ssl - 使用 StartSSL 配置 Jenkins - 添加发行者链

Question

我无法正确配置 Jenkins 以使用 StartSSL 证书。我使用命令行参数运行它，这些参数指定私钥和我的证书的路径，如 Jenkins Wiki 所示(底部:https://wiki.jenkins-ci.org/display/JENKINS/Starting+and+Accessing+Jenkins)。

• 我已经从 StartSSL 获得私钥和证书
• 我已将它们放在特定的文件夹中
• 我按如下方式运行 Jenkins:java -jar jenkins.war --httpPort=-1 --httpsPort=8080 --httpsCertificate=<mydomain.crt file> --httpsPrivateKey=<my private key file>

Jenkins 启动成功。开业https://mydomain:8080/在 Firefox 中表示连接不受信任:

mydomain:8080 uses an invalid security certificate.
The certificate is not trusted because no issuer chain was provided.
(Error code: sec_error_unknown_issuer)

我已经尝试验证 mydomain:8080在各种 SSL 检查器网站上:

OK mydomain resolves to xxx.xxx.xxx.xxx

OK The certificate was issued by StartCom.  

OK The certificate will expire in XXX days. 

OK The hostname (mydomain) is correctly listed in the certificate.

Not OK The certificate is not trusted in all web browsers.
       You may need to install an Intermediate/chain certificate
       to link it to a trusted root certificate.

StartSSL 没有关于设置 Jenkins 的明确说明。我已经尝试跟进其他类型服务器的类似教程，并将中间授权文件从 StartCom 复制到统一证书中(ca.pem 和 sub.class1.server.ca.pem，如此处所述:http://www.startssl.com/?app=42)。

然而，这并没有改变任何东西。

SSL 检查器，如 www.sslshopper.com/ssl-checker.html 仍然报告该网站不受信任。此外，出于同样的原因，GitHub 图像缓存服务未呈现来自 Jenkins 的构建状态图标。

如何将颁发者链正确添加到我的证书中？

Answer 1

我有一个类似的问题，经过一些研究，让一切都值得信赖的是:

1. 合并中间授权证书和<mydomain.crt file>进入 1 个名为 merged.cer 的统一证书使用您提到的链接

2. (来自:https://serverfault.com/questions/569866/jenkins-wont-serve-with-ca-signed-certificate)

   openssl pkcs12 -inkey /location/to/key.pem -in /location/to/merged.cer  -export -out keys.pkcs12
   
   keytool -importkeystore -srckeystore keys.pkcs12 -srcstoretype pkcs12 -destkeystore jenkins.jks
   

注意:用于 merged.cer 的 key 应与 <my private key file> 相同

然后按照 Jenkins Wiki 使用 KeyStore 而不是证书

    java -jar jenkins.war --httpPort=-1 --httpsPort=8080 --httpsKeyStore=/path/to/jenkins.jks --httpsPrivateKey=<my private key file>