轮换 Talend Studio 中的加密密钥
两个加密密钥现在被 Talend Studio、Talend Administration Center 和 Talend 组件用于通过 AES GCM 256 算法对密码进行加解密。
- system.encryption.key:用于对 Nexus 密码及connection_user.properties 文件和 <jobname>_<jobversion>.item 作业配置文件中的密码进行加解密。所有的 Talend Studio 用户使用同一个工程时必需具有同一个系统加密密钥。
- routine.encryption.key: 用于构建和运行作业时对密码进行加解密。
信息注释警告: Talend 强烈建议您在一个 Talend Studio 上进行密钥轮换,如需要的话将新的密钥部署在 Talend Administration Center 和 Talend JobServer 上,然后将新的密钥分发给其它 Talend Studio 应用程序。
这两个密钥 system.encryption.key.v1 和 routine.encryption.key.v1 的默认值存储在加密密钥配置文件 /configuration/studio.keys 中,此文件在您首次运行 Talend Studio 可执行文件 Talend-Studio-macosx-cocoa.app 后在 Talend Studio 的安装目录下创建。以下为新创建的 studio.keys 文件的示例。
system.encryption.key.v1=ObIr3Je6QcJuxJEwErWaFWIxBzEjxIlBrtCPilSByJI\=
routine.encryption.key.v1=YBoRMn8gwD1Kt3CcowOiGeoxRbC2eNNVm7Id6vA3hrk\=
如果未使用默认的系统加密密钥为任何密码加解密,您可以通过删除其默认值并重启 Talend Studio 来修改加密密钥的值,如上例中的 ObIr3Je6QcJuxJEwErWaFWIxBzEjxIlBrtCPilSByJI\=。
无法修改默认例程加密密钥值。如果您已经登录工程,Talend 允许您通过在加密密钥配置文件中添加新版本的密钥来轮换加密密钥。
新版本的系统加密密钥只有在您修改并保存作业后才能对作业生效。
使用持续集成时,如果您需要轮换加密密钥, 请用 -Dstudio.encryption.keys.file 参数指定加密密钥配置文件的路径。有关更多信息,请参阅 Building and Deploying (英文版)。