security.provider.certpath.SunCertPathBuilder.engineBuild(SunCertPathBuilder.java:126)
at java.security.cert.CertPathBuilder.build(CertPathBuilder.java:280)
at sun.security.validator.PKIXValidator.doBuild(PKIXValidator.java:392)
Caused: sun.security.validator.ValidatorException: PKIX path building failed
at sun.security.validator.PKIXValidator.doBuild(PKIXValidator.java:397)
at sun.security.validator.PKIXValidator.engineValidate(PKIXValidator.java:302)
at sun.security.validator.Validator.validate(Validator.java:260)
at sun.security.ssl.X509TrustManagerImpl.validate(X509TrustManagerImpl.java:324)
at sun.security.ssl.X509TrustManagerImpl.checkTrusted(X509TrustManagerImpl.java:229)
at sun.security.ssl.X509TrustManagerImpl.checkServerTrusted(X509TrustManagerImpl.java:124)
at sun.security.ssl.ClientHandshaker.serverCertificate(ClientHandshaker.java:1496)
Caused: javax.net.ssl.SSLHandshakeException
at sun.security.ssl.Alerts.getSSLException(Alerts.java:192)
at sun.security.ssl.SSLSocketImpl.fatal(SSLSocketImpl.java:1959)
...
Caused: groovy.json.JsonException: Unable to process url: https://my.internal.url/info
at groovy.json.JsonSlurper.parseURL(JsonSlurper.java:416)
at groovy.json.JsonSlurper.parse(JsonSlurper.java:379)
...
所以现在我试图让JVM知道这个CA,它运行这段代码,但我不知道怎么做
我尝试下载根CA的pem文件,将其添加到系统证书中,然后通过执行以下操作将其导入java的系统默认cacerts
文件(/etc/ssl/certs/java/cacerts
):
curl -Lso /etc/ssl/certs/rootca1.pem "<DOWNLOAD LINK>" \
&& chmod 777 /etc/ssl/certs/rootca1.pem \
&& mkdir -p /usr/share/ca-certificates/projectname \
&& cp /etc/ssl/certs/rootca1.pem /usr/share/ca-certificates/projectname/rootca1.crt \
&& echo "projectname/rootca1.crt" >> /etc/ca-certificates.conf \
&& update-ca-certificates -f
curl-Lso/etc/ssl/certs/rootca1.pem“”\
&&chmod 777/etc/ssl/certs/rootca1.pem\
&&mkdir-p/usr/share/ca证书/projectname\
&&cp/etc/ssl/certs/rootca1.pem/usr/share/ca certificates/projectname/rootca1.crt\
&&echo“projectname/rootca1.crt”>>/etc/ca-certificates.conf\
&&更新ca证书-f
之后,当我使用一个类来测试java中的ssl连接(like)并运行JavaSSLPoke时https://my.internal.url/info 443
我可以成功连接。詹金斯管道仍然失败,并出现相同的错误
然后我想,可能管道使用了由全局工具配置复制到工作区的java二进制文件(即使在Jenkins文件中还没有这样做),因此我将CA添加到该工具的cacerts
密钥库中,并将其复制到工作区中($WORKSPACE/tools/hudson.model.JDK/Java_8/jre/lib/security/cacerts
)
之后,我可以将该二进制文件与SSLPoke类一起使用,以成功连接到URL,但管道仍然失败
所以我现在没主意了…有没有人经历过类似的问题并设法解决了它们?没有转移到正式签署的证书(由于各种原因,内部URL不能选择,甚至我们不加密)
提前感谢!所以我们设法解决了这个问题。问题是,我们没有让代理提供整个证书链。除浏览器外,例如openssl二进制文件(以及Java实现)无法动态加载丢失的中间证书
因此,我们创建了一个包含整个证书链(从叶到根证书)的证书,现在一切正常。我没有设法解决这个问题,但我们有一个解决方法。我们将证书放入从属容器,并定期在所有节点上的所有Java安装中安装它:
def jdksJava8 = ['Java 8', 'Java 8 Oracle']
def jdksJava11 = ['Java 11']
def nodeNames = env.'NODE_NAME' ? [env.'NODE_NAME'] : getNodeNames().sort().findAll { it.startsWith('my-node') }
stage 'Install myRootCA', {
currentBuild.displayName = "${env.'BUILD_NUMBER'}: ${env.'NODE_NAME' ?: 'all nodes'}"
parallel nodeNames.collectEntries { nodeName ->
[
(nodeName): {
node nodeName, {
jdksJava8.each { jdkName ->
withEnv(["JAVA_HOME=${tool jdkName}"]) {
sh '$JAVA_HOME/bin/java -version'
sh script: '$JAVA_HOME/bin/keytool -delete -keystore $JAVA_HOME/jre/lib/security/cacerts -storepass changeit -alias myRootCA', returnStatus: true
sh script: '$JAVA_HOME/bin/keytool -import -trustcacerts -noprompt -keystore $JAVA_HOME/jre/lib/security/cacerts -storepass changeit -alias myRootCA -file /usr/share/ca-certificates/myCompany/myRootCA.crt', returnStatus: true
}
}
jdksJava11.each { jdkName ->
withEnv(["JAVA_HOME=${tool jdkName}"]) {
sh script: '$JAVA_HOME/bin/keytool -delete -cacerts -storepass changeit -noprompt -alias myRootCA', returnStatus: true
sh script: '$JAVA_HOME/bin/keytool -importcert -cacerts -storepass changeit -noprompt -alias myRootCA -file /usr/share/ca-certificates/myCompany/myRootCA.crt', returnStatus: true
}
}
}
}
]
}
}
@NonCPS
def getNodeNames() {
jenkins.model.Jenkins.instance.nodes.collect { node -> node.name }
}
使用此脚本的作业现在每晚都在运行。如果我们必须重新启动节点,我们会在之后手动运行它以重新安装证书。遗憾的是,问题没有得到解决。这只是问题的一部分。从Jenkins到从属容器的工具在容器重新启动时仍然没有根ca。因此,我仍然是l寻找解决方案…我也有同样的问题。你找到解决方案了吗?我们没有找到合适的解决方案。但我们现在有一个安静的解决方案。我把它作为一个答案添加到这篇文章中。希望这对你也有帮助!