Configurer Talend JobServer pour utiliser le protocole SSL avec le serveur de monitoring JMX
Le serveur de monitoring basé sur JMX démarre avec Talend JobServer à l'aide de <jobserver_home>/start_rs.sh. Sa configuration se trouve dans <jobserver_home>/conf/TalendJobServer.properties. Pour configurer le protocole SSL pour le serveur de monitoring, vous devez ajouter les paramètres de configuration suivants (les paramètres par défaut sont commentés) :
# Set to true to enforce SSL for JMX monitoring server
org.talend.jmxmp.useSSL=true
# Set to true to enforce certificate based client authentication for JMX monitoring server
org.talend.jmxmp.ssl.authenticate=true
org.talend.jmxmp.ssl.keyStore=<path_to_monitoring_server_keystore>
org.talend.jmxmp.ssl.keyStorePassword=<monitoring_server_keystore_password>
#org.talend.jmxmp.ssl.keyStoreType=JKS
org.talend.jmxmp.ssl.trustStore=<path_to_monitoring_server_truststore>
org.talend.jmxmp.ssl.trustStorePassword=<monitoring_server_truststore_password>
#org.talend.jmxmp.ssl.trustStoreType=JKS
#org.talend.jmxmp.ssl.enabled.protocols=TLSv1.2,TLSv1.3
#org.talend.jmxmp.ssl.enabled.cipher.suites=<comma separated list of enabled cipher suites>
Une liste des ciphers valides se trouve dans la section Désactiver certains ciphers SSL (facultatif) dans le Guide d'installation Talend.
Par défaut, le protocole est TLSv1.2. Vous pouvez également spécifier TLSv1.3.
Le TrustStore est nécessaire uniquement pour l'authentification client par certificat pour le serveur de monitoring JMX. Il doit correspondre au KeyStore indiqué dans le client de monitoring. Si org.talend.jmxmp.ssl.authenticate=true, le TrustStore est obligatoire. Sinon, le client Talend Administration Center ne peut pas être authentifié.
Le KeyStore défini ici est obligatoire pour le protocole SSL et doit correspondre au TrustStore précisé dans le client de monitoring. Vous pouvez utiliser le même TrustStore et KeyStore dans le serveur et dans le client de monitoring, mais ce n'est pas recommandé pour les environnements de production.
<jobserver_home>/start_jconsole.sh ne fonctionne pas avec le protocole SSL, car Jconsole ne peut pas se connecter à distance avec le protocole SSL via le protocole jmxmp. Mais vous pouvez vous connecter dans JConsole au processus JobServer local qui fournit les mêmes informations/MBeans.