概述
本页描述了如何创建、管理主密钥和连接密钥并进行最佳实践。
重要的
记住要保证连接密钥、主密钥和其他可信密钥的安全;他们应该不与外部各方共享。
连接键
JFrog加入了。密钥特性基于对称加密(AES-128位或AES-256位)在JFrog服务之间建立信任。加入。key在内部用于在相同服务的微服务之间创建信任,例如在Artifactory和Access之间。
一旦建立了信任(即连接)。密钥在所有不同的服务之间共享),服务可以继续使用标准的基于令牌的身份验证进行通信。这是通过让每个服务创建用于服务间通信的令牌并使用join.key对这些令牌进行签名来实现的。
然后Access将使用提供的连接。密钥而不是自动生成的密钥,将其保存到其数据库中,并与Artifactory共享。
如果连接。受信任服务上的密钥不相同,服务之间的通信失败。
出于自动化的目的,建议这样做生成您自己的连接键并与每一个新的实例分享它。
获取JPD join.key
JPD连接键可以在的JPD UI政府模块|用户管理|设置|连接细节。要显示密钥,您需要一个管理员密码。
或者,您可以在的join.key文件在Artifactory文件系统下$ JFROG_HOME / artifactory/var/etc/security.
在Artifactory版本7.38.10之前,可以在JPD UI中找到连接键政府模块|安全|设置|连接键。
注意:您只能共享加密的连接。使用相同master.key的服务。
主密钥
主密钥是一个AES秘密密钥(128或256位),Artifactory使用它在集群节点之间安全地同步文件。它负责加密和解密数据库中的共享数据。
如果主人。密钥在集群节点上不相同,服务将无法从数据库解密配置文件。
万能钥匙是不用于不同JFrog平台产品之间的通信(不像hth华体会最新官方网站join key,用于Artifactory、Xray和其他JFrog服务之间的通信)。
主密钥是为每个产品设置的,并且对于同一服务中的所有节点(在使用HA时)必须相同。
的主人。内存中的键加载和保留
提高周边存储主的安全性。从Artifactory版本7.29.7开始,JFrog支持加载master。键在启动并保持在内存中。这是通过在引导期间,应用程序节点读取主密钥后,每个应用程序从文件系统中删除主密钥。
重要的
之前每一个重新启动后,您将需要放置主机。文件系统中的密钥文件。
记得留下主人。输入一个单独的,安全的位置。
有愿望的顾客要使用此功能将需要做以下工作:
- 通过设置标志启用主密钥移除
shared.security.masterKeyExternal来真正的 - 每当引导新节点时,获取主密钥并将其放置在应用程序文件系统的正确路径中
当旗帜高高飘扬设为真正的:
- 路由器将删除主服务器。每个服务启动并运行后的密钥文件。
- 管道不会生成主控。键,而将读取master。数据库中的键。
配对标记
可从Artifactory版本7.29.7,a配对令牌在不同的JFrog微服务之间建立信任。配对令牌是用于初始配对流的访问令牌。由于令牌是一种有限访问令牌,因此它专用于特定任务,并且寿命很短。一旦建立了信任,服务就可以继续使用标准的基于令牌的身份验证进行通信。
配对令牌替换连接。过去在JFrog平台中用于连接服务之间的密钥。这种类型的令牌仅设计用于链接跨拓扑(即本地的,而不是在JPD中)。
配对令牌使您能够在您的JFrog平台部署(JPD) / edge和远程JFrog任务控制服务。配对令牌为特定目的用例提供配对。它们是可撤销的,而且是预计最多使用一次(即,在第一次配对后撤销)。这些令牌的默认过期设置为5分钟。
- 令牌的主题与请求配对令牌的主体的主题相同
- 扩展名中的基本URL是必填的
- 扩展中的交换URL是强制性的(由于令牌是签名的,因此可以假定此URL是可信的)
- 配对URL是可选的,在需要建立双向信任时使用
主令牌
配对的结果是主令牌,这是一个访问令牌,它根据给定的用例授予请求服务在发出服务上所需执行的所有操作。主令牌通常是一个强访问令牌,可用于多个操作,并且通常是一个长期令牌。管理员用户可以通过撤销该令牌来撤销信任。
设置配对令牌
- 在政府Tab键,转到身份与访问|访问令牌|配对令牌。
- 在Generate Pairing Token for字段中,选择Mission Control(用于jpd)。
- 点击生成生成令牌。
这将显示令牌窗口,其中包括令牌的过期时间(以秒为单位,默认设置为300秒= 5分钟)、令牌ID和实际令牌,您可以通过单击复制令牌复制。
创建自动管理令牌
来自Artifactory release 7.38.4。
JFrog使公司能够创建自己的管理范围访问令牌,而无需使用JFrog平台UI或通过另一个令牌。这个Access管理范围的令牌被设计为仅在短时间内使用,其目的是启动系统。这为客户提供了在一个自动化的、完全无ui的设置中设置JFrog平台的选项。
为了安全地生成“第一个”管理范围的访问令牌,而不依赖于以前的令牌或基本凭据:
生成一个管理范围的令牌generate.token.json存档在$ JFROG_HOME / artifactory/var/bootstrap/etc/access/keys目录中。例如:
$ JFROG_HOME / artifactory / var /引导/ etc / /键/ generate.token.json访问
在引导时,如果创建了这个文件,这将生成一个令牌并将其设置在JFROG_HOME / artifactory /美元/键/ var / etc /访问目录。例如:
美元JFROG_HOME / artifactory / var / etc / /键/ token.json访问
的generate.token.json一旦令牌生成,文件将从文件系统中删除。包含令牌的文件,token.json,默认1分钟后删除。这可以通过access.config.yaml,通过修改参数bootstrap-token-delete-in-minutes(在JFROG_HOME / artifactory /美元var / etc /访问/ access.config.template.yml).
结果令牌的属性如下:
- 生成的令牌有效期为15分钟,超过15分钟系统将撤销令牌。
- 令牌是管理范围的权限
- 令牌有一个访问服务受众:jfac@*
- 令牌的主题是“admin”——即使admin用户不存在
对于Docker安装,您需要挂载bootstrap目录。
创建密钥
默认情况下join.key和master.key文件由Artifactory在服务初始启动期间自动生成。
一个不同的可以使用以下命令创建密钥(十六进制编码)。
Openssl rand -hex 16 /或Openssl rand -hex 32
用自己的钥匙自力更生
手动更新密钥有两种方法:文件复制和/或通过system.yaml文件。
引导键使用系统。yaml文件
此方法仅适用于已安装但尚未启动服务的情况。
- 保存系统yaml文件的安全部分为每个键生成字符串万能钥匙参数为“主密钥”和joinKey参数用于连接键。
- 启动服务。
引导连接。密钥使用文件系统
即使已经有了join.key,也可以使用此方法
- 年代将生成的字符串文件命名为join.key。
删除现有的join.key从
$ JFROG_HOME / artifactory / var / etc /安全/。- 将每个文件放入
JFROG_HOME / artifactory /美元var/引导/访问/ etc /安全目录中。 向目录和联接添加Artifactory权限。关键文件。例如,
chown -R artifactory:artifactory access/etc/security/join.key
- 启动服务。
管理join.key
默认情况下,是连接。在Access启动过程中自动生成并存储在Access数据库中。
加入。然后Access to Artifactory通过文件系统自动复制key,并在每次重新启动服务时重新配置。
Access共享连接。通过将其复制到以下位置来使用Artifactory:
JFROG_HOME美元/ artifactory / var / etc /安全/ join.key
升级到Artifactory 6.8会自动启动并生成join.key机制。
管理连接。HA中的密钥
应该只有一个join.key每公顷因为Access数据库在HA集群的所有节点之间共享。
如果提供了连接键而不是由系统生成,则可以将其提供给单个集群节点,因为它将由系统传播到集群的所有节点。
