32 
gitlab-ci-multi-runner register

给我

couldn't execute POST against https://xxxx/ci/api/v1/runners/register.json:
Post https://xxxx/ci/api/v1/runners/register.json: 
x509: cannot validate certificate for xxxx because it doesn't contain any IP SANs

有没有办法禁用认证验证?

我正在使用 Gitlab 8.13.1 和 gitlab-ci-multi-runner 1.11.2。

4

6 回答 6

65

根据 Wassim 的回答,以及关于 tls-self-signed 和 custom CA-signed certificate 的 gitlab 文档,如果您不是 gitlab 服务器的管理员,而只是带有跑步者的服务器(如果跑步者以root身份运行):

SERVER=gitlab.example.com
PORT=443
CERTIFICATE=/etc/gitlab-runner/certs/${SERVER}.crt

# Create the certificates hierarchy expected by gitlab
sudo mkdir -p $(dirname "$CERTIFICATE")

# Get the certificate in PEM format and store it
openssl s_client -connect ${SERVER}:${PORT} -showcerts </dev/null 2>/dev/null | sed -e '/-----BEGIN/,/-----END/!d' | sudo tee "$CERTIFICATE" >/dev/null

# Register your runner
gitlab-runner register --tls-ca-file="$CERTIFICATE" [your other options]

更新 1: CERTIFICATE必须是证书文件的绝对路径。

更新 2 :由于gitlab-runner 错误 #2675,它可能仍然会因自定义 CA 签名而失败

于 2017-11-09T16:13:00.600 回答
18

在我的情况下,我通过将路径添加到 .pem 文件来使其工作,如下所示:

sudo gitlab-runner register --tls-ca-file /my/path/gitlab/gitlab.myserver.com.pem

通常,gitlab-runners 托管在 docker 容器中。在这种情况下,需要确保tls-ca-file容器中可用。

于 2018-01-19T19:02:57.467 回答
8

好的,我一步一步地跟着这篇文章http://moonlightbox.logdown.com/posts/2016/09/12/gitlab-ci-runner-register-x509-error然后它就像一个魅力。为防止死链接,我复制以下步骤:

首先在 GitLab 服务器(不是运行器)上编辑 ssl 配置

vim /etc/pki/tls/openssl.cnf

[ v3_ca ]
subjectAltName=IP:192.168.1.1 <---- Add this line. 192.168.1.1 is your GitLab server IP.

重新生成自签名证书

cd /etc/gitlab/ssl
sudo openssl req -x509 -nodes -days 3650 -newkey rsa:2048 -keyout /etc/gitlab/ssl/192.168.1.1.key -out /etc/gitlab/ssl/192.168.1.1.crt
sudo openssl dhparam -out /etc/gitlab/ssl/dhparam.pem 2048
sudo gitlab-ctl restart

将新 CA 复制到 GitLab CI 运行器

scp /etc/gitlab/ssl/192.168.1.1.crt root@192.168.1.2:/etc/gitlab-runner/certs

谢谢@Moon Light @Wassim Dhif

于 2017-06-10T16:28:18.310 回答
6

目前不可能使用不安全的 ssl 选项运行多运行器。

GitLab 目前有一个未解决的问题。

您仍然应该能够获得您的证书,将其制作为 PEM 文件并将其提供给运行器命令,使用--tls-ca-file

要制作 PEM 文件,请使用 openssl。
openssl x509 -in mycert.crt -out mycert.pem -outform PEM

于 2017-06-09T13:11:20.720 回答
6

以下步骤在我的环境中有效。(Ubuntu)

下载证书
我无权访问 gitlab 服务器。所以,

  1. 在浏览器中打开https://some-host-gitlab.com(我使用 chrome)。
  2. 查看站点信息,通常是 URL 栏中的绿色锁。
  3. 通过导航到证书信息下载/导出证书(chrome、firefox 有此选项)

在 gitlab-runner 主机中

  1. 使用 .crt 重命名下载的证书

    $ mv some-host-gitlab.com some-host-gitlab.com.crt

  2. 立即使用此文件注册跑步者

    $ sudo gitlab-runner register --tls-ca-file /path/to/some-host-gitlab.com.crt

我能够将跑步者注册到一个项目中。

于 2018-12-20T02:45:42.753 回答
4

在我的设置中,以下内容也有效。重要的是,用于创建证书的 IP/名称与用于注册跑步者的 IP/名称相匹配。

gitlab-runner register --tls-ca-file /my/path/gitlab/gitlab.myserver.com.pem

此外,还可能需要在 runners config.toml 文件中添加一行用于主机名查找的行([runners.docker] 部分): extra_hosts = ["git.domain.com:192.168.99.100"] 另见https://gitlab.com/gitlab-org/gitlab-runner/issues/ 2209

此外,如果使用 gitlab/gitlab-runner 网络模式主机,可能会出现一些网络问题,它也必须添加到 config.toml 中,因为它会启动其他容器,否则可能会出现问题连接到 gitlab 主机(([runners.docker] 部分): network_mode="host"

最后,自签名 SSL-Cert ( https://gitlab.com/gitlab-org/gitlab-runner/issues/2659 )可能存在问题。一个肮脏的解决方法是添加 environment = ["GIT_SSL_NO_VERIFY=true"] 到 [[runners]] 部分。

于 2018-03-07T07:07:06.227 回答