Exécuter des tâches fiables avec votre signature électronique personnalisée
Le Studio Talend signe les Jobs avant leur déploiement vers Talend Management Console à l'aide de la signature des JAR Java (https://docs.oracle.com/javase/8/docs/technotes/guides/jar/jar.html#Signed_JAR_File (en anglais)).
Au lieu d'utiliser la clé de signature par défaut du Studio Talend, il est possible d'utiliser un KeyStore personnalisé pour la création et la validation de signatures.
Le dossier META-INF du fichier ZIP contient un fichier .SF avec les hachages SHA-256 de tous les fichiers contenus dans le ZIP, ainsi que le hachage du manifest même. La clé de signature elle-même est fournie en bundle avec le Studio Talend. Cela permet de signer le fichier .SF et d'écrire en sortie la signature dans un fichier .RSA dans META-INF. L'algorithme de signature utilisé est RSA-SHA256.
Avant de commencer
- La version de votre Studio Talend est R2022-06 ou une version supérieure.
- Votre moteur distant est en version v2.12.0 ou supérieure.
- Vous avez généré un fichier KeyStore Java personnalisé à l'aide d'un outil keytool Java tiers.
Procédure
-
Configurer un KeyStore Java personnalisé pour les signatures d'artefacts de Jobs
- Dans le Studio Talend, ajoutez votre clé JKS comme indiqué dans Configurer un KeyStore Java personnalisé pour les signatures d'artefacts de Jobs.
- Dans un environnement d'intégration continue, ajoutez les paramètres suivants à votre build :
- -Dsigner.path : chemin d'accès à votre fichier KeyStore Java personnalisé.
- -Dsigner.keystore.password : mot de passe du KeyStore, chiffré dans Maven ou en plein texte.
- -Dsigner.keystore.password : mot de passe de la clé, chiffré dans Maven ou en plein texte.
- -Dsigner.key.alias : nom de l'alias associé à votre KeyStore.
- Publiez l'artefact signé dans le Cloud.
- Activez sur votre moteur distant la vérification des signatures personnalisées et utilisez la même configuration du KeyStore Java, comme expliqué dans Vérifier une signature d'artefact avec une clé de signature personnalisée.
- Si c'est n'est pas fait, créez une tâche de Job pour cet artefact.
- Exécutez des tâches de Jobs sur un moteur distant ou un cluster pour lequel vous avez activé la vérification des signatures personnalisées.