Configurer une chaîne de certificats d'autorité de certification entre le serveur Web de Talend Administration Center et les applications clientes

Une connexion HTTPS sécurisée entre le serveur Web de Talend Administration Center et les applications clientes (le Studio, Nexus/Artifactory, Git, etc.) peut être établie via une chaîne de certificats fournissant une certification commune et à long terme (> 10 ans).

1. Générez un fichier de certificat .cer en suivant les étapes suivantes :
   1. Préparez les valeurs ci-dessous en les adaptant à votre configuration :
      • server IP : serverIP (IP du serveur)
      • SAN IP : serverIP or additional domain names (if available) (IP du serveur ou noms de domaines supplémentaires, si disponibles)
      • Keystore password : changeit (à modifier)
      • Server Pretty Name : serverPrettyName (nom du serveur)
   2. Dans Powershell, générez la clé privée avec les valeurs appropriées.
      keytool -genkey -alias serverIP -keyalg RSA -keysize 4096 -keystore talendKey.jks -dname "CN=serverIP, OU=name of the organizational unit/department, O=name of the company/organization, ST=name of the region or state , C=name of the country" -keypass changeit -storepass changeit -ext SAN=ip:serverIP,dns:serverPrettyName
   3. Effectuez la demande de signature du certificat (Certificate Signing Request) avec les valeurs adéquates, pour obtenir un fichier .csr.
      keytool -certreq -file serverIP.csr -keystore talendKey.jks -storepass changeit -alias serverIP -ext SAN=ip:serverIP,dns:serverPrettyName
   4. Contresignez le fichier .csr à l'aide d'une autorité de certification.
   5. Téléchargez le certificat approuvé au format OpenSSL.
   6. Extrayez le premier contenu du certificat du fichier ci-dessus et collez-le dans le fichier serverIP.cer, via un outil d'édition de texte.
   7. En cas de modification de la chaîne de certificats ou de première installation, le certificat doit être ajouté au TrustStore.
      Extrayez la première entrée relative au serveur du fichier serverIP.cer et collez-la dans le fichier chain.cer. La chaîne doit inclure les signatures racine(s) et intermédiaire(s). keytool -import -file /opt/talend/talend-version/truststore/Talend_certificate/chain.cer -keystore /opt/talend/talend-version/truststore/BitTalend -alias chain
      Note InformationsRemarque : Si vous avez configuré des certificats autosignés au lieu d'un certificat commun par autorité de certification, vous pouvez utiliser la chaîne de certificats pour initialiser le Keystore Java en important tous les certificats. Pour plus d'informations, consultez la section correspondante Configurer le SSL pour Talend Administration Center.
2. Fusionnez le fichier serverIP.cer téléchargé avec le fichier de clé .p12 disponible dans le store JKS :
   1. Convertissez le format JKS en format PKCS à l'aide de Keytool : keytool -importkeystore -srckeystore talendKey.jks -destkeystore talendKey.p12 -deststoretype PKCS12
   2. Extrayez le fichier de clé du fichier PKCS et créez un fichier de clé séparé : openssl pkcs12 -in talendKey.p12 -nodes -nocerts -out talendKey.key
3. Combinez le certificat, le fichier de clé et la chaîne de certificats dans un nouveau fichier .p12 :
   openssl pkcs12 -export -in <serverIP>.cer -inkey talendKey.key -out certificate.p12 -chain -CAfile chain.cer -name <serverIp>
4. Convertissez le fichier .p12 en Keystore à l'aide de l'outil Java Keytool
   Nexus : keytool -importkeystore -srckeystore certificate.p12 -srcstoretype PKCS12 -destkeystore keystore

   Talend Administration Center :keytool -importkeystore -srckeystore certificate.p12 -srcstoretype PKCS12 -destkeystore /opt/talend/talend-version/truststore/BitTalend

5. Si vous utilisez Nexus, stockez le fichier Keystore généré (et le fichier TrustStore) dans le sous-dossier nexusinstall>etc>ssl. Pour implémenter les modifications, arrêtez Nexus et redémarrez-le.
6. Asurez-vous que les identifiants (keynames) et les mots de passe (passwords) sont corrects dans le fichier etc/jetty/jetty-https.xml.
7. Pour configurer la connexion SSL :
   • Si le certificat est configuré sur le serveur Web d'Apache Tomcat, saisissez la commande suivante : /opt/talend/talend-version/truststore/Talend_SSL/Talend_TAC_QA" keystorePass="keystore pass".
     Configurez ensuite Apache Tomcat : Ouvrez le fichier <TomcatPath>/conf/server.xml, décommentez et modifiez la partie SSL, comme suit :

     <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
                    maxThreads="150" scheme="https" secure="true"
                    clientAuth="true" sslProtocol="TLS" 
     	keystoreFile="<SSLFolderPath/serverKeystore.jks" 
     	keystorePass=<keystorePassword>
     	truststoreFile="<SSLFolderPath/serverTruststore.jks" 
     	truststorePass=<trustStorePassword> />

   • Si le certificat est configuré uniquement sur l'application Web, consultez la section https://help.talend.com/r/fr-FR/7.3/installation-guide-linux/defining-ssl-connection et saisissez la commande suivante : keytool -delete -alias tomcat -keystore /opt/talend/talend-version/truststore/BitTalend -storepass changeit