nexus配置https及其客户端工具的配置

nexus配置https

场景：

公司要求关闭nexus的匿名登录功能，这样一来所有使用此nexus仓库的客户端命令行工具就要配置登录认证才可以使用nexus仓库的依赖包或镜像。

在大多数语言的命令行构建工具，比如：mvn、npm、pip等配置好登录认证信息后即可使用nexus，即使nexus没有配置https。

但是在实践中，go语言的命令行构建工具配置完登录认证是不可以的，报：“refusing to pass credentials to insecure URL”的错误，由此判断go可能要求nexus的协议为https的。

通过实验证实：go 在nexus以https协议提供服务后，即使关闭匿名登陆，只要配置好仓库地址和登录信息就可以正常使用了。

安装 Nexus 3

安装比较简单，下载并解压即可
下载地址：https://download.sonatype.com/nexus/3/nexus-3.24.0-02-unix.tar.gz (Nexus Repository Manager 3.24.0-02)

解压后目录结构

tar xf nexus-3.24.0-02-unix.tar.gz -C /usr/local/
tree /usr/local/nexus-3.24.0-02/ -L 1
/usr/local/nexus-3.24.0-02/
├── bin    # nexus可执行文件，通过./nexus start启动nexus
├── deploy
├── etc
├── lib
├── NOTICE.txt
├── OSS-LICENSE.txt
├── PRO-LICENSE.txt
├── public
└── system

配置自签名证书文件

运行该脚本，会在当前目录生成一个 keystore.jks

将 keystore.jks 放到/usr/local/nexus-3.24.0-02/etc/ssl 目录，方便管理

#!/bin/bash
NEXUS_DOMAIN=192.168.199.12       ##更改为你自己的nexus的IP
NEXUS_IP_ADDRESS=192.168.199.12   ##更改为你自己的nexus的IP
PASSWD=Nexus123					##这个密码我写的是nexus的登录密码，好像随便写也可以
keytool -genkeypair -keystore keystore.jks -storepass ${PASSWD}  -keypass ${PASSWD} -alias nexus -keyalg RSA -keysize 2048 -validity 5000 -dname "CN=${NEXUS_DOMAIN}, OU=Nexus, O=Nexus, L=Beijing, ST=Beijing, C=CN" -ext "SAN=IP:${NEXUS_IP_ADDRESS}" -ext "BC=ca:true"

生成客户端证书文件

keytool -export -alias nexus -keystore keystore.jks -file keystore.cer -storepass Nexus123

这里的Nexus123要对应脚本里面的passwd，运行上面的命令后会生成 keystore.cer文件。

自签名证书配置完毕

修改nexus配置文件

/usr/local/nexus-3.24.0-02/etc/nexus-default.propertie为nexus配置文件,可以修改端口等基本配置，修改前先备份。

cp nexus-default.propertie nexus-default.propertie.bak
vim nexus-default.propertie
## DO NOT EDIT - CUSTOMIZATIONS BELONG IN $data-dir/etc/nexus.properties
##
# Jetty section
application-port-ssl=8443    ##ssl端口
application-port=8081        ##http端口
application-host=0.0.0.0
nexus-args=${jetty.etc}/jetty.xml,${jetty.etc}/jetty-http.xml,${jetty.etc}/jetty-requestlog.xml,${jetty.etc}/jetty-https.xml
nexus-context-path=/

# Nexus section
nexus-edition=nexus-pro-edition
nexus-features=
 nexus-pro-feature

nexus.hazelcast.discovery.isEnabled=true

## 注：application-port-ssl和application-port都定义的有端口，则两个端口同时监听，要想访问http则访问8081，要想访问https则访问8443

再修改/usr/local/nexus-3.24.0-02/etc/jetty/jetty-https.xml文件。

 <Set name="KeyStorePath">/opt/nexus-3.10.0-04/etc/ssl/keystore.jks</Set>
    <Set name="KeyStorePassword">Nexus123</Set>
    <Set name="KeyManagerPassword">Nexus123</Set>
    <Set name="TrustStorePath">/opt/nexus-3.10.0-04/etc/ssl/keystore.jks</Set>
    <Set name="TrustStorePassword">Nexus123</Set>

或
    <Set name="KeyStorePath"><Property name="ssl.etc"/>/keystore.jks</Set>
    <Set name="KeyStorePassword">Nexus123</Set>
    <Set name="KeyManagerPassword">Nexus123</Set>
    <Set name="TrustStorePath"><Property name="ssl.etc"/>/keystore.jks</Set>
    <Set name="TrustStorePassword">Nexus123</Set>

两个Path区别，如果生成的证书文件在/usr/local/nexus-3.24.0-02/etc/ssl/目录下，则使用默认的，及下面的，否则不在ssl目录下，需要指明证书所在目录的绝对路径。

启动nexus

cd /usr/local/nexus-3.24.0-02/bin/
./nexus start

ss -tnl
State      Recv-Q Send-Q		Local Address:Port		Peer Address:Port              
LISTEN     0      50         	*:8081                   *:*                  
LISTEN     0      1             127.0.0.1:41778          *:*                  
LISTEN     0      128           *:22                     *:*                  
LISTEN     0      100           127.0.0.1:25             *:*                  
LISTEN     0      50            *:8443                   *:*                  
LISTEN     0      128           :::22                    :::*                  
LISTEN     0      100           ::1:25                   :::* 
## 若启动失败，则查看日志报错
## 日志所在目录：/usr/local/sonatype-work/nexus3/log/nexus.log

浏览器访问

http访问

https访问

命令行编译工具的配置

mvn

<!-- maven的settings.xml文件-->
<server>
      <id>nexus</id>
      <username>admin</username>
      <password>Nexus123</password>
   </server>      
........
<mirror>
      <id>nexus</id>
      <mirrorOf>*</mirrorOf>
      <url>http://192.168.199.12:8081/repository/maven-public/</url>
    </mirror>
........
<profile>
      <id>nexus</id>
      <repositories>
          <repository>
              <id>nexus</id>
              <url>http://192.168.199.12:8081/repository/maven-public/</url>
          <releases>
              <enabled>true</enabled>
              <updatePolicy>always</updatePolicy>
          </releases>
          <snapshots>
              <enabled>true</enabled>
              <updatePolicy>always</updatePolicy>
          </snapshots>
      </repository>
      </repositories>
  </profile>
...........
<activeProfile>nexus</activeProfile>

npm

## 删除~/.npmrc文件
npm config set metrics-registry "http://192.168.199.12:8081/repository/npm-group/"
npm config set registry "http://192.168.199.12:8081/repository/npm-group/"
npm login http://192.168.199.12:8081/repository/npm-group/
username:
passwd:
email:

## ~/.npmrc文件
metrics-registry=http://192.168.199.12:8081/repository/npm-group/
registry=http://192.168.199.12:8081/repository/npm-group/
//192.168.199.12:8081/repository/npm-group/:_authToken=NpmToken.f237c4f7-fdee-3650-9d6f-84fec4de2124

最后一行是执行完npm login操作以后自动生成的。

pip

## 修改 ~/.pip/pip.conf
## 没有pip.conf则创建即可

[global]
index-url = http://admin:Nexus123@192.168.199.12:8081/repository/pip-proxy-ali/simple
[install]
trusted-host = 192.168.199.12

go

go env -w GO111MODULE="on" 
go env -w GOSUMDB=off
go env -w GOPROXY=https://admin:Nexus123@192.168.199.12:8443/repository/go-group/
export GOPROXY=https://admin:Nexus123@192.168.199.12:8443/repository/go-group/


## GO111MODULE变量说明：GO111MODULE 为开启或关闭模块的支持，它有三个可选值：off、on、auto，默认值是 auto。
GO111MODULE=off 无模块支持，go 会从 GOPATH 和 vendor 文件夹寻找包。
GO111MODULE=on 模块支持，go 会忽略 GOPATH 和 vendor 文件夹，只根据 go.mod 下载依赖。
GO111MODULE=auto 在 $GOPATH/src 外面且根目录有 go.mod 文件时，开启模块支持。

特别注意：

对于使用http或https的登录认证请求，一般可以直接将登录信息写在http或https://username:password@ip或域名。但是如果密码中存在特殊符号，如“#”、“！”等，则填写时需要将特殊符号百分比保留字符编码，特殊符号替换为表格第二行的内容。如：密码为：Smbands!，则要写为：https://admin:Smbands%21@IP或域名。

具体可以参考：https://en.wikipedia.org/wiki/Percent-encoding#Percent-encoding_reserved_characters