命令行配置方式

以下章节将从单管理节点和多管理节点物理机高可用两个场景,分别介绍HTTPS方式登录UI的命令行配置方法。
  • HTTPS方式默认不启用。
  • 启用HTTPS后,系统默认支持5443端口,且支持自定义指定其它端口登录。
  • 启用HTTPS后,如使用HTTP方式的5000端口登录,将会自动重定向到HTTPS方式。目前仅支持HTTP的5000端口自动重定向到HTTPS。
  • 系统默认支持PKCS12格式证书。目前仅提供PKCS12/JKS格式证书支持,如使用其它格式证书,请自行格式转换。

单管理节点场景

本章节主要介绍单管理节点场景下,如何使用默认HTTPS方式登录UI、如何使用自定义HTTPS方式登录UI,以及如何恢复HTTP方式登录UI。


默认HTTPS方式

初始状态下,支持使用系统默认证书以HTTPS方式登录UI。
  1. 在管理节点执行以下命令,停止管理节点服务和UI服务
    zstack-ctl stop
  2. 确保VNC控制台支持HTTPS功能。
    1. 执行以下命令,查看证书的路径和私钥密码(初始状态下均为系统默认值)。
      zstack-ctl show_ui_config
      例如:
      [root@localhost ~]# zstack-ctl show_ui_config db_url = jdbc:mysql://10.0.233.184:3306 db_username = zstack_ui db_password = zstack.ui.password mn_host = 127.0.0.1 mn_port = 8080 webhook_host = 127.0.0.1 webhook_port = 5000 server_port = 5000 log = /usr/local/zstack/apache-tomcat/logs enable_ssl = false ssl_keyalias = zstackui ssl_keystore = /usr/local/zstack/zstack-ui/ui.keystore.p12 //证书路径 ssl_keystore_type = PKCS12 ssl_keystore_password = password //私钥密码
    2. 由于UI默认支持PKCS12格式证书,VNC控制台代理默认支持x509格式证书,如希望VNC控制台代理也能使用UI证书,需将PKCS12格式证书转换成x509格式。
      openssl pkcs12 -in /path/to/mykeystore.p12 -out ui.keystore.pem -nodes

      其中,/path/to/mykeystore.p12是PKCS12格式的证书,ui.keystore.pem是转换后x509格式的证书。

      例如:
      [root@localhost ~]# openssl pkcs12 -in /usr/local/zstack/zstack-ui/ui.keystore.p12 -out ui.keystore.pem -nodes Enter Import Password: MAC verified OK
    3. 进入/usr/local/zstack/apache-tomcat/webapps/zstack/WEB-INF/classes/zstack.properties修改zstack.properties配置文件,将证书路径设置为绝对路径(绝对路径指向证书私钥密码文件)。
      consoleProxyCertFile = /usr/local/zstack/zstack-ui/ui.keystore.pem
  3. 执行以下命令,将基于默认配置自动生成证书,并使用默认证书以HTTPS方式登录UI,端口默认为5443。
    zstack-ctl config_ui --enable-ssl True
  4. 在管理节点执行以下命令,启动管理节点服务和UI服务
    zstack-ctl start
  5. 使用Chrome浏览器或FireFox浏览器进入ZStack Cloud管理界面(https://your_domain_name:5443),输入默认用户名和密码(admin/password),即可以默认HTTPS方式成功登录。
  6. 设置控制台代理地址。

    登录UI界面,ZStack Cloud主菜单,点击运营管理 > 访问控制 > 控制台代理按钮,将控制台代理设置为your_domain_name,确保控制台正常打开。

  7. 在管理节点执行以下命令,重启Zops服务,确保云平台上的物理机可以正常使用Web终端功能:
    zops restart

自定义HTTPS方式

初始状态下,支持使用自定义证书以HTTPS方式登录UI。
  1. 准备好自定义证书,可使用相关工具生成自签证书,也可购买正规CA签发证书。
    如使用Keytool(Java数据证书管理工具)生成自签证书:
    mkdir certs  keytool -genkey -alias tomcat  -storetype PKCS12 -keyalg RSA -keysize 2048 -keystore ./certs/keystore.p12 -validity 365
    例如:
    [root@localhost ~]# mkdir certs [root@localhost ~]# keytool -genkey -alias tomcat  -storetype PKCS12 -keyalg RSA -keysize 2048 \ -keystore ./certs/keystore.p12 -validity 365 输入密钥库口令: 再次输入新口令: 您的名字与姓氏是什么?   [Unknown]:  Jack Chen 您的组织单位名称是什么?   [Unknown]:  ZStack 您的组织名称是什么?   [Unknown]:  DOC 您所在的城市或区域名称是什么?   [Unknown]:  SH 您所在的省/市/自治区名称是什么?   [Unknown]:  SH 该单位的双字母国家/地区代码是什么?   [Unknown]:  CN CN=Jack Chen, OU=Cloud, O=DOC, L=SH, ST=SH, C=CN是否正确?   [否]:  是 [root@localhost certs]# ls keystore.p12
  2. 在管理节点执行以下命令,停止管理节点服务和UI服务
    zstack-ctl stop
  3. 确保VNC控制台支持HTTPS功能。
    1. VNC控制台代理默认支持x509格式证书,如有需要,进行证书格式转换。
      如将PKCS12格式证书转换成x509格式:
      openssl pkcs12 -in /path/to/mykeystore.p12 -out ui.keystore.pem -nodes

      其中,/path/to/mykeystore.p12是PKCS12格式的证书,ui.keystore.pem是转换后x509格式的证书。

      例如:
      [root@localhost ~]# openssl pkcs12 -in /root/certs/keystore.p12 -out ui.keystore.pem -nodes Enter Import Password: MAC verified OK
    2. 修改zstack.properties配置文件,将证书路径设置为绝对路径(绝对路径指向证书私钥密码文件)。
      consoleProxyCertFile = /usr/local/zstack/zstack-ui/ui.keystore.pem
  4. 执行以下命令,自定义证书别名、证书路径、证书类型、私钥密码、HTTPS登录端口等信息,并使用自定义证书以HTTPS方式登录UI。
    zstack-ctl config_ui --enable-ssl True \ --ssl-keyalias=*** --ssl-keystore=*** --ssl-keystore-type=*** \ --ssl-keystore-password=*** --server-port=*** --webhook-port=*** //将自定义参数信息记录到zstack.ui.properties配置文件 //包括设置:启用HTTPS功能、证书别名、证书路径、证书类型、私钥密码、HTTPS登录端口  zstack-ctl show_ui_config //可查看自定义参数信息  zstack-ctl stop_ui zstack-ctl start_ui //每次以HTTPS方式登录UI
    例如:
    [root@localhost ~]# zstack-ctl config_ui --enable-ssl True \ --ssl-keyalias=tomcat --ssl-keystore=/root/certs/keystore.p12 --ssl-keystore-type=PKCS12 \ --ssl-keystore-password=password --server-port=8888 [root@localhost ~]# zstack-ctl show_ui_config db_url = jdbc:mysql://10.0.233.184:3306 db_username = zstack_ui db_password = zstack.ui.password mn_host = 127.0.0.1 mn_port = 8080 webhook_host = 127.0.0.1 webhook_port = 5000 server_port = 8888 log = /usr/local/zstack/apache-tomcat/logs enable_ssl = true ssl_keyalias = tomcat ssl_keystore = /usr/local/zstack/zstack-ui/ui.keystore.p12.cp ssl_keystore_type = PKCS12 ssl_keystore_password = password [root@localhost ~]# zstack-ctl stop_ui successfully stopped the UI server [root@localhost ~]# zstack-ctl start_ui successfully started UI server on the local host, PID[32166], https://10.0.233.184:8888
  5. 在管理节点执行以下命令,启动管理节点服务和UI服务。
    zstack-ctl start
  6. 使用Chrome浏览器或FireFox浏览器进入ZStack Cloud管理界面(https://your_domain_name:your_server_port),输入默认用户名和密码(admin/password),即可以自定义HTTPS方式成功登录。
    说明:
    若使用FireFox浏览器无法正常打开VNC控制台,请按如下步骤解决:
    1. 使用FireFox浏览器访问https://your_domain_name:4900
    2. 根据FireFox浏览器的提示,将https://your_domain_name:4900添加到安全例外(Exception);
    3. 使用FireFox浏览器打开VNC控制台。

    更多详情可参考FireFox官网文章

  7. 设置控制台代理地址。

    登录UI界面,ZStack Cloud主菜单,点击运营管理 > 访问控制 > 控制台代理按钮,将控制台代理设置为your_domain_name,确保控制台正常打开。

  8. 在管理节点执行以下命令,重启Zops服务,确保云平台上的物理机可以正常使用Web终端功能:
    zops restart




历史版本

学习路径

ZStack Cloud 产品学习路径

快速梳理文档,点击相应文本链接,快速跳转到相应文档的页面,学习 ZStack Cloud 产品。

我知道了

升级提醒

若您选择升级至4.0.0及之后版本,请注意以下功能调整:

1. 云路由器全面升级为VPC路由器,云路由网络全面升级为VPC网络,不再单独设云路由器页面。升级全程无感知,相关业务不受任何影响。

2. 企业管理账号体系取代用户组与用户,不再单独设用户/用户组页面,不可再使用用户/用户组账号登录云平台。升级前,请先将“用户组与用户”纳管的账号数据妥善迁移至“企业管理”纳管,再执行升级操作。注意:对于admin创建并具备admin权限的用户账号同步取消,如有需要,可使用企业管理账号体系中的平台管理员实现相同功能。

3. 调整AD/LDAP与账户的对接管理方式,统一由企业管理纳管,不再单独设AD/LDAP页面。升级前,请先将“账户”对接纳管的AD/LDAP账号数据妥善迁移至“企业管理”纳管,再执行升级操作。

如对上述升级提醒有任何疑问或需要升级帮助,请联系ZStack官方技术支持

下载ZStack企业版

您已填写过基本信息?点击这里

姓名应该不少于两个字符
手机号格式错误
验证码填写错误 获取短信验证码 60 秒后可重发
公司名称不应该少于4个字符
邮箱格式错误

下载链接将会通过邮件形式发送至您的邮箱,请谨慎填写。

同意 不同意

我已阅读并同意云轴科技 《法律声明》《隐私政策》用户管理规则及公约

下载ZStack企业版

还未填写过基本信息?点击这里

邮箱或手机号码格式错误
同意 不同意

我已阅读并同意云轴科技 《法律声明》《隐私政策》用户管理规则及公约

验证手机号
手机号格式错误
验证码填写错误 获取短信验证码 60 秒后可重发
同意 不同意

我已阅读并同意云轴科技 《法律声明》《隐私政策》用户管理规则及公约

登录观看培训视频
仅对注册用户开放,请 登录 观看培训视频

业务咨询:

400-962-2212 转 1

售后咨询:

400-962-2212 转 2

其他(漏洞提交、投诉举报等)

400-962-2212 转 3
ZStack认证培训咨询
姓名应该不少于两个字符
手机号格式错误
验证码填写错误 获取短信验证码 60 秒后可重发
公司名称不应该少于4个字符
邮箱格式错误

同意 不同意

我已阅读并同意云轴科技 《法律声明》《隐私政策》用户管理规则及公约

业务咨询:

400-962-2212 转 1

ZStack学院:

training@zstack.io
申请ZStack多机版
姓名应该不少于两个字符
手机号格式错误
验证码填写错误 获取短信验证码 60 秒后可重发
公司名称不应该少于4个字符
邮箱格式错误

同意 不同意

我已阅读并同意云轴科技 《法律声明》《隐私政策》用户管理规则及公约

业务咨询:

400-962-2212 转 1

售后咨询:

400-962-2212 转 2

其他(漏洞提交、投诉举报等)

400-962-2212 转 3
立即咨询
姓名应该不少于两个字符
手机号格式错误
验证码填写错误 获取短信验证码 60 秒后可重发
公司名称不应该少于4个字符
邮箱格式错误

同意 不同意

我已阅读并同意云轴科技 《法律声明》《隐私政策》用户管理规则及公约

业务咨询:

400-962-2212 转 1

售后咨询:

400-962-2212 转 2

其他(漏洞提交、投诉举报等)

400-962-2212 转 3
培训认证合作伙伴申请
姓名应该不少于2个字符
手机号格式错误
验证码填写错误 获取短信验证码 60 秒后可重发
邮箱格式错误
城市名称不应该少于2个字符
公司名称不应该少于4个字符
职位名称不应该少于2个字符

同意 不同意

我已阅读并同意云轴科技 《法律声明》《隐私政策》用户管理规则及公约

业务咨询:

400-962-2212 转 1

商务联系:

channel@zstack.io
ZStack&工信人才联合证书申请
已获得ZStack原厂证书
未获得ZStack原厂证书
请填写您的基本信息
姓名应该不少于2个字符
手机号格式错误
验证码填写错误 获取短信验证码 60 秒后可重发
邮箱格式错误
城市名称不应该少于2个字符
公司/学校名称不应该少于4个字符
证书类型
ZCCT
ZCCE
ZCCA
ZCPC-ISP
申请ZStack&工信人才联合证书须支付工本费,是否可以接受
同意 不同意

我已阅读并同意云轴科技 《法律声明》《隐私政策》用户管理规则及公约

业务咨询:

400-962-2212 转 1

商务联系:

channel@zstack.io

下载链接已发送至您的邮箱。

如未收到,请查看您的垃圾邮件、订阅邮件、广告邮件。 当您收到电子邮件后,请点击 URL 链接,以完成下载。

下载链接已发送至您的邮箱。

如未收到,请查看您的垃圾邮件、订阅邮件、广告邮件。
或点击下方URL链接 (IE内核浏览器请右键另存为), 完成下载:

感谢您使用 ZStack 产品和服务。

成功提交申请。

我们将安排工作人员尽快与您取得联系。

感谢您使用 ZStack 产品和服务。

信息提交成功。

我们将安排工作人员尽快与您取得联系,请保持电话畅通。

感谢您使用 ZStack 产品和服务。

预约沟通

联系我们

业务咨询
400-962-2212 转 1
售后咨询
400-962-2212 转 2
其他业务(漏洞提交、投诉举报等)
400-962-2212 转 3

联系我们

回到顶部

产品试用申请
请选择您要试用的产品
ZStack Cloud 企业版
ZStack Cloud 混合云版
ZStack Cloud 基础版
ZStack Cloud 标准版
请填写您的基本信息
姓名应该不少于两个字符
手机号格式错误
验证码填写错误 获取短信验证码 60 秒后可重发
公司名称不应该少于4个字符
邮箱格式错误

商务咨询:

400-962-2212 转 1

售后咨询:

400-962-2212 转 2

商务联系:

sales@zstack.io

成功提交申请。

我们将安排工作人员尽快与您取得联系。

感谢您使用 ZStack 产品和服务。