在极狐GitLab 配置 SSL/https

本文作者 徐晓伟

说明

  1. 极狐GitLab https 使用的是 nginx 实现的
  2. 本文使用的域名是IP 192.168.80.14(原因:如果使用域名,必须拥有这个域名的所有权,并增加解析才可以,要不然在 Docker 容器中,无法使用域名检出代码,因为根据域名找不到DNS记录)
  3. 如果使用自己生成的证书,git 检出代码、推送代码会失败,原因是无法验证证书的有效性,可以使用名 git config --global http.sslVerify false 禁用ssl的验证

生成证书

  1. 如果有域名,可以使用域名申请免费的证书,下载 Nginx 证书即可

    1. 阿里云SSL(https)证书免费申请
    2. 腾讯云SSL(https)证书免费申请
    3. 华为云SSL(https)证书免费申请
    4. 百度云SSL(https)证书免费申请
  2. 如果没有域名,可使用下列命令在 CentOS 上生成

  3. 创建证书文件夹

    复制代码
    mkdir -p /etc/gitlab/ssl
    cd /etc/gitlab/ssl
  4. 生成证书

    复制代码
    # 以 CentOS 为例
    # 如果出现 -bash: openssl: command not found,请安装 openssl:yum -y install openssl
    
    # 生成指定位数的 RSA 私钥:ca.key
    openssl genrsa -out ca.key 2048
    
    # 根据 RSA 私钥,生成 crt 证书:ca.crt
    # CN:设置你要使用的域名
    # -utf8:支持中文
    openssl req -new -x509 -days 3650 -key ca.key -subj "/C=CN/ST=山东/L=青岛/O=徐晓伟工作室/OU=徐晓伟工作室/CN=192.168.80.14/emailAddress=xuxiaowei@xuxiaowei.com.cn" -out ca.crt -utf8
    # openssl req -new -x509 -days 3650 -key ca.key -subj "/C=CN/ST=山东/L=青岛/O=徐晓伟工作室/OU=徐晓伟工作室/CN=gitlab.example.com/emailAddress=xuxiaowei@xuxiaowei.com.cn" -out ca.crt -utf8
    
    # 生成 server.csr、server.key
    # CN:设置你要使用的域名
    # -utf8:支持中文
    openssl req -newkey rsa:2048 -nodes -keyout server.key -subj "/C=CN/ST=山东/L=青岛/O=徐晓伟工作室/CN=192.168.80.14" -out server.csr -utf8
    # openssl req -newkey rsa:2048 -nodes -keyout server.key -subj "/C=CN/ST=山东/L=青岛/O=徐晓伟工作室/CN=gitlab.example.com" -out server.csr -utf8
    
    # 生成 ca.srl、server.crt
    # subjectAltName:设置 DNS、IP
    openssl x509 -req -extfile <(printf "subjectAltName=IP:192.168.80.14") -days 3650 -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt
    # openssl x509 -req -extfile <(printf "subjectAltName=DNS:gitlab.example.com") -days 3650 -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt
  5. 最终生成了:ca.crt、ca.key、ca.srl、server.crt、server.csr、server.key,其中 **server.crt **和 server.key 就是 Nginx 使用的证书

配置https

  1. 安装 vim

    复制代码
    yum -y install vim
  2. 编辑 gitlab.rb 文件

    复制代码
    vim /etc/gitlab/gitlab.rb
  3. 修改内容如下

    复制代码
    # 填写你的域名,注意是https
    external_url 'https://192.168.80.14'
    # 如果使用的是域名,填写域名
    # external_url 'https://gitlab.example.com'
    
    # 对应上方域名的证书
    # 将证书放在 /etc/gitlab/ssl 文件夹中
    # 如果使用的是阿里云等平台颁发的证书,此处可以使用 Nginx 证书,ssl_certificate 使用 .pem 文件
    nginx['ssl_certificate'] = "/etc/gitlab/ssl/server.crt"
    nginx['ssl_certificate_key'] = "/etc/gitlab/ssl/server.key"
    
    # http 重定向到 https
    nginx['redirect_http_to_https'] = true
    
    # 禁用 Let's Encrypt 颁发证书
    letsencrypt['enable'] = false
    
    # 限制GitLab实例使用的IP(在使用域名时使用,注意浏览器缓存问题)
    # nginx['listen_addresses'] = ['192.168.80.14']
  4. 重新配置 GitLab

    复制代码
    sudo gitlab-ctl reconfigure
  5. 查看GitLab各服务的状态

    复制代码
    sudo gitlab-ctl status
  6. 日志

    复制代码
    sudo gitlab-ctl tail nginx
  7. 修改DNS(或者在本地 hosts 将域名指向 GitLab服务器IP),访问 https://GitLab域名 即可(如果使用自己生成的证书,可能会提示* 您的连接不是私密连接*,忽略即可)。

更多关于极狐GitLab 信息和最佳实践,请搜索【极狐GitLab】。

相关推荐
AlfredZhao2 天前
Linux 主机防火墙如何同时开启 80 和 443?
http·https·firewall
想你依然心痛2 天前
持续集成在嵌入式开发中的实践:GitLab CI与交叉编译——自动化构建、固件生成
ci/cd·自动化·gitlab
小蜗牛的路2 天前
使用OpenSSL生成本地证书https+nginx
网络协议·nginx·https
Sean‘2 天前
GitLab 升级后 502:Puma 反复重启问题处理记录
docker·gateway·gitlab
NexTunnel3 天前
告别传统组网,也能安全访问公司 GitLab / SVN
安全·svn·gitlab
墨香幽梦客3 天前
数据安全三板斧:Https/SSL加密+PCI-DSS合规+HIPAA医疗数据防护
网络协议·https·ssl
牛奶6 天前
HTTPS你不知道的事
前端·https·浏览器
AlfredZhao9 天前
生产环境里,为什么不建议把普通端口直接暴露到公网?
linux·https·443·80
Avan_菜菜13 天前
FRP 内网穿透完整实战:从 HTTP 映射到 HTTPS 自签代理
运维·nginx·https
程序员mine20 天前
HTTPS-TLS加密与证书完全指南(中)
网络协议·https·ssl