加密 Experience Service 配置中的敏感信息
以下配置参数存储敏感信息:
• db.connectionString
• authentication.authorization.appKey
• proxies.0.appKey
• thingworxMetrics.appkey
• vdp.username
• vdp.password
• httpsCertPassphrase
• authentication.openid.clientSecret
• authentication.openid.session.secret
可以对参数值进行加密,以降低未经授权的用户访问敏感信息的可能性。启动 Experience Service 时,在命令行加上 --encryptConfiguration 选项对敏感值进行加密。例如:
start-es.sh --encryptConfiguration
当使用此命令行选项启动 Experience Service 时,它会以敏感参数值的加密版本重写 configuration.json 文件。配置加密后,无需再以 --encryptConfiguration 选项启动 Experience Service,除非配置中的敏感信息发生更改并且必须再次加密。
加密配置时,Experience Service 使用 AES 256 算法生成用于加密和解密敏感信息的密钥。此密钥存储在以 --encryptConfiguration 选项启动 Experience Service 的用户的主目录的 .ves 目录中。必须保护此密钥,以防止未经授权的用户解密敏感信息。
加密配置后,当重新启动 Experience Service 时,Experience Service 会在尝试启动 Experience Service 的用户的 <home>/.ves 目录中查找加密密钥。因此,加密配置后,Experience Service 必须能够从该 .ves 目录检索加密密钥。