本地虚机Jumpserver使用域名访问报错 使用IP+端口没有错误

背景:

我在本地Windows VMware 15的环境中部署了CentOS7.5,下载jumpserver-offline-installer-v2.28.1-amd64-138.tar.gz并安装部署。

需求:

1、能使用http:ip访问堡垒机。达成;

2、能使用http:域名访问堡垒机。达成;

3、能使用https:ip访问堡垒机。达成;

4、能使用https:域名访问堡垒机。达成;

5、最终目标是能在https:域名访问堡垒机时,证书安全。达成。

实现过程:

1、能使用http:ip访问堡垒机。

这一个过程比较简单,直接无脑离线安装 - JumpServer 文档操作就行,http:ip访问成功。

复制代码
server {

    listen 80;
    server_name demo.jumpserver.org;  # 自行修改成你的域名

    client_max_body_size 4096m;  # 上传文件大小限制

    location / {
            # 这里的 ip 是后端 JumpServer nginx 的 ip
            proxy_pass http://192.168.244.144;
            proxy_http_version 1.1;
            proxy_buffering off;
            proxy_request_buffering off;
            proxy_set_header Upgrade $http_upgrade;
            proxy_set_header Connection "upgrade";
            proxy_set_header Host $host;
            proxy_set_header X-Forwarded-For $remote_addr;
    }
}

在Config.txt中起作用的主要是这一段:

运行结果,页面上:

2、能使用http:域名访问堡垒机。

这一阶段只需要在上一个http://ip的基础上,修改一下hosts文件,把ip指向域名即可,代码如下:

复制代码
192.168.13.187 域名.com

效果如下:

3、能使用https:ip访问堡垒机。

这一阶段需要使用nginx代理,因此有两个选择,一个使用jumpserver自带的nginx,另一个是自己部署一套nginx。

使用jumpserver自带的nginx,可以修改jumpserver目录的conf下自带的lb_http_server.conf文件,参考反向代理 - JumpServer 文档

但我选择单独部署一个新的nginx代理https。jumpserver保持http://ip访问的配置,修改config.txt的内容把USE_LB=1屏蔽掉。nginx内给出如下配置。 在conf目录下新增cert目录,里面加入server.pem和server.key。

复制代码
worker_rlimit_nofile 15360;
events {
    #use                epoll;
    accept_mutex        off;
    multi_accept        on;
    worker_connections  10240;
}

http {
    include       mime.types;
    default_type  application/octet-stream;
    client_max_body_size 500M;
    server_tokens off;  ##hide version number

	server {
	    listen 8080;
	    server_name ********.com;  # 自行修改成你的域名
	    return 301 https://$server_name$request_uri;
	}
	server {
	    listen 443 ssl;
	    server_name          ********.com;  # 自行修改成你的域名
	    ssl_certificate      cert/server.pem;  # 自行设置证书
	    ssl_certificate_key  cert/server.key;  # 自行设置证书
	    ssl_session_timeout 1d;
	    ssl_session_cache shared:MozSSL:10m;
	    ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;
	    ssl_prefer_server_ciphers off;
	    ssl_protocols TLSv1.1 TLSv1.2;
	    add_header Strict-Transport-Security "max-age=63072000" always;
	
	    client_max_body_size 4096m;  # 录像及文件上传大小限制
	    
	    location / {
	        # 这里的 ip 是后端 JumpServer nginx 的 ip
	        proxy_pass http://192.168.13.187;
	        proxy_http_version 1.1;
	        proxy_buffering off;
	        proxy_request_buffering off;
	        proxy_set_header Upgrade $http_upgrade;
	        proxy_set_header Connection "upgrade";
	        proxy_set_header Host $host;
	        proxy_set_header X-Forwarded-For $remote_addr;
	    }
	}
}

结果:可以用https://ip来访问

ps:其实直接使用lb_http_server.conf,把server部分贴上去也可以实现该效果。

4、能使用https://域名访问堡垒机

https://ip成功的基础上,修改一下hosts文件,把ip指向域名即可。效果如下:

5、最终目标是能在https:域名访问堡垒机时,证书安全。

原本一直出不来安全的标志,发现是证书读取路径的问题,在nginx的conf目录下新增一个cert目录,然后把你的pem/crt和key放进去,并且在nginx.conf中配置代码如下:

复制代码
	server {
	    listen 443 ssl;
	    server_name          *********.com;  # 自行修改成你的域名
	    ssl_certificate      cert/server.pem;  # 自行设置证书
	    ssl_certificate_key  cert/server.key;  # 自行设置证书
        ... ...
    }

页面效果如下:

至此,大功告成。

相关推荐
广州灵眸科技有限公司3 小时前
xfce桌面旋转说明:基于灵眸科技EASY-EAI-Nano-TB
网络·网络协议·tcp/ip·算法·php
GlobalSign数字证书3 小时前
ACME 的 HTTP 验证和 DNS 验证,哪种更适合自动续期?
网络·网络协议·http
王九思4 小时前
对称加密与非对称加密详解
java·网络·数据库
米尔的可达鸭4 小时前
深入操作系统 Socket 底层:EPOLLOUT 可写事件管理 + 非阻塞异步
开发语言·网络·数据结构·经验分享·websocket·网络协议
国科安芯5 小时前
ASC8T245S 8通道电平转换设计实战:从系统架构到QFN24 Layout再到量产测试
网络·单片机·物联网·安全·fpga开发·系统架构
爱浦路 IPLOOK5 小时前
IMS核心网建设方案:全IP时代的语音与多媒体业务统一底座
网络·分布式·科技·5g·信息与通信
tiancaijiben5 小时前
阿里云SAE应用引擎弹性扩缩容完全指南:从手动调控到智能自动化
java·网络·数据库
泰和英杰5 小时前
2026 华为数字能源实操考点迭代:数据中心与光伏储能标准化故障排查方法论
运维·服务器·网络
灯琰117 小时前
STM32F4+W5500 移植与开发常见问题
网络
qyr678918 小时前
全球新能源汽车电机驱动器市场深度调研报告
大数据·网络·人工智能·自动化·汽车