Crittografare le informazioni riservate nella configurazione di Experience Service
I seguenti parametri di configurazione memorizzano informazioni riservate:
• db.connectionString
• authentication.authorization.appKey
• proxies.0.appKey
• thingworxMetrics.appkey
• vdp.username
• vdp.password
• httpsCertPassphrase
• authentication.openid.clientSecret
• authentication.openid.session.secret
I valori dei parametri possono essere crittografati per ridurre le possibilità che gli utenti non autorizzati accedano a queste informazioni riservate. Utilizzare l'opzione --encryptConfiguration sulla riga di comando quando si avvia Experience Service per crittografare i valori riservati. Ad esempio:
start-es.sh --encryptConfiguration
Quando Experience Service viene avviato con questa opzione della riga di comando, il file configuration.json viene riscritto con le versioni crittografate dei valori di parametri riservati. Dopo che la configurazione è stata crittografata, non è più necessario avviare Experience Service con l'opzione --encryptConfiguration a meno che le informazioni riservate presenti nella configurazione subiscano modifiche e debbano essere crittografate di nuovo.
Quando si crittografa la configurazione, Experience Service genera una chiave utilizzata per crittografare e decrittografare le informazioni riservate utilizzando l'algoritmo AES 256. La chiave è memorizzata nella directory .ves della home directory dell'utente che ha avviato Experience Service con l'opzione --encryptConfiguration. Questa chiave deve essere protetta per impedire agli utenti non autorizzati di decrittografare le informazioni riservate.
Quando Experience Service viene riavviato dopo la crittografia della configurazione, Experience Service cerca la chiave di crittografia nella directory <home>/.ves dell'utente che sta tentando di avviare Experience Service. Di conseguenza, una volta che la configurazione è stata crittografata, Experience Service deve essere in grado di recuperare la chiave di crittografia dalla directory .ves.