Zu Hauptinhalt springen Zu ergänzendem Inhalt springen

Rotieren von Verschlüsselungsschlüsseln in Studio Talend

Von den Komponenten Studio Talend und Talend werden jetzt zwei Verschlüsselungsschlüssel zur Ver- und Entschlüsselung von Passwörtern mithilfe des AES GCM 256-Algorithmus verwendet.

  • system.encryption.key: Für die Ver- und Entschlüsselung von Nexus-Passwörtern sowie der Passwörter in der Datei connection_user.properties und in der Job-Eigenschaftsdatei <jobname>_<jobversion>.item. Alle Studio Talend-Benutzer, die am selben Projekt arbeiten, müssen über denselben System-Verschlüsselungsschlüssel verfügen.
  • routine.encryption.key: Für die Ver- und Entschlüsselung von Passwörtern bei der Erstellung und Ausführung von Jobs.
InformationshinweisWarnung: Talend empfiehlt nachdrücklich, den Schlüssel in einer Studio Talend-Instanz zu rotieren, den neuen Schlüssel dann nach Bedarf auf der Remote Engine zu implementieren und ihn anschließend an die anderen Studio Talend-Instanzen zu verteilen.

Die Standardwerte der zwei Schlüssel system.encryption.key.v1 und routine.encryption.key.v1 sind in der Konfigurationsdatei der Verschlüsselungsschlüssel /configuration/studio.keys gespeichert. Diese Datei wird im Installationsverzeichnis von Studio Talend nach der ersten Ausführung der exe-Datei von Studio Talend Talend-Studio-macosx-cocoa.app erstellt. Nachstehend ein Beispiel für die neu erstellte Datei studio.keys.

system.encryption.key.v1=ObIr3Je6QcJuxJEwErWaFWIxBzEjxIlBrtCPilSByJI\=
routine.encryption.key.v1=YBoRMn8gwD1Kt3CcowOiGeoxRbC2eNNVm7Id6vA3hrk\=

Wenn der standardmäßige System-Verschlüsselungsschlüssel nicht zur Ver- und Entschlüsselung von Passwörtern verwendet wird, können Sie seinen Wert ändern. Entfernen Sie dazu den Standardwert und starten Sie Studio Talend neu, ObIr3Je6QcJuxJEwErWaFWIxBzEjxIlBrtCPilSByJI\= in obigem Beispiel.

Der Wert des Standard-Routinen-Verschlüsselungsschlüssels kann nicht geändert werden. Wenn Sie bereits bei einem Projekt angemeldet sind, ermöglicht Ihnen Talend die Rotation eines Verschlüsselungsschlüssels. Dazu müssen Sie eine neue Version des Schlüssels in der Konfigurationsdatei der Verschlüsselungsschlüssel hinzufügen.

Beachten Sie, dass die neue Version des System-Verschlüsselungsschlüssels für einen Job erst nach der Änderung und Speicherung des Jobs wirksam wird.

Wenn Sie bei Verwendung der kontinuierlichen Integration (CI: Continuous Integration) Verschlüsselungsschlüssel rotieren müssen, können Sie den Parameter -Dstudio.encryption.keys.file einsetzen, um den Pfad zur Konfigurationsdatei der Verschlüsselungsschlüssel anzugeben. Weitere Informationen finden Sie unter „Generieren und Implementieren“.

Warum und wann dieser Vorgang ausgeführt wird

Das nachstehende Verfahren zeigt die Vorgehensweise zur Rotation eines Verschlüsselungsschlüssels.

Prozedur

  1. Öffnen Sie die Schlüsselkonfigurationsdatei /configuration/studio.keys im Installationsverzeichnis von Studio Talend.
  2. Fügen Sie eine neue Version des Verschlüsselungsschlüssels mit einem leeren Wert durch Hinzufügen der folgenden Zeile hinzu:
    • Für den System-Verschlüsselungsschlüssel:
      system.encryption.key.v<version_number>=
    • Für den Routinen-Verschlüsselungsschlüssel:
      routine.encryption.key.v<version_number>=

    Hierbei gilt: <version_number> ist eine einfache Ganzzahl, die der Version des neuen Verschlüsselungsschlüssels entspricht und die größer sein muss als alle bestehenden Versionsnummern. Beispiel:

    system.encryption.key.v2=
routine.encryption.key.v2=
    InformationshinweisWarnung: Eventuell vorhandene vorhergehende Versionen des Verschlüsselungsschlüssels dürfen nicht gelöscht werden, wenn sie bereits zur Verschlüsselung eines Passworts verwendet wurden.
  3. Speichern Sie die Schlüsselkonfigurationsdatei und starten Sie Studio Talend neu.
    Die neue Version des Verschlüsselungsschlüssels wird generiert und in der Schlüsselkonfigurationsdatei gespeichert.
  4. Wenn der Job auf einer Remote Engine ausgeführt wird, kopieren Sie die Schlüsselkonfigurationsdatei auf den Remote Engine-Server und fügen Sie das folgende JVM-Argument für die entsprechende Job-Task in einem Job-Ausführungsprofil für die Remote Engine in Talend Management Console hinzu: 
    -Dencryption.keys.file=<studio_key_path>

    Hierbei gilt: <studio_key_path> ist der absolute Pfad der Verschlüsselungsdatei von Studio Talend auf der Remote Engine, z. B. d/keys/studio.keys.

    Weitere Informationen zur Definition eines Job-Ausführungsprofils für eine Remote Engine und das Hinzufügen von JVM-Argumenten im Ausführungsprofil in Talend Management Console finden Sie unter „Konfigurieren von Job-Ausführungsprofilen“.

    Später, vor der Ausführung der Job-Task auf der Remote Engine, müssen Sie die Ausführungseinstellungen der Task bearbeiten und dazu das Job-Ausführungsprofil auswählen, in dem das JVM-Argument konfiguriert wurde. Weitere Informationen finden Sie unter „Aufrufen und Bearbeiten von Job-Tasks“.

Hat diese Seite Ihnen geholfen?

Wenn Sie Probleme mit dieser Seite oder ihren Inhalten feststellen – einen Tippfehler, einen fehlenden Schritt oder einen technischen Fehler –, teilen Sie uns bitte mit, wie wir uns verbessern können!

Geben Sie hier Ihr Feedback ab