我正在尝试使用 Jenkins 作业(管道(从 json 端点读取一些信息,然后根据该信息执行某些操作。
它从中读取的端点是内部端点,应用程序可以通过 https 访问,其中包含由我们的内部 CA 自签名的证书。
下面是示例代码,由管道运行以解析 json:
new JsonSlurper().parse(new URL('https://my.internal.url/info'))?.application?.git?.commit
为了使它更复杂一些,我也在管道中使用了全局工具配置中的 Java 二进制文件。
当我运行管道时,出现以下错误:
sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
at sun.security.provider.certpath.SunCertPathBuilder.build(SunCertPathBuilder.java:141)
at sun.security.provider.certpath.SunCertPathBuilder.engineBuild(SunCertPathBuilder.java:126)
at java.security.cert.CertPathBuilder.build(CertPathBuilder.java:280)
at sun.security.validator.PKIXValidator.doBuild(PKIXValidator.java:392)
Caused: sun.security.validator.ValidatorException: PKIX path building failed
at sun.security.validator.PKIXValidator.doBuild(PKIXValidator.java:397)
at sun.security.validator.PKIXValidator.engineValidate(PKIXValidator.java:302)
at sun.security.validator.Validator.validate(Validator.java:260)
at sun.security.ssl.X509TrustManagerImpl.validate(X509TrustManagerImpl.java:324)
at sun.security.ssl.X509TrustManagerImpl.checkTrusted(X509TrustManagerImpl.java:229)
at sun.security.ssl.X509TrustManagerImpl.checkServerTrusted(X509TrustManagerImpl.java:124)
at sun.security.ssl.ClientHandshaker.serverCertificate(ClientHandshaker.java:1496)
Caused: javax.net.ssl.SSLHandshakeException
at sun.security.ssl.Alerts.getSSLException(Alerts.java:192)
at sun.security.ssl.SSLSocketImpl.fatal(SSLSocketImpl.java:1959)
...
Caused: groovy.json.JsonException: Unable to process url: https://my.internal.url/info
at groovy.json.JsonSlurper.parseURL(JsonSlurper.java:416)
at groovy.json.JsonSlurper.parse(JsonSlurper.java:379)
...
所以现在我试图让运行此代码的 JVM 知道这个 CA,但我无法弄清楚如何做到这一点。
我尝试下载根 CA 的 pem 文件,将其添加到系统证书中,然后通过执行以下操作将其导入 java 的系统默认cacerts文件 (/etc/ssl/certs/java/cacerts(:
curl -Lso /etc/ssl/certs/rootca1.pem "<DOWNLOAD LINK>"
&& chmod 777 /etc/ssl/certs/rootca1.pem
&& mkdir -p /usr/share/ca-certificates/projectname
&& cp /etc/ssl/certs/rootca1.pem /usr/share/ca-certificates/projectname/rootca1.crt
&& echo "projectname/rootca1.crt" >> /etc/ca-certificates.conf
&& update-ca-certificates -f
之后,当我使用一个类在java中测试SSL连接(如 https://gist.github.com/4ndrej/4547029(并运行java SSLPoke https://my.internal.url/info 443时,我可以成功连接。Jenkins 管道仍然失败并出现相同的错误。
然后我想,也许管道使用由全局工具配置复制到工作区的 java 二进制文件(即使这尚未在 Jenkinsfile 中完成(,所以我将 CA 添加到该工具的cacerts密钥库中,复制到工作区 ($WORKSPACE/tools/hudson.model.JDK/Java_8/jre/lib/security/cacerts(。
之后,我可以将该二进制文件与 SSLPoke 类一起使用以成功连接到 URL,但管道仍然失败......
所以我现在没有想法了...有没有人遇到过类似的问题并设法解决它们?无需移动到正式签名的证书(由于各种原因,内部 url 不是一个选项,甚至不是Let's Encrypt(。
提前感谢!
所以我们设法解决了这个问题。问题是,我们没有让我们的代理提供整个证书链。除了浏览器之外,例如openssl二进制文件(因此还有Java实现(无法即时加载缺少的中间证书。
因此,我们创建了一个证书,其中包含整个证书链(从叶证书到根证书(,现在一切正常。
我没有设法解决这个问题,但我们有一个解决方法。我们将证书放入从属容器中,并定期将其安装在所有节点上的所有 Java 安装中:
def jdksJava8 = ['Java 8', 'Java 8 Oracle']
def jdksJava11 = ['Java 11']
def nodeNames = env.'NODE_NAME' ? [env.'NODE_NAME'] : getNodeNames().sort().findAll { it.startsWith('my-node') }
stage 'Install myRootCA', {
currentBuild.displayName = "${env.'BUILD_NUMBER'}: ${env.'NODE_NAME' ?: 'all nodes'}"
parallel nodeNames.collectEntries { nodeName ->
[
(nodeName): {
node nodeName, {
jdksJava8.each { jdkName ->
withEnv(["JAVA_HOME=${tool jdkName}"]) {
sh '$JAVA_HOME/bin/java -version'
sh script: '$JAVA_HOME/bin/keytool -delete -keystore $JAVA_HOME/jre/lib/security/cacerts -storepass changeit -alias myRootCA', returnStatus: true
sh script: '$JAVA_HOME/bin/keytool -import -trustcacerts -noprompt -keystore $JAVA_HOME/jre/lib/security/cacerts -storepass changeit -alias myRootCA -file /usr/share/ca-certificates/myCompany/myRootCA.crt', returnStatus: true
}
}
jdksJava11.each { jdkName ->
withEnv(["JAVA_HOME=${tool jdkName}"]) {
sh script: '$JAVA_HOME/bin/keytool -delete -cacerts -storepass changeit -noprompt -alias myRootCA', returnStatus: true
sh script: '$JAVA_HOME/bin/keytool -importcert -cacerts -storepass changeit -noprompt -alias myRootCA -file /usr/share/ca-certificates/myCompany/myRootCA.crt', returnStatus: true
}
}
}
}
]
}
}
@NonCPS
def getNodeNames() {
jenkins.model.Jenkins.instance.nodes.collect { node -> node.name }
}
使用此脚本的作业现在每晚运行一次。如果我们必须重新启动节点,我们会在之后手动运行它以重新安装证书。