ssl-certificate - 如何使用gitlab加密？

Question

当我偶然发现let's encrypt时，我开始查看ssl证书，我想将它与gitlab一起使用，但是它正在树莓派2上运行，并且现在运行得非常完美(所以我不想弄乱任何东西) ，他会去正确安装一个let加密ssl证书吗？
PS:我的安装是综合的

Answer 1

有两种方法取决于您的基础结构设置(Raspi，大型云服务器或介于两者之间的某种方法):

如果您有一个外部可访问服务器(表示您的Gitlab主机可从Let´s Encrypt服务器进行调用，这是Let´s Encrypt的自动机制来验证您“拥有”某个域的必要机制，例如gitlab.yoursite.com和对应且经过DNS解析的服务器/主机)(从Gitlab版本10.7开始)唯一需要做的就是将的添加到/etc/gitlab/gitlab.rb中的gitt_code中的 http (如marcolz所述):
external_url 'https://gitlab.yoursite.com'

从 https://docs.gitlab.com/omnibus/settings/ssl.html#let-39-s-encrypt-integration中的文档中:

Omnibus-gitlab can automatically fetch and renew certificates from Let's Encrypt for you.

如果Let's Encrypt服务器无法从外部访问您的Gitlab主机，则整个过程会更加困难!然后，您将留下让Gitlab Omnibus为您完成繁重工作的好方法。 您肯定需要立即自己获取Let's Encrypt证书! 有一些方法可以获取Let's Encrypt证书，而无需外部可访问的服务器。

我选择并建议的方法是，使用替代的Let's Encrypt客户端dehydrated和dns-lexicon来完全自动化获取证书的过程，并与Let´s Encrypt dns-challenge一起在2016年推出。唯一的方法是，在不需要外部可访问的服务器的情况下-但是您再次需要“拥有”某个域，例如gitlab.yoursite.com 和，您需要对托管域的DNS提供程序进行API访问(此处为list of supported DNS providers in that case )。

由于整个过程非常复杂，因此我创建了一个完全可理解的Ansible剧本prepare-gitlab.yml，其中为您处理了安装Omnibus的Gitlab的每个步骤(完整的GitHub资源可在此处找到:https://github.com/jonashackt/gitlab-ci-stack)。

如果您只想创建Let's Encrypt证书，请查看obtain-letsencrypt-certs-dehydrated-lexicon.yml-即使您不想使用Ansible，也可以在控制台上手动重现每个步骤，或使用其他自动化工具，例如Chef或Saltstack(尽管我个人不建议这样做)。另一种方法是从词典人员那里浏览这个很棒的博客文章:https://blog.thesparktree.com/generating-intranet-and-private-network-ssl，从我基本上从中开发剧本的那些描述步骤中了解。

无论选择哪种方式，请不要忘记复制手动(或自动)获取的Let's Encrypt证书
/srv/dehydrated/certs/{{ gitlab_domain }}/fullchain.pem
至
/etc/gitlab/ssl/{{ gitlab_domain }}.crt
和
/srv/dehydrated/certs/{{ gitlab_domain }}/privkey.pem
至
/etc/gitlab/ssl/{{ gitlab_domain }}.key
Gitlab会自动为您从那里取它们，因为docs在the way to manually configure HTTPS

中声明