Remote Engineでアーティファクト署名を検証
JavaのJar署名(署名済みJARファイル)を使ってTalend Management Consoleにデプロイされる前に、Talend Studioはジョブを署名します。アーティファクト署名を検証するよう、Remote Engineを有効にできます。
この検証には、Talend Studioにバンドルされているデフォルトの署名キーかカスタムの署名キーを使用できます。
zipファイルのMETA-INFフォルダーには.SFファイルがあります。後者のファイルには、そのzipファイルに含まれている全ファイルのSHA-256ダイジェストとマニフェスト自体のダイジェストが含まれています。署名キー自体はTalend Studioにバンドルされています。これによって.SFファイルに署名され、その署名はMETA-INF内の.RSAファイルに出力されます。使用される署名アルゴリズムはRSA-SHA256です。
カスタム署名キーによってアーティファクト署名を検証
自分の署名キーを使用してアーティファクト署名を検証できるよう、Remote Engineを有効にします。
カスタム署名キーを使用するようエンジンを設定した場合、Talendが提供するキーは使用されません。
始める前に
-
アーティファクト署名検証のために、Talend Studio側でカスタム署名キーを設定していること。
詳細は、ジョブアーティファクト署名用のカスタムJava KeyStoreを設定をご覧ください。
- Remote EngineがV2.12.0以降であること。
- Talend StudioのバージョンがR2022-06以降であること。
- Remote Engineクラスターでは、KeyStoreが1つのみ許可されています。
- プロモーションのソース環境とターゲット環境に割り当てられたRemote Engineでは、KeyStoreが1つのみ許可されています。
手順
デフォルトの署名キーによってアーティファクト署名を検証
デフォルトの署名キーを使用してアーティファクト署名を検証できるよう、Remote Engineを有効にします。
カスタム署名キーを使用するよう既にエンジンを設定している場合は、このセクションを無視しても構いません。
手順
- エンジンのバージョンが2.12.0以降の場合、次のKARAFコマンドを実行します。
feature:uninstall talend-job-server-signature-verifier-disablerこのコマンドによってKaraf talend-job-server-signature-verifier-disabler機能がアンインストールされ、ジョブ署名検証が有効になります。
- エンジンのバージョンがそれよりも古い場合は、<RemoteEngineInstallationDirectory>/etc/org.talend.ipaas.rt.jobserver.client.cfgファイルでjob.signature.verifyingパラメーターをtrueに設定し、このファイルを保存します。