パスワードの暗号化
詳細については、このヘルプセンターの
セキュリティ管理ツールを参照してください。
ライセンスパスワードとデータベースパスワードの暗号化 (8.4.0 以降)
キーストアプロバイダは、暗号化された状態でファイルに保管されているセキュアトークンを使用してキーストアを操作します。キーストアに書き込まれたすべてのデータは、パスワードを使用して安全に保管されます。プロバイダは最初に起動したときに、ランダムパスワード値とキーストアファイルを生成します (まだ存在しない場合)。
 |
キーストアのパスワードとキーストアファイルはアプリケーションユーザーのみに公開されます。アプリケーションユーザーはこれらのファイルに対する読み取り/書き込みのアクセス許可を持っている必要があります。
|
|
|
以下の例は Windows ベースです。Linux ベースの OS を使用している場合、必要に応じてコマンドを変更してください。
|
キーストアファイルを事前に作成し、そこに初期データを保管するには、
セキュリティ管理ツールを使用する必要があります。
1.
PTC サポートサイトからセキュリティ管理ツールの ZIP ファイルを入手します。
2. ZIP ファイルのコンテンツをディレクトリに解凍します。
3. 以下のパラメータを含むコンフィギュレーションファイルを作成し、解凍されたファイルの bin フォルダ内に配置します。
|
|
この例では、このファイルの名前は keystore.conf、ツールのバージョンは 1.0.0.36 であり、C://security-common-cli-1.0.0.36/bin にあります。
|
|
|
default-encryption-key-length がアプリケーションのコンフィギュレーションと一致していなければなりません。ThingWorx では、これは
platform-settings.jsonにある InternalAesCryptographicKeyLength パラメータです。デフォルトは 128 ですが、Java 1.8.0_162 以上を使用している場合、256 ビットの暗号を使用できます。必要な場合、Java のポリシーでキーサイズの制限を更新することによって、旧バージョンの Java を使用することもできます。
|
{
security {
secret-provider = "com.thingworx.security.provider.keystore.KeyStoreProvider"
default-encryption-key-length = 128
keystore {
password-file-path = "/ThingworxPlatform"
password-file-name = "keystore-password"
path = "/ThingworxStorage"
name = "keystore"
}
}
}
security {
secret-provider = "com.thingworx.security.provider.keystore.KeyStoreProvider"
default-encryption-key-length = 128
keystore {
password-file-path = "/ThingworxPlatform"
password-file-name = "keystore-password"
path = "/ThingworxStorage"
name = "keystore"
}
}
}
4. コマンドプロンプトを開き、security-common-cli-1.0.0.36\bin に移動します。
5. 以下を実行することで、設定した場所にパスワードファイルとキーストアを作成します。
◦ ライセンスパスワード:
C:\security-common-cli-1.0.0.36\bin> security-common-cli.bat <path to keystore>\keystore.conf
set encrypt.licensing.password "add-password-here"
set encrypt.licensing.password "add-password-here"
◦ データベースパスワード:
C:\security-common-cli-1.0.0.36\bin> security-common-cli.bat <path to keystore>\keystore.conf
set encrypt.db.password "add-password-here"
set encrypt.db.password "add-password-here"
◦ ライセンスプロキシパスワード:
C:\security-common-cli-1.0.0.36\bin> security-common-cli.bat <path to keystore>\keystore.conf
set encrypt.proxy.password "add-password-here"
set encrypt.proxy.password "add-password-here"
◦ RabbitMQ パスワード (ThingWorx Flow がインストールされている場合):
C:\security-common-cli-1.0.3.48\bin> security-common-cli.bat <path to keystore>\keystore.conf
set encrypt.queue.password "add-password-here"
set encrypt.queue.password "add-password-here"
6. ThingworxPlatform\platform-settings.json を開き、以下の更新を行います。
◦ ライセンスパスワード: LicensingConnectionSettings の下で、password の値を encrypt.licensing.password に変更します。例: "password": "encrypt.licensing.password"
◦ データベースパスワード: 使用している永続化プロバイダの PersistenceProviderPackageConfigs ConnectionInformation の下で、password の値を encrypt.db.password に変更します。例: "password": "encrypt.db.password"
◦ ライセンスプロキシパスワード: LicensingConnectionSettings の下で、password の値を encrypt.proxy.password に変更します。例: "password": "encrypt.proxy.password"
◦ RabbitMQ パスワード (ThingWorx Flow がインストールされている場合): platform-settings.json ファイルで、OrchestrationSettings の下の QueuePassword の値を encrypt.queue.password に変更します。例: "QueuePassword": "encrypt.queue.password"
このパスワードは、暗号化されたパスワードが見つかった場合に、ThingWorx プラットフォームがキーストア内でそれを検索することを示します。
ライセンスパスワードとデータベースパスワードの暗号化 (8.3.x 以下)