Cifrar información confidencial en la configuración de Experience Service
Los parámetros de configuración siguientes almacenan información confidencial:
• db.connectionString
• authentication.authorization.appKey
• proxies.0.appKey
• thingworxMetrics.appkey
• vdp.username
• vdp.password
• httpsCertPassphrase
• authentication.openid.clientSecret
• authentication.openid.session.secret
Los valores de parámetros se pueden cifrar para reducir las posibilidades de que los usuarios no autorizados tengan acceso a esta información confidencial. Asigne la opción --encryptConfiguration a la línea de comandos cuando se inicie Experience Service para cifrar valores confidenciales. Por ejemplo:
start-es.sh --encryptConfiguration
Si Experience Service se inicia con esta opción de línea de comandos, reescribe el fichero configuration.json con las versiones cifradas de los valores de parámetros confidenciales. Tras haberse cifrado la configuración, ya no hace falta iniciar Experience Service con la opción --encryptConfiguration a menos que haya cambios en la información confidencial de la configuración y deba cifrarse de nuevo.
Cuando se cifra la configuración, Experience Service genera una clave que se utiliza para cifrar y descifrar la información confidencial mediante el algoritmo AES 256. Esta clave se almacena en el directorio .ves dentro del directorio inicial del usuario que inició Experience Service con la opción --encryptConfiguration. Es aconsejable proteger esta clave para impedir que los usuarios no autorizados descifren la información confidencial.
Cuando se reinicia Experience Service después de haberse cifrado la configuración, Experience Service busca la clave de cifrado en el directorio <home>/.ves del usuario que intenta iniciar Experience Service. Por lo tanto, después de haberse cifrado la configuración, Experience Service debe poder recuperar la clave de cifrado de dicho directorio .ves.