Zu Hauptinhalt springen Zu ergänzendem Inhalt springen

Rotieren von Verschlüsselungsschlüsseln in Talend Studio

Von den Komponenten Talend Studio und Talend werden jetzt zwei Verschlüsselungsschlüssel zur Ver- und Entschlüsselung von Passwörtern mithilfe des AES GCM 256-Algorithmus verwendet.

  • system.encryption.key: Für die Ver- und Entschlüsselung von Nexus-Passwörtern sowie der Passwörter in der Datei connection_user.properties und in der Job-Eigenschaftsdatei <jobname>_<jobversion>.item. Alle Talend Studio-Benutzer, die am selben Projekt arbeiten, müssen über denselben System-Verschlüsselungsschlüssel verfügen.
  • routine.encryption.key: Für die Ver- und Entschlüsselung von Passwörtern bei der Erstellung und Ausführung von Jobs.
InformationshinweisWarnung: Qlik empfiehlt nachdrücklich, den Schlüssel in einer Talend Studio-Instanz zu rotieren, den neuen Schlüssel dann nach Bedarf auf der Remote Engine zu implementieren und ihn anschließend an die anderen Talend Studio-Instanzen zu verteilen.

Die Standardwerte der zwei Schlüssel system.encryption.key.v1 und routine.encryption.key.v1 sind in der Konfigurationsdatei der Verschlüsselungsschlüssel /configuration/studio.keys gespeichert. Diese Datei wird im Installationsverzeichnis von Talend Studio nach der ersten Ausführung der exe-Datei von Talend Studio Talend-Studio-macosx-cocoa.app erstellt. Nachstehend ein Beispiel für die neu erstellte Datei studio.keys.

system.encryption.key.v1=ObIr3Je6QcJuxJEwErWaFWIxBzEjxIlBrtCPilSByJI\=
routine.encryption.key.v1=YBoRMn8gwD1Kt3CcowOiGeoxRbC2eNNVm7Id6vA3hrk\=

Wenn der standardmäßige System-Verschlüsselungsschlüssel nicht zur Ver- und Entschlüsselung von Passwörtern verwendet wird, können Sie seinen Wert ändern. Entfernen Sie dazu den Standardwert und starten Sie Talend Studio neu, ObIr3Je6QcJuxJEwErWaFWIxBzEjxIlBrtCPilSByJI\= in obigem Beispiel.

Der Wert des Standard-Routinen-Verschlüsselungsschlüssels kann nicht geändert werden. Wenn Sie bereits bei einem Projekt angemeldet sind, ermöglicht Ihnen Qlik die Rotation eines Verschlüsselungsschlüssels. Dazu müssen Sie eine neue Version des Schlüssels in der Konfigurationsdatei der Verschlüsselungsschlüssel hinzufügen.

Beachten Sie, dass die neue Version des System-Verschlüsselungsschlüssels für einen Job erst nach der Änderung und Speicherung des Jobs wirksam wird.

Wenn Sie bei Verwendung der kontinuierlichen Integration (CI: Continuous Integration) Verschlüsselungsschlüssel rotieren müssen, können Sie den Parameter -Dstudio.encryption.keys.file einsetzen, um den Pfad zur Konfigurationsdatei der Verschlüsselungsschlüssel anzugeben. Weitere Informationen finden Sie unter „Generieren und Implementieren“.

Warum und wann dieser Vorgang ausgeführt wird

Das nachstehende Verfahren zeigt die Vorgehensweise zur Rotation eines Verschlüsselungsschlüssels.

Prozedur

  1. Öffnen Sie die Schlüsselkonfigurationsdatei /configuration/studio.keys im Installationsverzeichnis von Talend Studio.
  2. Fügen Sie eine neue Version des Verschlüsselungsschlüssels mit einem leeren Wert durch Hinzufügen der folgenden Zeile hinzu:
    • Für den System-Verschlüsselungsschlüssel:
      system.encryption.key.v<version_number>=
    • Für den Routinen-Verschlüsselungsschlüssel:
      routine.encryption.key.v<version_number>=

    Hierbei gilt: <version_number> ist eine einfache Ganzzahl, die der Version des neuen Verschlüsselungsschlüssels entspricht und die größer sein muss als alle bestehenden Versionsnummern. Beispiel:

    system.encryption.key.v2=
    routine.encryption.key.v2=
    InformationshinweisWarnung: Eventuell vorhandene vorhergehende Versionen des Verschlüsselungsschlüssels dürfen nicht gelöscht werden, wenn sie bereits zur Verschlüsselung eines Passworts verwendet wurden.
  3. Speichern Sie die Schlüsselkonfigurationsdatei und starten Sie Talend Studio neu.
    Die neue Version des Verschlüsselungsschlüssels wird generiert und in der Schlüsselkonfigurationsdatei gespeichert.
  4. Wenn der Job auf einer Remote Engine ausgeführt wird, kopieren Sie die Schlüsselkonfigurationsdatei auf den Remote Engine-Server und fügen Sie das folgende JVM-Argument für die entsprechende Job-Task in einem Job-Ausführungsprofil für die Remote Engine in Talend Management Console hinzu:
    -Dencryption.keys.file=<studio_key_path>

    Hierbei gilt: <studio_key_path> ist der absolute Pfad der Verschlüsselungsdatei von Talend Studio auf der Remote Engine, z. B. d/keys/studio.keys.

    Weitere Informationen zur Definition eines Job-Ausführungsprofils für eine Remote Engine und das Hinzufügen von JVM-Argumenten im Ausführungsprofil in Talend Management Console finden Sie unter „Konfigurieren von Job-Ausführungsprofilen“.

    Später, vor der Ausführung der Job-Task auf der Remote Engine, müssen Sie die Ausführungseinstellungen der Task bearbeiten und dazu das Job-Ausführungsprofil auswählen, in dem das JVM-Argument konfiguriert wurde. Weitere Informationen finden Sie unter „Aufrufen und Bearbeiten von Job-Tasks“.

Hat diese Seite Ihnen geholfen?

Wenn Sie ein Problem mit dieser Seite oder ihrem Inhalt feststellen, sei es ein Tippfehler, ein ausgelassener Schritt oder ein technischer Fehler, informieren Sie uns bitte!