Rotieren von Verschlüsselungsschlüsseln in Talend Studio - Cloud

Talend Installations- und Aktualisierungshandbuch für Windows

Version
Cloud
Language
Deutsch
EnrichDitaval
Windows
Product
Talend Cloud
Module
Talend Artifact Repository
Talend Data Stewardship
Talend Management Console
Talend Remote Engine
Talend SAP RFC Server
Talend Studio
Content
Installation und Upgrade
Vorhanden in...

Cloud API Services Platform

Cloud Big Data

Cloud Big Data Platform

Cloud Data Fabric

Cloud Data Integration

Cloud Data Management Platform

Von den Komponenten Talend Studio und Talend werden jetzt zwei Verschlüsselungsschlüssel zur Ver- und Entschlüsselung von Passwörtern mithilfe des AES GCM 256-Algorithmus verwendet.

  • system.encryption.key: Für die Ver- und Entschlüsselung von Nexus-Passwörtern sowie der Passwörter in der Datei connection_user.properties und in der Job-Eigenschaftsdatei <jobname>_<jobversion>.item. Alle Studio-Benutzer, die an demselben Projekt arbeiten, müssen über denselben System-Verschlüsselungsschlüssel verfügen.
  • routine.encryption.key: Für die Ver- und Entschlüsselung von Passwörtern bei der Erstellung und Ausführung von Jobs.
Warnung: Es wird nachdrücklich empfohlen, den Schlüssel in einer Studio-Instanz zu rotieren, den neuen Schlüssel dann nach Bedarf auf der Remote Engine zu implementieren und ihn anschließend an die anderen Studio-Instanzen zu verteilen.

Die Standardwerte der zwei Schlüssel system.encryption.key.v1 und routine.encryption.key.v1 sind in der Konfigurationsdatei der Verschlüsselungsschlüssel \configuration\studio.keys gespeichert. Diese Datei wird im Installationsverzeichnis von Talend Studio nach der ersten Ausführung der exe-Datei von Talend Studio Talend-Studio-win-x86_64.exe erstellt. Nachstehend ein Beispiel für die neu erstellte Datei studio.keys.

system.encryption.key.v1=ObIr3Je6QcJuxJEwErWaFWIxBzEjxIlBrtCPilSByJI\=
routine.encryption.key.v1=YBoRMn8gwD1Kt3CcowOiGeoxRbC2eNNVm7Id6vA3hrk\=

Wenn der standardmäßige System-Verschlüsselungsschlüssel nicht zur Ver- und Entschlüsselung von Passwörtern verwendet wird, können Sie seinen Wert ändern. Entfernen Sie dazu den Standardwert und starten Sie Talend Studio neu, ObIr3Je6QcJuxJEwErWaFWIxBzEjxIlBrtCPilSByJI\= in obigem Beispiel.

Der Wert des Standard-Routinen-Verschlüsselungsschlüssels kann nicht geändert werden. Wenn Sie bereits bei einem Projekt angemeldet sind, ermöglicht Ihnen Talend die Rotation eines Verschlüsselungsschlüssels. Dazu müssen Sie eine neue Version des Schlüssels in der Konfigurationsdatei der Verschlüsselungsschlüssel hinzufügen.

Beachten Sie, dass die neue Version des System-Verschlüsselungsschlüssels für einen Job erst nach der Änderung und Speicherung des Jobs wirksam wird.

Wenn Sie bei Verwendung der kontinuierlichen Integration (CI: Continuous Integration) Verschlüsselungsschlüssel rotieren müssen, können Sie den Parameter -Dstudio.encryption.keys.file einsetzen, um den Pfad zur Konfigurationsdatei der Verschlüsselungsschlüssel anzugeben. Weitere Informationen finden Sie unter Generieren und Implementieren.

Warum und wann dieser Vorgang ausgeführt wird

Das nachstehende Verfahren zeigt die Vorgehensweise zur Rotation eines Verschlüsselungsschlüssels.

Prozedur

  1. Öffnen Sie die Schlüsselkonfigurationsdatei \configuration\studio.keys im Installationsverzeichnis von Talend Studio.
  2. Fügen Sie eine neue Version des Verschlüsselungsschlüssels mit einem leeren Wert durch Hinzufügen der folgenden Zeile hinzu:
    • Für den System-Verschlüsselungsschlüssel:
      system.encryption.key.v<version_number>=
    • Für den Routinen-Verschlüsselungsschlüssel:
      routine.encryption.key.v<version_number>=

    Hierbei gilt: <version_number> ist eine einfache Ganzzahl, die der Version des neuen Verschlüsselungsschlüssels entspricht und die größer sein muss als alle bestehenden Versionsnummern. Beispiel:

    system.encryption.key.v2=
    routine.encryption.key.v2=
    Warnung: Eventuell vorhandene vorhergehende Versionen des Verschlüsselungsschlüssels dürfen nicht gelöscht werden, wenn sie bereits zur Verschlüsselung eines Passworts verwendet wurden.
  3. Speichern Sie die Schlüsselkonfigurationsdatei und starten Sie Talend Studio neu.
    Die neue Version des Verschlüsselungsschlüssels wird generiert und in der Schlüsselkonfigurationsdatei gespeichert.
  4. Wenn der Job auf einer Remote Engine ausgeführt wird, kopieren Sie die Schlüsselkonfigurationsdatei auf den Remote Engine-Server und fügen Sie das folgende JVM-Argument für die entsprechende Job-Task in einem Job-Ausführungsprofil für die Remote Engine in Talend Cloud Management Console hinzu:
    -Dencryption.keys.file=<studio_key_path>

    Hierbei gilt: <studio_key_path> ist der absolute Pfad der Verschlüsselungsdatei von Talend Studio auf der Remote Engine, z. B. D:\keys\studio.keys.

    Weitere Informationen zur Definition eines Job-Ausführungsprofils für eine Remote Engine und das Hinzufügen von JVM-Argumenten im Ausführungsprofil in Talend Cloud Management Console finden Sie unter Konfigurieren von Job-Ausführungsprofilen.

    Später, vor der Ausführung der Job-Task auf der Remote Engine, müssen Sie die Ausführungseinstellungen der Task bearbeiten und dazu das Job-Ausführungsprofil auswählen, in dem das JVM-Argument konfiguriert wurde. Weitere Informationen finden Sie hier: Aufrufen und Bearbeiten von Job-Tasks.