Talend JobServerのクライアントSSL設定
JobServerのクライアント(Talend Administration Center / Talend Studio)はどちらも、クライアントのキーストアとトラストストアを指定する新しいシステムプロパティをサポートしています。
Talend Studioの場合は、studio/Talend-Studio-linux-gtk-x86_64.iniでこれらのシステムプロパティを 指定することをお勧めします:
-Dorg.talend.remote.client.ssl.keyStore=<path_to_jobserver_client_keystore>
-Dorg.talend.remote.client.ssl.keyStorePassword=<jobserver_client_keystore_password>
-Dorg.talend.remote.client.ssl.trustStore=<path_to_jobserver_client_truststore>
-Dorg.talend.remote.client.ssl.trustStorePassword=<jobserver_client_truststore_password>
-Dorg.talend.remote.client.ssl.enabled.protocols=TLSv1.2,TLSv1.3
-Dorg.talend.remote.client.ssl.disablePeerTrust=false
情報メモ注: バージョン7.2.xより、デフォルトでピア認証がDorg.talend.remote.client.ssl.disablePeerTrust=falseプロパティで有効化されます。ピア認証を無効にするためには、このプロパティをtrueに設定します。
Talend Administration CenterでJAVA_OPTS仕様を拡張するためには、tac/apache-tomcat/bin/setenv.shを使用できます:
export JAVA_OPTS="$JAVA_OPTS -Xmx2048m -Dfile.encoding=UTF-8 -Dorg.talend.remote.client.ssl.keyStore=..."
クライアントキーストアは証明書ベースのクライアント認証に使用され、サーバー側で設定されたトラストストアに対応する必要があります。
ただしjobserver/agent/conf/TalendJobServer.propertiesでorg.talend.remote.server.ssl.authenticate=falseとなっている場合、証明書ベースのクライアント認証はオフになり、クライアントキーストアは何の効果も持ちません。
クライアントキーストアは、サーバー側で設定されたキーストアに対応する必要があります。クライアント側でトラストストアが指定されていない場合、クライアントはすべてのサーバーを認証します。