缺省情况下,Build Forge 组件设置为在启用 SSL 时使用某些端口和安全性设置。
使用缺省证书时,启用 SSL 相对比较简单。 本部分中的过程均基于该情况。
但是,通常建议不要在每个系统上使用相同的证书(专用密钥)。如果一个系统上的专用密钥泄密,那么可能危及整个基础结构的安全。通过强制实施物理安全性可以减少泄密的机会。
更安全的系统对于每个进程都使用一个证书。在 Build Forge 中,意味着您将执行以下操作:
以下部分说明 Build Forge 系统中强制实施 SSL 安全性的接口。
用户通过客户机接口访问 Build Forge 系统。
https://host/
host 是 Build Forge 运行的主机。如果设置 443 以外的端口用于对 Apache 进行安全访问,那么用户还必须指定端口:https://host:port/
Web 客户机将重定向至在 Apache Tomcat 服务器上运行的认证 servlet。
认证 servlet 接受登录凭证并认证用户。servlet 对凭证加密,以便凭证不会通过线路以明文格式显示。
<Connector port="8443" maxHttpHeaderSize="8192" algorithm="IbmX509"
maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
enableLookups="false" disableUploadTimeout="true"
acceptCount="100" scheme="https" secure="true"
clientAuth="false" sslProtocol="SSL_TLS"
keystoreFile="C:\BuildForge71.536\keystore\buildForgeKeyStore.p12"
keystorePass="password"
keystoreType="PKCS12"
truststoreFile="C:\BuildForge71.536\keystore\buildForgeTrustStore.p12"
truststorePass="password"
truststoreType="PKCS12"/>
API 客户机通过其服务层组件(运行在 Apache Tomcat 应用程序服务器上的应用程序)访问 Build Forge。API 客户机需要具有有效的 bfclient.conf 文件。
服务层组件使用 SSL 配置以进行入站通信。 该配置在 Build Forge 控制台中定义(缺省 JSSE 入站 SSL。
)。使用的缺省值为Build Forge 由 Web 接口组件(Apache Web 服务器和 PHP)、服务层组件和引擎组件构成。 Web 接口和引擎组件是服务层组件的客户机。API 程序客户机也是服务层组件的客户机。
Apache Tomcat 应用程序服务器端口 49150
服务层组件使用 SSL 配置以进行入站通信。 该配置在 Build Forge 控制台中定义(缺省 JSSE 入站 SSL。
)。使用的缺省值为Apache Tomcat 应用程序服务器端口 49150
Web 接口组件(通过 PHP)和引擎组件都使用 SSL 配置,该 SSL 配置专用于至服务层组件的出站通信。该配置在 Build Forge 控制台中定义( )。所使用的缺省值为缺省 JSSE 出站 SSL。要使 SSL 握手能够成功,客户机出站配置和服务层入站配置的 SSL 属性必须兼容。类型和握手协议属性必须匹配。
、每个 SSL 配置具有引用密钥库配置:
按名称指定配置。可以在
中定义这些配置。提供了若干缺省值。请参阅为代理程序通信启用 SSL。