Confluence - 开发工具分享

Confluence 通过使用 Confluence administration console 来显示管理员访问后台管理的功能或者管理一个空间。当一个 Confluence 管理员（以管理员身份登录 Confluence）尝试访问管理员的功能，这些用户将会提示输入用户名和密码进行再次登录。这次登录将会赋予 Confluence 一个临时的会话来让这些用户能够使用 Confluence 和空间的管理功能。这个临时的安全会话将会过期（通常是 10 分钟）。如果 Confluence 管理员在 10 分钟内没有进行任何操作的话，这个用户的会话将会被服务器注销掉，用户将会被被服务器提示需要重新登录（请注意，这种情况的时候，用户的界面还是会显示已经登录的管理员界面）。当管理单击任何管理操作，用户的超时时间将会被重置。希望配置管理员安全会话：在屏幕的右上角单击控制台按钮，然后选择 General Configuration 链接。在左侧的面板中选择安全配置（Security Configuration）。选择编辑（Edit）。配置下面的设置：希望禁用管理员安全会话，单击取消选择安全管理会话（Secure administrator sessions）前面的启用（Enable ）。当你设置这个配置为禁用的话，那么系统的管理将不会在访问管理员功能的时候创建安全会话来访问系统管理员的功能。针对管理员安全的会话，希望修改超时时间，请修改有效分钟（minutes before invalidation）边上的参数。默认的管理员会话超时时间是 10 分钟。选择保存（Save）。 https://www.cwiki.us/display/CONF6ZH/Configuring+Secure+Administrator+Sessions

2018年08月13日 0Comments 754Browse 0Like Read more

备注：这个页面的文档是 Apache 的配置，而不是 Confluence 自己的配置。Atlassian 将会对 Confluence 的配置提供支持，但是我们不能保证能够对你所有在配置 Apache 的时候遇到的问题提供支持。请注意，这个页面下面提供的信息仅为你提供参考同时也不能保证所有的的配置能正常工作。如果你按照本页面中的内容进行配置，所有的风险自负。 Confluence 的一些功能需要提供 URL 重写，如果 Confluence 能够从多个不同域名进行访问的话。如果 Confluence 被配置为多个域名不使用URL 重写，你将有可能会碰到一系列的问题。请参考 Various Issues Caused when Server Base URL Does Not Match the URL Used to Access Confluence 页面中的内容。一个为什么你希望从多个域名访问 Confluence 的示例：从内部网络： http://wiki 从外部可见的网络： http://wiki.domain.com 使用重写来让 Confluence 支持多域名访问为了让 Confluence 能够从多域名进行访问：为 Confluence 服务器，添加 DNS 为整个 http://wiki 域名为外部可见的 IP 地址。设置 Confluence 的 server base URL 为 http://wiki.domain.com. 添加 Apache 的 HTTP 代理，使用页面 Running Confluence behind Apache 页面中的指南。使用 mod_rewrite 模块来修改 URL。更多信息你可能需要插入UrlRewriteFilter 到你的 Java web 过滤器中。这个与 Apache 的 mod_rewrite 工作原理类似。 https://www.cwiki.us/display/CONF6ZH/Using+mod_rewrite+to+Modify+Confluence+URLs

2018年08月10日 0Comments 759Browse 0Like Read more

在 Confluence 6 及其后续版本中，不能使用 mod_jk 来做代理。这是因为 Synchrony 服务导致的这个限制。 Synchrony 在协同编辑的时候需要启动，同时还不能接受 AJP 连接。请参考 Using Apache with mod_proxy 页面中的文档进行配置。如果你没有办法切换 mod_proxy，请参考 How to configure Apache mod_jk to proxy Confluence 6.x or later 页面中的内容进行配置。 https://www.cwiki.us/display/CONF6ZH/Using+Apache+with+mod_jk

2018年08月10日 0Comments 768Browse 0Like Read more

限制特定的 IP 地址可以访问管理员后台 Confluence 的管理员控制台界面对整个应用来说是非常重要的，任何人访问 Confluence 的控制台不仅仅可以访问 Confluence 安装实例，同时还可以访问整个服务器。我们可以限制 Confluence 的管理员控制台的访问给真正需要使用的人和使用强密码的方式。你可以考虑只有网络上的部分机器能够访问 Confluence 的管理员控制台或者只有内部网络的机器才可以访问控制台。如果你使用的是 Apache web server，这个限制可以在 Apache 端进行配置，按照下面的方法进行配置： 1. 创建一个定义权限的设置这个文件可以在 Apache 的配置目录中或者系统全局目录中。例如这个配置文件我们可以命名为 "sysadmin_ips_only.conf"。这个配置文件应该包含有下面的内容： Order Deny,Allow Deny from All # Mark the Sysadmin's workstation Allow from 192.168.12.42 2. 添加这个文件到你的虚拟主机中在你的 Apache 虚拟主机（Apache Virtual Host）配置文件中，添加下面的行来限制系统管理员可以进行的管理操作：这个配置是是基于你已经安装 Confluence 在 '/confluence' 目录下。如果你的 Confluence 是安装在 '/' 下或者其他的路径下，仅添加相关的路径即可。 <Location /confluence/admin> Include sysadmin_ips_only.conf </Location> <Location /confluence/plugins/servlet/oauth/consumers/list> Include sysadmin_ips_only.conf </Location> <Location /confluence/plugins/servlet/oauth/view-consumer-info> Include sysadmin_ips_only.conf </Location> <Location /confluence/plugins/servlet/oauth/service-providers/list> Include sysadmin_ips_only.conf </Location> <Location /confluence/plugins/servlet/oauth/service-providers/add> Include sysadmin_ips_only.conf </Location> <Location /confluence/plugins/servlet/oauth/consumers/add> Include sysadmin_ips_only.conf </Location> <Location /confluence/plugins/servlet/oauth/consumers/add-manually> Include sysadmin_ips_only.conf </Location> <Location /confluence/plugins/servlet/oauth/update-consumer-info> Include sysadmin_ips_only.conf </Location> <Location /confluence/pages/templates/listpagetemplates.action> Include sysadmin_ips_only.conf </Location> <Location /confluence/pages/templates/createpagetemplate.action> Include sysadmin_ips_only.conf </Location> <Location /confluence/spaces/spacepermissions.action> Include sysadmin_ips_only.conf </Location> <Location /confluence/pages/listpermissionpages.action> Include sysadmin_ips_only.conf </Location> <Location /confluence/spaces/removespace.action> Include sysadmin_ips_only.conf </Location> <Location /confluence/spaces/importmbox.action> Include sysadmin_ips_only.conf </Location> <Location /confluence/spaces/viewmailaccounts.action> Include sysadmin_ips_only.conf </Location> <Location /confluence/spaces/addmailaccount.action?> Include sysadmin_ips_only.conf </Location> <Location /confluence/spaces/importpages.action> Include sysadmin_ips_only.conf </Location> <Location /confluence/spaces/flyingpdf/flyingpdf.action> Include sysadmin_ips_only.conf </Location> <Location /confluence/spaces/exportspacehtml.action> Include sysadmin_ips_only.conf </Location> <Location /confluence/spaces/exportspacexml.action> Include sysadmin_ips_only.conf </Location> <Location /confluence/plugins/servlet/embedded-crowd> Include sysadmin_ips_only.conf </Location> <Location /confluence/plugins/servlet/upm> Include sysadmin_ips_only.conf </Location> https://www.cwiki.us/display/CONF6ZH/Using+Apache+to+limit+access+to+the+Confluence+administration+interface

2018年08月10日 0Comments 755Browse 0Like Read more

备注在创建证书时候的背景信息： 'keytool -genkeypair' 命令将会创建秘钥对，包括公钥和关联的私钥，然后存储到 keystore 中。这个命令打包公钥为 X.509 v3 自签名证书，同时存储为证书链中的单一元素。这个证书链和私钥同时存储为一个新的 keystore 实例。是通过你在命令行中指定的别名进行识别的。Java SE documentation 能帮你更好的使用这个工具。自定义 SSL 端口：如果你修改了你的 SSL 连接器运行的默认端口（8443），你必须需要更新标注 HTTPS 连接的 redirectPort 属性来映射到新的 SSL 端口。Tomcat 需要这些信息才能知道针对访问 HTTPS 应该重定向到那个端口。同一主机的多实例：当你在同一主机中运行了多个实例，对地址（address ）的确定非常重要，这个属性定义在 <CONFLUENCE_INSTALLATION>/conf/server.xml 文件中，默认的连接器将会列出所有可用的网络接口，因此指定地址将会阻止在同一主机中运行相同端口中的连接器的冲突。请参考 Tomcat 连接器的文档来获得有关地址属性的更多信息： https://tomcat.apache.org/tomcat-8.0-doc/config/http.html <Connector port="8443" address="your.confluence.url.com" maxHttpHeaderSize="8192" maxThreads="150" minSpareThreads="25" maxSpareThreads="75" enableLookups="false" disableUploadTimeout="true" acceptCount="100" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" SSLEnabled="true" URIEncoding="UTF-8" keystorePass="<MY_CERTIFICATE_PASSWORD>" keystoreFile="<MY_CERTIFICATE_LOCATION>"/> HTTPS 必须在你全站点配置：HTTPS 不能仅加密一个独立的页面或者空间。在你对 Confluence 进行升级之前：对你修改过的 server.xml 和 web.xml 文件进行记录。每一升级完成后，你都需要对你修改过的配置文件进行重新配置。最好还是手动添加，而不是将整个文件复制粘贴。问题解决请参考 Confluence 知识库中有关的文章 troubleshooting SSL。有关 Internet Explorer 不能下载附件的问题，将全站点应用 SSL 将会可能导致 IE 不能正确的下载附件。要修复这个问题，请编辑 <CONFLUENCE_INSTALLATION>/conf/server.xml 然后添加下面的行到 <Context ... />元素： <Valve className="org.apache.catalina.authenticator.NonLoginAuthenticator" disableProxyCaching="true" securePagesWithPragma="false" /> https://www.cwiki.us/display/CONF6ZH/Running+Confluence+Over+SSL+or+HTTPS

2018年08月08日 0Comments 769Browse 0Like Read more

尽管现在 HTTPS 现在已经激活并且可用了。老的 HTTP URLs （http://localhost:8090）还是可以访问的。现在你需要重定向所有 URLs 到他们的 HTTPS 链接中。你可以通过在 web.xml 文件中添加加安全常量来达到这个目的。这个能够让 Tomcat 将不是 SSL 端口的访问重定向到 SSL。检查你的 Confluence 站点的用户是否使用了 RSS macro。如果你的站点启用了 RSS macro 宏，你可能需要在防火墙规则中配置 Confluence URL 重定向，而不需要通过修改 web.xml 文件达到这个目的。请跳过下面的步骤，然后访问 RSS Feed Macro 页面来获得更多信息。否则，编辑 <CONFLUENCE_INSTALLATION>/confluence/WEB-INF/web.xml 文件中的内容。添加下面的定义到文件的页尾，但是需要在 </web-app> 标签的前面： <security-constraint> <web-resource-collection> <web-resource-name>Restricted URLs</web-resource-name> <url-pattern>/</url-pattern> </web-resource-collection> <user-data-constraint> <transport-guarantee>CONFIDENTIAL</transport-guarantee> </user-data-constraint> </security-constraint> 重启 Confluence 然后访问 http://localhost:8090，现在你应该是直接重定向到 https://localhost:8443/login.action 中了。 Confluence 有 2 个 web.xml 文件。另一个文件在 <CONFLUENCE_INSTALLATION>/conf/web.xml。请仅仅按照上面描述的内容在 <CONFLUENCE_INSTALLATION>/confluence/WEB-INF/web.xml 中进行修改。 https://www.cwiki.us/display/CONF6ZH/Running+Confluence+Over+SSL+or+HTTPS

2018年08月08日 0Comments 812Browse 0Like Read more

在你的浏览器中，进入 > 基本配置（General Configuration）. 单击编辑（Edit）。修改服务器的基础 URL 为 HTTPS。请参考文档 configuring the server base URL 来获得更多配置信息。重启 Confluence 然后通过 https://<MY_BASE_URL>:8443/ 访问 Confluence。 https://www.cwiki.us/display/CONF6ZH/Running+Confluence+Over+SSL+or+HTTPS

2018年08月08日 0Comments 723Browse 0Like Read more

在默认的情况下，Tomcat 希望 keystore 文件被命名为 .keystore 文件，同时这个文件应该放置在 Tomcat 运行的 home 目录中（这个目录可能与你自己的 Home 目录的路径不同）。这个配置的意思是，在默认情况下 Tomcat 将会到下面 2 个位置中去检查你的 SSL 证书： On Windows: C:\users\#CURRENT_USER#\.keystore On OS X and UNIX-based systems: ~/.keystore 不要保存你的证书 keystore 文件到你的 Confluence 目录下面。这个目录文件将会在你升级的时候删除。如果你的证书文件没有放置到默认路径下的时候，你可能决定移动你的证书文件到一个自定义的路径。你需要按照下面的提示升级更新你的服务器配置文件，这样 Tomcat 才能够正常找到这个证书。编辑 <confluence-install-directory>/conf/server.xml 添加属性 keystoreFile="<MY_CERTIFICATE_LOCATION>" 到 Connectorelement，然后这个元素看起来如下所示： <Connector port="8443" maxHttpHeaderSize="8192" maxThreads="150" minSpareThreads="25" maxSpareThreads="75" enableLookups="false" disableUploadTimeout="true" acceptCount="100" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" SSLEnabled="true" URIEncoding="UTF-8" keystorePass="<MY_CERTIFICATE_PASSWORD>" keystoreFile="<MY_CERTIFICATE_LOCATION>"/> 替换文本 <MY_CERTIFICATE_LOCATION> 为你证书的路径，包括 .keystore 文件的路径全名。保存你的配置文件。 https://www.cwiki.us/display/CONF6ZH/Running+Confluence+Over+SSL+or+HTTPS

2018年08月08日 0Comments 723Browse 0Like Read more

下一步你需要配置 Confluence 来使用 HTTPS：编辑 <install-directory>/conf/server.xml 文件。取消注释下面的行： <Connector port="8443" maxHttpHeaderSize="8192" maxThreads="150" minSpareThreads="25" protocol="org.apache.coyote.http11.Http11NioProtocol" enableLookups="false" disableUploadTimeout="true" acceptCount="100" scheme="https" secure="true" clientAuth="false" sslProtocols="TLSv1,TLSv1.1,TLSv1.2" sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2" SSLEnabled="true" URIEncoding="UTF-8" keystorePass="<MY_CERTIFICATE_PASSWORD>"/> 替换 <MY_CERTIFICATE_PASSWORD> 为你在证书中使用的密码。确定 attribute-value 匹配 SSLEnabled="true" 是连接元素的一部分，如上面所示。如果这个特性没有被显示出来，尝试访问 Confluence 可能会遇到超时错误。保存服务器配置文件。不要删除 http 连接器中的备注，Synchrony 代理被从来进行健康检查，这个检查还是通过 HTTP 访问的。如果你不希望包括 http 连接器。你可以使用 synchrony.proxy.healthcheck.disabled 系统属性来禁用健康检查。你不应该禁用内部的 Synchrony proxy（通过设置 synchrony.proxy.enabled 系统属性为 false），这个我们已知了在 Tomcat 确定 SSL 的时候将会导致问题。默认针对 Confluence 的连接器端口为 8090. https://www.cwiki.us/display/CONF6ZH/Running+Confluence+Over+SSL+or+HTTPS

2018年08月08日 0Comments 750Browse 0Like Read more

在启用 HTTPS 之前，你需要一个有效的证书，如果你已经有了一个有效的证书，你可以直接跳过这个步骤，进入 step 2。你可以创建一个自签名的证书，或者从信任的 Certificate Authority 中获得一个证书。如果你的项目小组计划使用 Confluence 服务器移动 app。你需要你的证书是从信任的证书签发机构签发的。你不能使用自签名的证书或者从一个不信任的机构获得的证书，或者自由 CA。选项 1: 创建一个自签名证书当你需要进行加密，但是你并不需要对网站的的请求校验的话，自签名证书能够帮助你完成这个。在通常的情况下，你可以在你的测试环境下签发你的自签名证书，你也可以在你公司内部的网络上签发自签名证书。因为证书不是信任的组织签发的（CA），用户可能会收到站点不被信任，并且提供一个步骤让用户先确定，才能访问网站的信息。这个通常是在第一次访问网站的时候出现的提示。如果你使用的 Confluence 的移动 app 的话，用户不能通过你的自签名证书访问你的 Confluence 站点。在这个情况下，我们需要使用 Java 的 keytool 工具包。这个工具包是包含在 JDK 中的。如果你对命令行工具并不是十分熟悉的话，你可以考虑使用 KeyStore Explorer 工具。使用 keytool 来创建一个自签名证书：从命令行中，为你的操作系统运行正确的命令： Windows "%JAVA_HOME%\bin\keytool" -genkeypair -keysize 2048 -alias tomcat -keyalg RSA -sigalg SHA256withRSA Linux (and MacOS) $JAVA_HOME/bin/keytool -genkeypair -keysize 2048 -alias tomcat -keyalg RSA -sigalg SHA256withRSA 当出现提示后，为你的证书创建密码（password ），私有 key。仅使用数字和英文字符。如果你使用了特殊字符，Tomcat 可能会出现错误。请记录你创建的密码，在下一步中你需要使用到你创建的密码。默认的密码是 'changeit'。根据提示来确定证书的细节。这些信息被用来构造 X.500 实体中的 Distinguished Name (DN) 。 First and last name：这个不是你的名字，这个是 Common Name (CN)，例如 'confluence.example.com'。CN 必须与 Confluence 使用的域名完全对应，否则 Tomcat 将不能使用你签名的证书。 Organizational unit：这个是证书使用的部门或者小组，例如 'marketing'。 Organization：是你公司的名字，例如 'SeeSpaceEZ'。 City, State / province, country code：这个是你公司的地理位置，例如 Sydney, NSW, AU。输出将会如下所示。输入 'y' 来确定你输入的内容。 CN=confluence.example.com, OU=Marketing, O=SeeSpaceEZ, L=Sydney, ST=NSW, C=AU 当被询问为 'tomcat' 准备使用的密码（password ）的时候，输入你第二步中输入的密码（在输入密码后单击回车）。 'tomcat' 是你在 keytool 命令行中输入的别名，在这里用来对你提示。你 keystore 实例必须和你的私有 key 有相同的密码。这个是 Tomcat 服务器要求的。你的证书现在已经可以用了，进入下面的第二步。选项 2: 使用 Certificate Authority 签发的证书（推荐）在生产环境中，你需要使用从 Certificate Authority (CA) 签发的证书。下面的内容是从 Tomcat documentation 中拷贝出来的。首先你需要创建本地证书，然后基于你创建的本地证书再创建一个 'certificate signing request' (CSR) 。你需要提交 CSR 到你的选择的 CA 提供商上进行收取。CA 将会通过 CSR 将授权后的证书发给你。使用 Java 的 keytool 工具来创建一个本地证书（请按照上面第一步所描述的内容）。从命令中，将会返回下面的命令工具来创建所需要前面的证书。 keytool -certreq -keyalg RSA -alias tomcat -file certreq.csr -keystore <MY_KEYSTORE_FILENAME> 替换 <MY_KEYSTORE_FILENAME> 为路径和你本地证书创建 .keystore 的文件名。提交创建的文件为 certreq.csr 到你希望进行授权的 CA。请参考 CA 的文档来找到如何进行这个操作。 CA 将会发个你已经签名好的证书。导入新证书到你的本地的 keystore： keytool -importcert -alias tomcat -keystore <MY_KEYSTORE_FILENAME> -file <MY_CERTIFICATE_FILENAME> 一些 CA 可能要求你在安装你的证书之前先安装一个中间人证书。你应该按照 CA 提供的文档来完成你本地证书的成功安装。如果你使用的是 Verisign 或 GoDaddy，然后你收到了错误的信息，你可能需要将 PKCS12 和你的私钥（private key）同时导出。首先，删除添加到 keystore 中的所有 key： keytool -delete -alias tomcat -keystore <MY_KEYSTORE_FILENAME> 然后导出为 PKCS12 格式： openssl pkcs12 -export -in <MY_CERTIFICATE_NAME> -inkey <MY_PRIVATEKEY_NAME> -out <MY_PKC12_KEYSTORE_NAME> -name tomcat -CAfile <MY_ROOTCERTIFICATE_NAME-alsoCalledBundleCertificateInGoDaddy> -caname root 然后导入 PKCS12 到 jks 中： keytool -importkeystore -deststorepass <MY_DESTINATIONSTORE_PASSWORD> -destkeypass <MY_DESTINATIONKEY_PASSWORD> -destkeystore <MY_KEYSTORE_FILENAME> -srckeystore <MY_PKC https://www.cwiki.us/display/CONF6ZH/Running+Confluence+Over+SSL+or+HTTPS

2018年08月08日 0Comments 715Browse 0Like Read more

1…11 121314 15…58

Confluence 6 配置管理员会话的安全

使用 mod_rewrite 来修改 Confluence 6 的 URLs

Confluence 6 使用 Apache 的 mod_jk

使用 Apache 来限制访问 Confluence 6 的管理员界面

Confluence 6 通过 SSL 或 HTTPS 运行 - 备注和问题解决

Confluence 6 通过 SSL 或 HTTPS 运行 - 重定向所有的 URLS 到 HTTPS 的安全考虑

Confluence 6 通过 SSL 或 HTTPS 运行 - 为 HTTPS 修改你的 Confluence 基础 URL

Confluence 6 通过 SSL 或 HTTPS 运行 - 确定你的证书路径

Confluence 6 通过 SSL 或 HTTPS 运行 - 修改你 Confluence 的 server.xml 文件

Confluence 6 通过 SSL 或 HTTPS 运行 - 创建或请求一个 SSL 证书