Configuração correta do proxy reverso do Apache com SSL para Jenkins e Sonar

Navegue suas respostas
11

Estou executando dois serviços atrás de um servidor Apache: Jenkins (porta 8080) e SonarQube (porta 9000).

Minha configuração do apache se parece com isso: 

<VirtualHost *:80>
  ServerName server
  Redirect permanent / https://server.domain.com/
</VirtualHost>

<VirtualHost *:80>
  ServerName server.domain.com
  Redirect permanent / https://server.domain.com/
</VirtualHost>

<VirtualHost *:443>
  ServerName server.domain.com

  SSLEngine on
  SSLCertificateFile /etc/ssl/certs/server.crt
  SSLCertificateKeyFile /etc/ssl/private/server.key

  ProxyPass        /jenkins http://localhost:8080/jenkins nocanon
  ProxyPassReverse /jenkins http://localhost:8080/jenkins
  ProxyPassReverse /jenkins http://server.domain.com/jenkins
  ProxyPassReverse /jenkins https://server.domain.com/jenkins

  ProxyPass        /sonar http://localhost:9000/sonar nocanon
  ProxyPassReverse /sonar http://localhost:9000/sonar

  AllowEncodedSlashes NoDecode
  ProxyRequests Off
  ProxyPreserveHost On
  <Proxy http://localhost:8080/*>
    Order deny,allow
    Allow from all
  </Proxy>
</VirtualHost>

Tudo parece estar funcionando bem, exceto que Jenkins está reclamando com esta mensagem: Parece que o seu proxy reverso está quebrado.

Quando executo o teste ReverseProxySetupMonitor fornecido pelo Jenkins, a mensagem de erro indica que algo com o proxy reverso não está configurado corretamente, pois não substitui http por https: 

$ curl -iLk -e https://server.domain.com/jenkins/manage https://server.domain.com/jenkins/administrativeMonitor/hudson.diagnosis.ReverseProxySetupMonitor/test
[...]
404 http://server.domain.com/jenkins/manage vs. https://server.domain.com/jenkins/manage
[...]

Isso só apareceu depois Eu ativei o SSL no servidor (que agora está usando um certificado autoassinado).

Pergunta: Como corrijo a configuração do proxy reverso para que Jenkins seja feliz? Pontos de bônus para dicas de como melhorar o arquivo de configuração do apache.

Já verifiquei as duas questões relacionadas abaixo:

por friederbluemle 18.12.2014 / 09:19

2 respostas

9

Esta página na wiki Jenkins mencionou isso como em julho 2014 , a configuração recomendada para o proxy reverso Jenkins. O parâmetro ausente é RequestHeader set X-Forwarded-Proto "https" e RequestHeader set X-Forwarded-Port "443"

Então a configuração se tornou 

<VirtualHost *:443>
    SSLEngine on
    SSLCertificateFile /etc/ssl/certs/cert.pem
    ServerAdmin  webmaster@localhost
    ProxyRequests     Off
    ProxyPreserveHost On
    AllowEncodedSlashes NoDecode
    <Proxy *>
        Order deny,allow
        Allow from all
    </Proxy>
    ProxyPass         /  http://localhost:8080/ nocanon
    ProxyPassReverse  /  http://localhost:8080/
    ProxyPassReverse  /  http://www.example.com/
    RequestHeader set X-Forwarded-Proto "https"
    RequestHeader set X-Forwarded-Port "443"
</VirtualHost>
    
por 18.12.2014 / 13:26
1

Configuração do Windows Apache Front-end para Jenkins

As principais diferenças aqui são:

  • Como configurar um certificado temporário
  • parando o apache pairando sobre não ter nenhum cache de SSL

Minha configuração:

  • A instalação foi para d: \ (não c: \ - adapte isso às suas necessidades)

  • Jenkins está na porta 8080

  • Descompacte o Apache httpd-2.4.18-win64-VC14.zip (do link ) para d: \ .

  • Instale o OpenSSL Win64OpenSSL_Light-1_0_2f.exe ( link ) para d: \ OpenSSL-Win64

  • Crie o certificado ssl:

    • cd para o diretório bin do OpenSSL e execute a mágica: 

       pushd d:\OpenSSL-Win64\bin
 set OPENSSL_CONF=openssl.cfg
 openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout server.key -out server.crt

  • Copie os arquivos server * de d: \ OpenSSL-Win64 \ bin para D: \ Apache24 \ conf

  • Edite d: \ Apache24 \ conf \ httpd.conf:

    • Pesquise e substitua "c: /" por "d: /"

    • Mude após a linha "Listen 80", adicionando "Listen 443": 

      Listen 80
Listen 443

    • Remova o comentário destas linhas: 

      LoadModule headers_module modules/mod_headers.so
LoadModule proxy_module modules/mod_proxy.so
LoadModule proxy_ajp_module modules/mod_proxy_ajp.so
LoadModule proxy_http_module modules/mod_proxy_http.so
LoadModule rewrite_module modules/mod_rewrite.so
LoadModule socache_shmcb_module modules/mod_socache_shmcb.so
LoadModule ssl_module modules/mod_ssl.so
LoadModule vhost_alias_module modules/mod_vhost_alias.so

    • Atualize "#ServerName www.example.com:80" para: 

      ServerName myserver.mydomain:80

    • Adicione isto no final: 

      <IfModule socache_shmcb_module>
SSLSessionCache "shmcb:logs/ssl_scache(512000)"
</IfModule>

<VirtualHost *:80>
  ServerName myserver
  Redirect permanent / https://myserver.mydomain/
</VirtualHost>

<VirtualHost *:80>
  ServerName myserver.mydomain
  Redirect permanent / https://myserver.mydomain/
</VirtualHost>

<VirtualHost *:443>
            SSLEngine on
            SSLCertificateFile conf/server.crt
            SSLCertificateKeyFile conf/server.key
            ServerAdmin  me@mydomain
            ProxyRequests             Off
            ProxyPreserveHost On
            AllowEncodedSlashes NoDecode
            <Proxy *>
                        Order deny,allow
                        Allow from all
            </Proxy>
            ProxyPass         /  http://localhost:8080/ nocanon
            ProxyPassReverse  /  http://localhost:8080/
            ProxyPassReverse  /  http://myserver.mydomain/
            RequestHeader set X-Forwarded-Proto "https"
            RequestHeader set X-Forwarded-Port "443"
</VirtualHost>

Eu não parei de ouvir Jenkins na porta 8080, então ainda posso me conectar se o apache falhar. Meu objetivo ao usar o https é ocultar os parâmetros.

    
por 01.02.2016 / 17:00

Tags

Nginx: Como desabilitar completamente a solicitação de buffer do corpo Altere a senha do usuário na outra linha de comando do domínio