概述
本页描述如何为您的主密钥和连接密钥创建、管理和最佳实践。
重要的
请记住保持连接密钥、主密钥和其他可信密钥的安全;他们应该不与外部各方共享。
连接键
JFrog加入。密钥特性建立基于对称加密(AES-128位或AES-256位)的JFrog服务之间的信任。加入。key用于在同一服务的微服务之间创建信任,例如在Artifactory和Access之间。
一旦建立信任(意味着连接)。密钥在所有不同的服务之间共享),服务可以继续使用标准的基于令牌的身份验证进行通信。这是通过让每个服务创建用于服务间通信的令牌并使用join.key对这些令牌进行签名来实现的。
Access将使用提供的连接。将它保存到它的数据库中,并与Artifactory共享。
如果连接。受信任服务上的密钥不相同,服务之间通信失败。
出于自动化目的,建议这样做生成自己的连接键并与每一个新实例共享。
获取JPD连接键
JPD连接键可以在的JPD用户界面政府模块|用户管理|设置|连接细节.要显示密钥,您需要一个管理员密码。
或者,您会发现它(加密)在的join.key文件下的Artifactory文件系统$ JFROG_HOME / artifactory/var/etc/security.
在Artifactory 7.38.10版本之前,可以在JPD UI中找到连接键政府模块|安全|设置|连接键。
注意:您只能共享加密连接。Key与服务使用相同的master.key。
主密钥
主密钥是一个AES密钥(128或256位),Artifactory使用它在集群节点之间安全地同步文件。它负责对数据库中的共享数据进行加密和解密。
如果主人。如果群集节点上的密钥不相同,则服务将无法从数据库解密配置文件。
万能钥匙是不用于不同JFrog平台产品之间的通信hth华体会最新官方网站join key,用于Artifactory、Xray和其他JFrog服务之间的通信)。
主密钥是为每个产品设置的,对于同一服务中的所有节点必须相同(当使用HA时)。
的主人。key Load and Retention in Memory
提高主服务器存储周围的安全性。从Artifactory 7.29.7版本开始,JFrog支持加载master. key。钥匙在启动,并保持在记忆。这是通过在引导期间由应用程序节点读取主密钥后,由每个应用程序从文件系统中删除主密钥。
重要的
之前每一个重新启动后,您将需要放置主机。文件系统中的密钥文件.
记住要保留master。在一个单独的,安全的位置。
希望的客户要使用此功能,需要执行以下操作:
- 通过设置标志启用主键移除
shared.security.masterKeyExternal来真正的 - 每当引导新节点时,获取主密钥并将其放在应用程序文件系统上的正确路径中
当国旗升起设置为真正的:
- 路由器将移除master。密钥文件一旦每个服务启动和运行。
- 管道不会生成master。键,而不是读主键。密钥从数据库。
配对标记
可从Artifactory 7.29.7版本获得配对令牌在不同的JFrog微服务之间建立信任。配对令牌是用于初始配对流的访问令牌。因为令牌是一个有限的访问令牌,所以它专门用于特定的任务并且寿命很短。一旦建立信任,服务就可以继续使用标准的基于令牌的身份验证进行通信。
配对令牌替换连接。过去在JFrog平台中用来连接服务的键。这种类型的令牌仅设计用于链接交叉拓扑(即,在本地,而不是在JPD中)。
配对令牌使您能够在您的JFrog平台部署(JPD) / edge和远程JFrog任务控制服务。配对令牌为特定用途的用例提供配对。它们是可撤销的,而且确实如此期望最多使用一次(即在第一次配对后撤销)。这些令牌的默认过期设置是5分钟。
- 令牌的主题与请求配对令牌/的主体的主题相同
- 扩展中的基本URL是必须的
- 扩展中的交换URL是强制的(因为令牌是签名的,所以这个URL可以假定为受信任的)
- 配对URL是可选的,在需要建立双向信任时使用
主令牌
配对的结果是主令牌,这是一个访问令牌,它根据给定的用例授予请求服务对发出服务执行的所有操作。主令牌通常是一个强访问令牌,可以用于多个操作,并且通常是一个长寿命令牌。管理员用户可以通过撤销这个令牌来撤销信任。
设置配对令牌
- 在政府Tab,转到身份和访问|访问令牌|配对令牌.
- 在生成配对令牌字段中,选择任务控制(用于JPDs)。
- 点击生成生成令牌。
这将显示令牌窗口,其中包括令牌的过期时间(以秒为单位,默认设置为300秒= 5分钟)、令牌ID和实际令牌,您可以通过单击复制令牌复制.
创建自动管理令牌
来自Artifactory 7.38.4版。
JFrog允许公司创建自己的管理范围的访问令牌,而无需使用JFrog平台UI或通过另一个令牌。这个Access管理范围的令牌被设计为只在短时间内使用,其目的是启动系统。这为客户提供了一个自动的、完全无ui设置的JFrog平台的选项。
要安全地生成“第一个”管理范围的访问令牌,而不依赖于之前的令牌或基本凭据:
生成一个管理范围的令牌generate.token.json在$ JFROG_HOME / artifactory/var/bootstrap/etc/access/keys目录中。例如:
$ JFROG_HOME / artifactory / var /引导/ etc / /键/ generate.token.json访问
引导时,如果创建了此文件,则将生成一个令牌并将其设置在JFROG_HOME / artifactory /美元/键/ var / etc /访问目录.例如:
美元JFROG_HOME / artifactory / var / etc / /键/ token.json访问
的generate.token.json一旦生成了令牌,文件将从文件系统中删除。包含令牌的文件,token.json, 1分钟后默认删除。可以通过access.config.yaml,通过修改参数bootstrap-token-delete-in-minutes(在JFROG_HOME / artifactory /美元var / etc /访问/ access.config.template.yml).
结果令牌的属性如下:
- 生成的令牌被限制在15分钟内到期,在此之后系统将撤销令牌。
- 令牌的权限范围为admin
- 令牌有一个访问服务受众:jfac@*
- 令牌的主题为“admin”—即使admin用户不存在
对于Docker安装,你需要挂载引导目录。
创建密钥
默认情况下join.key而且master.key文件是由Artifactory在服务初始启动时自动生成的。
一个不同的可以使用以下命令创建密钥(十六进制编码)。
Openssl rand -hex 16 /或Openssl rand -hex 32
用自己的钥匙引导
手动更新密钥有两种方法:文件复制和/或通过system.yaml文件。
引导键使用系统。yaml文件
此方法仅适用于已安装但尚未启动服务的情况。
- 保存系统yaml文件的安全部分为每个键使用生成的字符串万能钥匙参数为主密钥和joinKey参数作为连接键。
- 启动服务。
引导连接。使用文件系统
即使已经有了join.key,也可以使用此方法
- 年代将生成的字符串文件保存为join.key。
删除现有的join.key从
$ JFROG_HOME / artifactory / var / etc /安全/.- 将每个文件放在
JFROG_HOME / artifactory /美元var/引导/访问/ etc /安全目录中。 向目录和连接添加Artifactory权限。关键文件。例如,
chown -R artifactory:artifactory access/etc/security/join.key
- 启动服务。
管理连接键
默认情况下,为连接。在Access启动时自动生成并保存在Access数据库中。
加入。然后Access to Artifactory通过文件系统自动复制key,并在每次服务重新启动时重新配置。
Access共享连接。用Artifactory复制key到以下位置:
JFROG_HOME美元/ artifactory / var / etc /安全/ join.key
升级到Artifactory 6.8会自动启动并生成join.key机制。
管理连接。HA密钥
应该只有一个join.key每公顷因为Access数据库在HA集群的所有节点上共享。
如果连接键是由系统提供而不是由系统生成的,那么它可以被提供给单个集群节点,因为它将被系统传播到集群的所有节点。
