メイン コンテンツをスキップする 補完的コンテンツへスキップ

ルート認証局の証明書チェーンを設定

Talend Administration Centerウェブサーバーとクライアントアプリケーション(Studio、Nexus/artifactory、GITなど)間のセキュアHTTPS接続は、共通の長期(10年以上)認証を提供する証明書チェーンによって実行できます。

手順

  1. 次のさまざまなサブステップに従って、証明書である.cerファイルを生成します。
    1. 下の値を設定に合わせて準備します。
      • サーバーIP: serverIP
      • SAN IP: serverIPまたは追加のドメイン名(利用可能な場合)
      • KeyStoreパスワード: changeit
      • サーバーのプリティ名: serverPrettyName
    2. Powershellで、適切な値を使ってプライベートキーを生成します。
      keytool -genkey -alias serverIP -keyalg RSA -keysize 4096 -keystore talendKey.jks -dname "CN=serverIP, OU=name of the organizational unit/department, O=name of the company/organization, ST=name of the region or state , C=name of the country" -keypass changeit -storepass changeit -ext SAN=ip:serverIP,dns:serverPrettyName
    3. .csrファイルを取得できるよう、適切な値で証明書署名リクエストを作成します。
      keytool -certreq -file serverIP.csr -keystore talendKey.jks -storepass changeit -alias serverIP -ext SAN=ip:serverIP,dns:serverPrettyName
    4. 認証局を使って.csrファイルにカウンターサインします。
    5. 承認した証明書をOpenSSL形式でダウンロードします。
    6. 前述のファイルから最初の証明書の内容を抽出し、テキストエディターツールでserverIP.cerファイルに貼り付けます。
    7. 証明書チェーンを変更した場合や初回インストールの場合、証明書をトラストストアに追加する必要があります。
      serverIP.cerファイルからサーバー関連の最初のエントリーを抽出し、chain.cerファイルに貼り付けます。証明書チェーンにはルート署名と中間署名が含まれています: keytool -import -file /opt/talend/talend-version/truststore/Talend_certificate/chain.cer -keystore /opt/talend/talend-version/truststore/BitTalend -alias chain
      情報メモヒント: 認証局が発行した共通の証明書ではなく、自己署名証明書を設定した場合は、証明書チェーンで証明書をすべてインポートしてJavaキーストアを初期化できます。詳細は、Talend Administration CenterのSSLを設定で対応するセクションをご覧ください。
  2. ダウンロードしたserverIP.cerファイルを、現在JKSキーストアで利用できるp12キーファイルとマージします:
    1. Keytoolを使い、次のようにJKS形式をPKCS形式に変換します: keytool -importkeystore -srckeystore talendKey.jks -destkeystore talendKey.p12 -deststoretype PKCS12
    2. PKCSからキーファイルを抽出し、別のキーファイルを作成します: openssl pkcs12 -in talendKey.p12 -nodes -nocerts -out talendKey.key
  3. 証明書、キーファイル、証明書チェーンを新しいp12ファイルにまとめます。
    openssl pkcs12 -export -in <serverIP>.cer -inkey talendKey.key -out certificate.p12 -chain -CAfile chain.cer -name <serverIp>
  4. Javaキーツールを使って、p12ファイルをキーストアに変換します。
    Nexus: keytool -importkeystore -srckeystore certificate.p12 -srcstoretype PKCS12 -destkeystore keystore

    Talend Administration Center:keytool -importkeystore -srckeystore certificate.p12 -srcstoretype PKCS12 -destkeystore /opt/talend/talend-version/truststore/BitTalend

  5. Nexusを使用している場合は、生成されたキーストア(およびトラストストア)をnexusinstall > etc > sslサブフォルダーに保存します。Nexusを停止して再起動すれば変更が実装されます。
  6. etc/jetty/jetty-https.xmlファイルでキー名やパスワードが正確であることを確認します。
  7. SSL接続を設定するには:
    • Tomcatウェブサーバーに証明書が設定されている場合、次のコマンドを入力します: /opt/talend/talend-version/truststore/Talend_SSL/Talend_TAC_QA" keystorePass="keystore pass"
      その次に、Tomcatを設定します:<TomcatPath>/conf/server.xmlファイルを開き、SSLの部分を次のようにコメント解除して編集します。
      <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
                     maxThreads="150" scheme="https" secure="true"
                     clientAuth="true" sslProtocol="TLS" 
      	keystoreFile="<SSLFolderPath/serverKeystore.jks" 
      	keystorePass=<keystorePassword>
      	truststoreFile="<SSLFolderPath/serverTruststore.jks" 
      	truststorePass=<trustStorePassword> />
    • 証明書がウェブアプリケーション自体で設定されている場合は、他のアプリケーションへのSSL接続を定義を参照し、keytokeytool -delete -alias tomcat -keystore /opt/talend/talend-version/truststore/BitTalend -storepass changeitというコマンドを入力します。

タスクの結果

Talend Administration Centerサービスを再起動します。

ブラウザーにTalend Administration Center URL: https://localhost:8080/org.talend.administratorと入力します。アプリケーションが緑色のキーアイコン: 南京錠と共に表示されるようになります。

このページは役に立ちましたか?

このページまたはコンテンツにタイポ、ステップの省略、技術的エラーなどの問題が見つかった場合はお知らせください。