Configurer une chaîne de certificats racine de l'autorité de certification - 8.0

Guide d'installation Talend pour Linux

Version
8.0
Language
Français (France)
EnrichDitaval
Linux
Product
Talend Big Data
Talend Big Data Platform
Talend Data Fabric
Talend Data Integration
Talend Data Management Platform
Talend Data Services Platform
Talend ESB
Talend MDM Platform
Talend Real-Time Big Data Platform
Module
Studio Talend
Talend Activity Monitoring Console
Talend Administration Center
Talend Artifact Repository
Talend CommandLine
Talend Data Preparation
Talend Data Stewardship
Talend ESB
Talend Identity and Access Management
Talend Installer
Talend JobServer
Talend Log Server
Talend MDM Server
Talend MDM Web UI
Talend Runtime
Talend SAP RFC Server
Content
Installation et mise à niveau

Une connexion HTTPS sécurisée entre le serveur Web de Talend Administration Center et les applications clientes (le Studio, Nexus/Artifactory, Git, etc.) peut être établie via une chaîne de certificats fournissant une certification commune et à long terme (> 10 ans).

Pourquoi et quand exécuter cette tâche

Procédure

  1. Générez un fichier de certificat .cer en suivant les étapes suivantes :
    1. Préparez les valeurs ci-dessous en les adaptant à votre configuration :
      • server IP : serverIP (IP du serveur)
      • SAN IP : serverIP or additional domain names (if available) (IP du serveur ou noms de domaines supplémentaires, si disponibles)
      • Keystore password : changeit (à modifier)
      • Server Pretty Name : serverPrettyName (nom du serveur)
    2. Dans Powershell, générez la clé privée avec les valeurs appropriées.
      keytool -genkey -alias serverIP -keyalg RSA -keysize 4096 -keystore talendKey.jks -dname "CN=serverIP, OU=name of the organizational unit/department, O=name of the company/organization, ST=name of the region or state , C=name of the country" -keypass changeit -storepass changeit -ext SAN=ip:serverIP,dns:serverPrettyName
    3. Effectuez la demande de signature du certificat (Certificate Signing Request) avec les valeurs adéquates, pour obtenir un fichier .csr.
      keytool -certreq -file serverIP.csr -keystore talendKey.jks -storepass changeit -alias serverIP -ext SAN=ip:serverIP,dns:serverPrettyName
    4. Contresignez le fichier .csr à l'aide d'une autorité de certification.
    5. Téléchargez le certificat approuvé au format OpenSSL.
    6. Extrayez le premier contenu du certificat du fichier ci-dessus et collez-le dans le fichier serverIP.cer, via un outil d'édition de texte.
    7. En cas de modification de la chaîne de certificats ou de première installation, le certificat doit être ajouté au TrustStore.
      Extrayez la première entrée relative au serveur du fichier serverIP.cer et collez-la dans le fichier chain.cer. La chaîne doit inclure les signatures racine(s) et intermédiaire(s). keytool -import -file /opt/talend/talend-version/truststore/Talend_certificate/chain.cer -keystore /opt/talend/talend-version/truststore/BitTalend -alias chain
      Remarque : Si vous avez configuré des certificats autosignés au lieu d'un certificat commun par autorité de certification, vous pouvez utiliser la chaîne de certificats pour initialiser le Keystore Java en important tous les certificats. Pour plus d'informations, consultez la section correspondante Configurer le SSL pour Talend Administration Center.
  2. Fusionnez le fichier serverIP.cer téléchargé avec le fichier de clé .p12 disponible dans le store JKS :
    1. Convertissez le format JKS en format PKCS à l'aide de Keytool : keytool -importkeystore -srckeystore talendKey.jks -destkeystore talendKey.p12 -deststoretype PKCS12
    2. Extrayez le fichier de clé du fichier PKCS et créez un fichier de clé séparé : openssl pkcs12 -in talendKey.p12 -nodes -nocerts -out talendKey.key
  3. Combinez le certificat, le fichier de clé et la chaîne de certificats dans un nouveau fichier .p12 :
    openssl pkcs12 -export -in <serverIP>.cer -inkey talendKey.key -out certificate.p12 -chain -CAfile chain.cer -name <serverIp>
  4. Convertissez le fichier .p12 en Keystore à l'aide de l'outil Java Keytool
    Nexus : keytool -importkeystore -srckeystore certificate.p12 -srcstoretype PKCS12 -destkeystore keystore

    Talend Administration Center :keytool -importkeystore -srckeystore certificate.p12 -srcstoretype PKCS12 -destkeystore /opt/talend/talend-version/truststore/BitTalend

  5. Si vous utilisez Nexus, stockez le fichier Keystore généré (et le fichier TrustStore) dans le sous-dossier nexusinstall>etc>ssl. Pour implémenter les modifications, arrêtez Nexus et redémarrez-le.
  6. Asurez-vous que les identifiants (keynames) et les mots de passe (passwords) sont corrects dans le fichier etc/jetty/jetty-https.xml.
  7. Pour configurer la connexion SSL :
    • Si le certificat est configuré sur le serveur Web d'Apache Tomcat, saisissez la commande suivante : /opt/talend/talend-version/truststore/Talend_SSL/Talend_TAC_QA" keystorePass="keystore pass".
      Configurez ensuite Apache Tomcat : Ouvrez le fichier <TomcatPath>/conf/server.xml, décommentez et modifiez la partie SSL, comme suit :
      <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
                     maxThreads="150" scheme="https" secure="true"
                     clientAuth="true" sslProtocol="TLS" 
      	keystoreFile="<SSLFolderPath/serverKeystore.jks" 
      	keystorePass=<keystorePassword>
      	truststoreFile="<SSLFolderPath/serverTruststore.jks" 
      	truststorePass=<trustStorePassword> />
    • Si le certificat est configuré uniquement sur l'application Web, consultez la section Définir une connexion SSL vers d'autres applications et saisissez la commande suivante : keytool -delete -alias tomcat -keystore /opt/talend/talend-version/truststore/BitTalend -storepass changeit

Résultats

Redémarrez le service Talend Administration Center.

Saisissez l'URL de Talend Administration Center : https://localhost:8080/org.talend.administrator dans un navigateur. L'application est à présent affichée avec une icône représentant un verrou vert : .