Chiffrement des informations sensibles dans la configuration d'Experience Service
Les paramètres de configuration suivants stockent les informations sensibles :
• db.connectionString
• authentication.authorization.appKey
• proxies.0.appKey
• thingworxMetrics.appkey
• vdp.username
• vdp.password
• httpsCertPassphrase
• authentication.openid.clientSecret
• authentication.openid.session.secret
Les valeurs des paramètres peuvent être chiffrées afin d'empêcher que les utilisateurs non autorisés ne puissent accéder aux informations sensibles. Entrez l'option --encryptConfiguration dans la ligne de commande lors du démarrage d'Experience Service pour chiffrer les valeurs sensibles. Par exemple :
start-es.sh --encryptConfiguration
Lorsque Experience Service est démarré avec cette option de ligne de commande, celle-ci réécrit le fichier configuration.json avec des versions chiffrées des valeurs de paramètres sensibles. Une fois que la configuration a été chiffrée, il n'est plus nécessaire de démarrer Experience Service avec l'option --encryptConfiguration, sauf si les informations sensibles ont changé dans la configuration et doivent être chiffrées à nouveau.
Lors du chiffrement de la configuration, Experience Service génère une clé utilisée pour chiffrer et déchiffrer les informations sensibles à l'aide de l'algorithme AES 256. Cette clé est stockée dans le répertoire .ves du répertoire d'accueil de l'utilisateur qui a démarré Experience Service avec l'option --encryptConfiguration. Cette clé doit être protégée pour empêcher les utilisateurs non autorisés de pouvoir déchiffrer les informations sensibles.
Lorsque Experience Service est redémarré après que la configuration a été chiffrée, Experience Service recherche la clé de chiffrement dans le répertoire Accueil>/.ves de l'utilisateur qui tente de démarrer Experience Service. Par conséquent, une fois que la configuration a été chiffrée, Experience Service doit être en mesure de récupérer la clé de chiffrement dans ce répertoire .ves.