在 Experience Service 組態中加密敏感資訊
下列組態參數儲存敏感資訊:
• db.connectionString
• authentication.authorization.appKey
• proxies.0.appKey
• thingworxMetrics.appkey
• vdp.username
• vdp.password
• httpsCertPassphrase
• authentication.openid.clientSecret
• authentication.openid.session.secret
參數值可以加密以減少未經授權的使用者存取此敏感資訊的機會。啟動 Experience Service 加密敏感值時,必須在指令行通過 --encryptConfiguration 選項。例如:
start-es.sh --encryptConfiguration
當 Experience Service 以此指令行選項啟動時,會以敏感參數值的加密版本重寫 configuration.json 檔案。加密組態後,它不再需要以 --encryptConfiguration 選項啟動 Experience Service,除非在組態中敏感資訊變更且必須重新加密。
加密組態時,Experience Service 產生金鑰,並使用 AES 256 演算法來加密及解密的敏感資訊。此金鑰儲存使用者主目錄中的 .ves 目錄下,透過 --encryptConfiguration 選項啟動 Experience Service。應保護此金鑰以防止未經授權的使用者解密敏感資訊。
當加密組態之後重新啟動 Experience Service,Experience Service 尋找使用者 <首頁>/.ves 目錄中的加密金鑰,該金鑰嘗試啟動 Experience Service。因此,當組態加密後,Experience Service 必須能夠從該 .ves 目錄中擷取加密金鑰。