Activer la communication SSL entre votre moteur distant (Remote Engine) et son JobServer

Configurez une connexion sécurisée entre le serveur du JobServer et le client du JobServer, au sein d'un moteur distant.

À partir de la version 2.13.13 de Talend Remote Engine, la communication SSL peut être automatiquement configurée au cours de l'installation du moteur ou modifiée ultérieurement. La configuration du SSL sécurise le trafic entre le moteur et son JobServer. Pour plus d'informations concernant la configuration automatique du SSL avec l'installeur, consultez Installation automatique de Remote Engine.

Le serveur du JobServer et son client sont spécifiques à Talend Remote Engine et installés dans votre moteur. Lorsqu'un moteur distant reçoit une requête depuis Talend Management Console pour exécuter une tâche, le client du JobServer déploie les artefacts sur le serveur du JobServer. La connexion SSL établie sécurise le trafic entre ces deux côtés du JobServer.

La connexion entre Talend Management Console et Talend Remote Engine est sécurisée par défaut. Elle n'est pas affectée par la configuration du SSL.

Conseil : Talend Remote Engine et le Studio Talend :

Si vous utilisez Talend Remote Engine comme serveur d'exécution distant pour exécuter ou déboguer des Jobs à distance depuis le Studio Talend, ce qui est la situation habituelle dans un environnement de développement, et si le SSL est également activé pour votre moteur dans cet environnement, une configuration supplémentaire est requise pour l'intégration du Studio Talend. Pour plus d'informations, consultez Configurer le Studio Talend en tant que client SSL de Talend Remote Engine pour les exécutions à distance et les exécutions de débogage.

Si vous utilisez Talend Management Console uniquement pour gérer et exécuter des artefacts, la communication entre Talend Management Console et Talend Remote Engine est automatiquement sécurisée. Le Studio Talend n'a pas besoin de communiquer directement avec Talend Remote Engine.

Pourquoi et quand exécuter cette tâche

La procédure dans cette section présente la configuration du SSL, en coulisse, pour que vous puissiez faire des modifications manuelles au besoin, comme l'intégration du Studio Talend dans la communication SSL. La liste suivante fournit un court résumé de ces modifications :

Pour simplifier le processus, réutilisez le KeyStore et le TrustStore du client du JobServer du moteur pour le Studio.
Lorsque vous modifiez le SSL après l'installation, vous devez générer manuellement les KeyStore et TrustStore requis, et mettre à jour les fichiers de configuration suivants :
- <RemoteEngineInstallationDirectory>/etc/org.talend.remote.jobserver.server.cfg
- <RemoteEngineInstallationDirectory>/etc/system.properties

Procédure

Ouvrez le fichier suivant : <RemoteEngineInstallationDirectory>/etc/org.talend.remote.jobserver.server.cfg.

Modifiez ou confirmez les paramètres suivants afin d'activer le SSL pour le serveur du JobServer :

# Use SSL (Secure Sockets Layer) for establishing an encrypted link between the JobServer and its clients
org.talend.remote.jobserver.server.TalendJobServer.USE_SSL=${org.talend.remote.client.ssl.force}

# Set to true to enforce certificate based client authorization for JobServer
org.talend.remote.server.ssl.authenticate=true

org.talend.remote.server.ssl.keyStore=${karaf.base}/etc/keystores/jobserver-keystore.p12
org.talend.remote.server.ssl.keyStoreType=PKCS12
org.talend.remote.server.ssl.keyStorePassword=${env:TMC_ENGINE_JOB_SERVER_SSL_KEY_STORE_PASSWORD}
org.talend.remote.server.ssl.keyPassword=${env:TMC_ENGINE_JOB_SERVER_SSL_KEY_STORE_PASSWORD}

org.talend.remote.server.ssl.trustStore=${karaf.base}/etc/keystores/jobserver-truststore.p12
org.talend.remote.server.ssl.trustStoreType=PKCS12
org.talend.remote.server.ssl.trustStorePassword=${env:TMC_ENGINE_JOB_SERVER_SSL_KEY_STORE_PASSWORD}

# avoid TLSv < 1.2 for Jobserver if possible for security reasons
org.talend.remote.server.ssl.enabled.protocols=TLSv1.2,TLSv1.3

Par défaut, tous les fichiers KeyStore et TrustStore sont stockés dans RemoteEngineInstallationDirectory>/etc/keystores et un seul mot de passe est configuré pour tous les stores, à l'aide de la variable d'environnement TMC_ENGINE_JOB_SERVER_SSL_KEY_STORE_PASSWORD. Cette configuration simplifie la gestion du SSL.

Ouvrez le fichier <RemoteEngineInstallationDirectory>/etc/system.properties.

Modifiez ou confirmez les paramètres suivants afin d'activer le SSL pour le client du JobServer :

# JobServer client SSL configuration
org.talend.remote.client.ssl.force=true
org.talend.remote.client.ssl.keyStore=${karaf.base}/etc/keystores/jobserver-client-keystore.p12
org.talend.remote.client.ssl.keyStoreType=PKCS12
org.talend.remote.client.ssl.keyStorePassword=${env:TMC_ENGINE_JOB_SERVER_SSL_KEY_STORE_PASSWORD}
org.talend.remote.client.ssl.keyPassword=${env:TMC_ENGINE_JOB_SERVER_SSL_KEY_STORE_PASSWORD}
org.talend.remote.client.ssl.trustStore=${karaf.base}/etc/keystores/jobserver-client-truststore.p12
org.talend.remote.client.ssl.trustStoreType=PKCS12
org.talend.remote.client.ssl.trustStorePassword=${env:TMC_ENGINE_JOB_SERVER_SSL_KEY_STORE_PASSWORD}
org.talend.remote.client.ssl.disablePeerTrust=false
org.talend.remote.client.ssl.enabled.protocols=TLSv1.2,TLSv1.3

Redémarrez le moteur pour appliquer les modifications.

Configurer le Studio Talend en tant que client SSL de Talend Remote Engine pour les exécutions à distance et les exécutions de débogage

Connectez de manière sécurisée un Studio Talend à un JobServer de Talend Remote Engine à l'aide du SSL, en configurant les paramètres requis du KeyStore et du TrustStore.

Lorsque le SSL est activé sur le JobServer du moteur, le Studio Talend doit être configuré comme client SSL pour communiquer de manière sécurisée lors des exécutions distantes et des opérations de débogage. Vous pouvez utiliser les mêmes fichiers KeyStore et TrustStore que pour le moteur et spécifier leur emplacement et leur mot de passe dans la configuration de démarrage du Studio Talend.

Si vous n'avez pas besoin de Talend Remote Engine pour les exécutions distantes et de débogage, et si vous publiez uniquement des artefacts dans Talend Management Console pour y gérer les exécutions de tâches, ignorez cette section, car votre Studio n'a pas besoin de communiquer directement avec Talend Remote Engine.

Procédure

Copiez les fichiers KeyStore et TrustStore requis depuis Talend Remote Engine vers la machine sur laquelle est installé le Studio Talend.

Placez les fichiers jobserver-client-keystore.p12 et jobserver-client-truststore.p12 dans un répertoire sécurisé.
Modifiez le fichier de configuration du Studio Talend afin de spécifier les propriétés du système SSL :
studio/Talend-Studio-linux-gtk-x86_64.ini ou studio/Talend-Studio-gtk-aarch64.ini.

Dans ce fichier, ajoutez les lignes suivantes, en adaptant les chemins des fichiers et les mots de passe selon vos besoins :
```
-Dorg.talend.remote.client.ssl.force=true
-Dorg.talend.remote.client.ssl.keyStore=<client-keystore-path>
-Dorg.talend.remote.client.ssl.keyStoreType=PKCS12
-Dorg.talend.remote.client.ssl.keyStorePassword=<client-keystore-password>
-Dorg.talend.remote.client.ssl.keyPassword=<client-keystore-password>
-Dorg.talend.remote.client.ssl.trustStore=<client-truststore-path>
-Dorg.talend.remote.client.ssl.trustStoreType=PKCS12
-Dorg.talend.remote.client.ssl.trustStorePassword=<client-truststore-password>
-Dorg.talend.remote.client.ssl.disablePeerTrust=false
-Dorg.talend.remote.client.ssl.enabled.protocols=TLSv1.2,TLSv1.3 
```
Si vous avez suivi la procédure précédente ou si vous avez utilisé l'installeur pour activer automatiquement le SSL pour Talend Remote Engine, un seul mot de passe est configuré pour tous les stores et enregistré dans la variable d'environnement TMC_ENGINE_JOB_SERVER_SSL_KEY_STORE_PASSWORD sur la machine sur laquelle est installé Talend Remote Engine.
Si le Studio est ouvert, redémarrez-le.

Cela assure l'application des nouveaux paramètres SSL.

Résultats

Vous pouvez à présent exécuter ou déboguer un Job à distance, sur le Talend Remote Engine cible, avec la communication SSL activée.

Cette page vous a-t-elle aidé ?

Si vous rencontrez des problèmes sur cette page ou dans son contenu – une faute de frappe, une étape manquante ou une erreur technique – faites-le-nous savoir.

Laissez vos commentaires ici