Proyektor adalah cara menjalankan IntelliJ IDEA pada server jarak jauh. Baru-baru ini saya menulis artikel tentang ini , tetapi saya tetap diam tentang hal penting untuk setiap paranoid - mengenkripsi data pada soket web.
Membuat dan mengatur kunci adalah pekerjaan yang agak suram. Di sini Anda harus berkenalan dengan fitur Docker dan kriptografi di Jawa. Sayangnya, Anda tidak dapat melepaskan diri dari ini, karena ini Java, dan orang-orang di JetBrains sama sekali tidak bisa disalahkan.
Dalam artikel aslinya, teks ini ditutupi dengan spoiler, tetapi kemudian saya merasa tidak mungkin membaca dinding teks seperti itu dan melahirkan teks ini. Maaf sebelumnya Dengan membuka artikel ini, Anda setuju bahwa Anda tidak akan menyukai apa yang Anda lihat.
Membuat kunci
Pertama, kita perlu membuat satu set kunci. Untuk melakukan ini, Anda perlu menginstal OpenJDK dan menggunakan alat keytool.
Membuat kunci adalah banyak langkah. Saya menulis naskah untuk diri saya sendiri , dan saya mendorong Anda untuk menggunakannya.
mkdir ~/keystore
cd ~/keystore
curl https://raw.githubusercontent.com/projectile-ide/projectile-keymaker/master/projectile-keymaker --output ./keymaker
chmod 755 ./keymaker
./projectile-keymaker projector idea true IP 192.168.1.1 mypassword
Namun, tidak ada yang mencegah Anda melakukannya sendiri. Yang utama adalah bahwa outputnya adalah dua file penting: ca.crt
dan server.jks
.
ca.crt
Apakah Otoritas Sertifikat kami yang menandatangani kunci server. Anda harus memaksa browser untuk percaya padanya.server.jks
— IDEA.
- , . .
Certificate Authority (CA), .
keytool -genkeypair -v \
-alias ca \
-dname "CN=myCA, OU=Development, O=myCA, L=SPB, S=SPB, C=RU" \
-keystore ca.jks \
-keypass:env PW \
-storepass:env PW \
-keyalg RSA \
-keysize 4096 \
-ext KeyUsage:critical="keyCertSign" \
-ext BasicConstraints:critical="ca:true" \
-validity 9999
: -keypass:env PW
. , ( bash history), .
export PW=mypassword
, bash history. .
, :
export PW=`pwgen -Bs 10 1`
echo $PW > password
:
export PW=`cat password`
, ? , , . , — . , , PW
.
...
CA , - JKS, . , crt:
keytool -export -v \
-alias ca \
-file ca.crt \
-keypass:env PW \
-storepass:env PW \
-keystore ca.jks \
-rfc
(, ):
keytool -genkeypair -v \
-alias server \
-dname "CN=myServer, OU=Development, O=myServer, L=SPB, S=SPB, C=RU" \
-keystore server.jks \
-keypass:env PW \
-storepass:env PW \
-keyalg RSA \
-keysize 2048 \
-validity 385
, . , :
keytool -certreq -v \
-alias server \
-keypass:env PW \
-storepass:env PW \
-keystore server.jks \
-file server.csr
CA, :
keytool -gencert -v \
-alias ca \
-keypass:env PW \
-storepass:env PW \
-keystore ca.jks \
-infile server.csr \
-outfile server.crt \
-ext KeyUsage:critical="digitalSignature,keyEncipherment" \
-ext EKU="serverAuth" \
-ext SAN="IP:192.168.1.1" \
-rfc
, SAN : "DNS:website.com", . "IP:192.168.1.1", . IP, , , .
, , JKS CA ( ):
keytool -import -v \
-alias ca \
-file ca.crt \
-keystore server.jks \
-storetype JKS \
-storepass:env PW << EOF
yes
EOF
JKS:
keytool -import -v \
-alias server \
-file server.crt \
-keystore server.jks \
-storetype JKS \
-storepass:env PW
, :
keytool -list -v \
-keystore server.jks \
-storepass:env PW
/home/olegchir/keystore/ssl.properties
:
STORE_TYPE=JKS
FILE_PATH=/tmp/server.jks
STORE_PASSWORD=mypassword
KEY_PASSWORD=mypassword
, , , .
(/home/olegchir
) , - . , , . olegchir
, .
/tmp/server.jks
, /home/olegchir/keystore/server.jks
? , , . .
Projector, . docker run
, .
, run-container.sh
:
docker run --rm -p 8080:8080 -p 8887:8887 -it "$containerName" bash -c "nginx && ./run.sh"
:
ORG_JETBRAINS_PROJECTOR_SERVER_SSL_PROPERTIES_PATH
;ORG_JETBRAINS_PROJECTOR_SERVER_HANDSHAKE_TOKEN
, URL, ;- ( )
/tmp
.
docker run --rm \
-v /home/olegchir/keystore/ssl.properties:/tmp/ssl.properties \
-v /home/olegchir/keystore/server.jks:/tmp/server.jks \
--env ORG_JETBRAINS_PROJECTOR_SERVER_SSL_PROPERTIES_PATH=/tmp/ssl.properties \
--env ORG_JETBRAINS_PROJECTOR_SERVER_HANDSHAKE_TOKEN=mypassword \
-p 8080:8080 -p 8887:8887 -it "$containerName" bash -c "nginx && ./run.sh"
!
./run-container.sh
- . :
[INFO] :: ProjectorServer :: WebSocket SSL is enabled: /tmp/ssl.properties
[INFO] :: ProjectorServer :: Server started
ca.crt
, . .
-. , .
Firefox:
- Privacy & Security
- — View Certificates
- Authorities
- Import...
- , .
- .
Chrome Windows:
- Privacy and security
- Securty
- Manage certificates
- Trusted Root Certification Authorities
- Import...
- , , Trusted Root Certification Authorities.
- Chrome. Windows . Chrome, , Chrome. Delete.
- Chrome .
Chrome Linux:
- Privacy and security
- Securty
- Manage certificates
- Authorities
- Import...
-
ca.crt
, - , .
- .
Chrome Fully Kiosk Browser Android:
Android . Huawei MediaPad M5 Solid Explorer .
:
- Settings
- Security & privacy
- More Settings
- Encription and credentials
- Install from storage
-
ca.crt
- .
, Android- , "Install from storage" , . .
: https://localhost:8080/projector/?wss&token=mypassword
: https://hostname:8080/projector/?wss&host=hostname&port=8887&token=mypassword
Jika semuanya gagal, coba buka URL https://hostname:8887
dan lihat apa yang ditulis browser. Mungkin akan ada tombol seperti "percaya server ini selamanya" atau sesuatu seperti itu. Mungkin akan ada pesan kesalahan yang cukup jelas.
kesimpulan
Menyiapkan koneksi yang aman lama dan membuat frustrasi. Anda perlu mengetik banyak perintah di konsol yang tidak dapat dihafalkan dengan hati, mencari-cari file docker, mentransfer file ke perangkat seluler. Jika Anda membuat kesalahan di suatu tempat dalam setidaknya satu huruf, maka tidak ada yang berhasil.
Di sisi lain, saya melakukannya sekali - dan hidup dalam damai.