JMX監視サーバーでSSLを使用するTalend JobServerの設定
JMXベースの監視サーバーは、<jobserver_home>/start_rs.shを使ってTalend JobServerと共に開始されます。この設定は<jobserver_home>/conf/TalendJobServer.propertiesにあります。監視サーバーにSSLを設定するためには、次の設定パラメーターを追加する必要があります(デフォルト設定はコメントアウトされています):
# Set to true to enforce SSL for JMX monitoring server
org.talend.jmxmp.useSSL=true
# Set to true to enforce certificate based client authentication for JMX monitoring server
org.talend.jmxmp.ssl.authenticate=true
org.talend.jmxmp.ssl.keyStore=<path_to_monitoring_server_keystore>
org.talend.jmxmp.ssl.keyStorePassword=<monitoring_server_keystore_password>
#org.talend.jmxmp.ssl.keyStoreType=JKS
org.talend.jmxmp.ssl.trustStore=<path_to_monitoring_server_truststore>
org.talend.jmxmp.ssl.trustStorePassword=<monitoring_server_truststore_password>
#org.talend.jmxmp.ssl.trustStoreType=JKS
#org.talend.jmxmp.ssl.enabled.protocols=TLSv1.2,TLSv1.3
#org.talend.jmxmp.ssl.enabled.cipher.suites=<comma separated list of enabled cipher suites>
有効な暗号のリストは、Talendインストールガイドで一部のSSL暗号の無効化(オプション)をご覧ください。
プロトコルのデフォルトはTLSv1.2です。代わりにTLSv1.3を指定することもできます。
トラストストアは、JMX監視サーバーの証明書ベースのクライアント認証でのみ必要です。これは、監視クライアントで指定されたキーストアに対応している必要があります。org.talend.jmxmp.ssl.authenticate=trueの場合、トラストストアは必須です。そうでない場合、Talend Administration Centerクライアントを認証することはできません。
ここで定義されるキーストアはSSLで必須であり、監視クライアントで指定されたトラストストアに対応している必要があります。監視サーバーとクライアントで同じトラストストアとキーストアを使用することもできますが、本番環境ではお勧めできません。
Jconsoleはjmxmpプロトコル経由でSSLを使ってリモート接続できないため、<jobserver_home>/start_jconsole.shは動作しません。ただし、JConsole内で、同じ情報/MBeansを提供するローカルのJobServerプロセスに接続することはできます。