云客户?
免费开始>
在MyJFrog >中升级
云b>的新功能





概述

本页描述了如何创建、管理主密钥和连接密钥并进行最佳实践。

重要的

记住要保证连接密钥、主密钥和其他可信密钥的安全;他们应该与外部各方共享。

连接键

JFrog加入了。密钥特性基于对称加密(AES-128位或AES-256位)在JFrog服务之间建立信任。加入。key在内部用于在相同服务的微服务之间创建信任,例如在Artifactory和Access之间。

一旦建立了信任(即连接)。密钥在所有不同的服务之间共享),服务可以继续使用标准的基于令牌的身份验证进行通信。这是通过让每个服务创建用于服务间通信的令牌并使用join.key对这些令牌进行签名来实现的。

然后Access将使用提供的连接。密钥而不是自动生成的密钥,将其保存到其数据库中,并与Artifactory共享。

如果连接。受信任服务上的密钥不相同,服务之间的通信失败。

出于自动化的目的,建议这样做生成您自己的连接键并与每一个新的实例分享它。

获取JPD join.key

JPD连接键可以在的JPD UI政府模块|用户管理|设置|连接细节.要显示密钥,您需要一个管理员密码。
或者,您可以在join.key文件在Artifactory文件系统下$ JFROG_HOME / artifactory/var/etc/security.

在Artifactory版本7.38.10之前,可以在JPD UI中找到连接键政府模块|安全|设置|连接键。

注意:您只能共享加密的连接。使用相同master.key的服务。

主密钥

主密钥是一个AES秘密密钥(128或256位),Artifactory使用它在集群节点之间安全地同步文件。它负责加密和解密数据库中的共享数据。

如果主人。密钥在集群节点上不相同,服务将无法从数据库解密配置文件。

万能钥匙是用于不同JFrog平台产品之间的通信(不像hth华体会最新官方网站join key,用于Artifactory、Xray和其他JFrog服务之间的通信)。

主密钥是为每个产品设置的,并且对于同一服务中的所有节点(在使用HA时)必须相同。

的主人。内存中的键加载和保留

提高周边存储主的安全性。从Artifactory版本7.29.7开始,JFrog支持加载master。键在启动并保持在内存中。这是通过在引导期间,应用程序节点读取主密钥后,每个应用程序从文件系统中删除主密钥。

重要的

之前每一个重新启动后,您将需要放置主机。文件系统中的密钥文件

记得留下主人。输入一个单独的,安全的位置。

有愿望的顾客要使用此功能将需要做以下工作:

  1. 通过设置标志启用主密钥移除shared.security.masterKeyExternal真正的
  2. 每当引导新节点时,获取主密钥并将其放置在应用程序文件系统的正确路径中

当旗帜高高飘扬设为真正的

  • 路由器将删除主服务器。每个服务启动并运行后的密钥文件。
  • 管道不会生成主控。键,而将读取master。数据库中的键。

配对标记

可从Artifactory版本7.29.7,a配对令牌在不同的JFrog微服务之间建立信任。配对令牌是用于初始配对流的访问令牌。由于令牌是一种有限访问令牌,因此它专用于特定任务,并且寿命很短。一旦建立了信任,服务就可以继续使用标准的基于令牌的身份验证进行通信。

配对令牌替换连接。过去在JFrog平台中用于连接服务之间的密钥。这种类型的令牌仅设计用于链接跨拓扑(即本地的,而不是在JPD中)。

配对令牌使您能够在您的JFrog平台部署(JPD) / edge和远程JFrog任务控制服务。配对令牌为特定目的用例提供配对。它们是可撤销的,而且是预计最多使用一次(即,在第一次配对后撤销)。这些令牌的默认过期设置为5分钟。

  • 令牌的主题与请求配对令牌的主体的主题相同
  • 扩展名中的基本URL是必填的
  • 扩展中的交换URL是强制性的(由于令牌是签名的,因此可以假定此URL是可信的)
  • 配对URL是可选的,在需要建立双向信任时使用

主令牌

配对的结果是主令牌,这是一个访问令牌,它根据给定的用例授予请求服务在发出服务上所需执行的所有操作。主令牌通常是一个强访问令牌,可用于多个操作,并且通常是一个长期令牌。管理员用户可以通过撤销该令牌来撤销信任。

设置配对令牌

  1. 政府Tab键,转到身份与访问|访问令牌|配对令牌
  2. 在Generate Pairing Token for字段中,选择Mission Control(用于jpd)。
  3. 点击生成生成令牌。
    这将显示令牌窗口,其中包括令牌的过期时间(以秒为单位,默认设置为300秒= 5分钟)、令牌ID和实际令牌,您可以通过单击复制令牌复制

页面内容


创建自动管理令牌

来自Artifactory release 7.38.4。

JFrog使公司能够创建自己的管理范围访问令牌,而无需使用JFrog平台UI或通过另一个令牌。这个Access管理范围的令牌被设计为仅在短时间内使用,其目的是启动系统。这为客户提供了在一个自动化的、完全无ui的设置中设置JFrog平台的选项。

为了安全地生成“第一个”管理范围的访问令牌,而不依赖于以前的令牌或基本凭据:

生成一个管理范围的令牌generate.token.json存档在$ JFROG_HOME / artifactory/var/bootstrap/etc/access/keys目录中。例如:

$ JFROG_HOME / artifactory / var /引导/ etc / /键/ generate.token.json访问

在引导时,如果创建了这个文件,这将生成一个令牌并将其设置在JFROG_HOME / artifactory /美元/键/ var / etc /访问目录.例如:

美元JFROG_HOME / artifactory / var / etc / /键/ token.json访问

generate.token.json一旦令牌生成,文件将从文件系统中删除。包含令牌的文件,token.json,默认1分钟后删除。这可以通过access.config.yaml,通过修改参数bootstrap-token-delete-in-minutes(在JFROG_HOME / artifactory /美元var / etc /访问/ access.config.template.yml).

结果令牌的属性如下:

  • 生成的令牌有效期为15分钟,超过15分钟系统将撤销令牌。
  • 令牌是管理范围的权限
  • 令牌有一个访问服务受众:jfac@*
  • 令牌的主题是“admin”——即使admin用户不存在

对于Docker安装,您需要挂载bootstrap目录。


创建密钥

默认情况下join.keymaster.key文件由Artifactory在服务初始启动期间自动生成。

一个不同的可以使用以下命令创建密钥(十六进制编码)。

Openssl rand -hex 16 /或Openssl rand -hex 32

用自己的钥匙自力更生

手动更新密钥有两种方法:文件复制和/或通过system.yaml文件。

引导键使用系统。yaml文件

此方法仅适用于已安装但尚未启动服务的情况。

  1. 保存系统yaml文件的安全部分为每个键生成字符串万能钥匙参数为“主密钥”和joinKey参数用于连接键。
  2. 启动服务。

引导连接。密钥使用文件系统

即使已经有了join.key,也可以使用此方法

  1. 年代将生成的字符串文件命名为join.key。
  2. 删除现有的join.key$ JFROG_HOME / artifactory / var / etc /安全/

  3. 将每个文件放入JFROG_HOME / artifactory /美元var/引导/访问/ etc /安全目录中。
  4. 向目录和联接添加Artifactory权限。关键文件。例如,

    chown -R artifactory:artifactory access/etc/security/join.key
  5. 启动服务。

管理join.key

默认情况下,是连接。在Access启动过程中自动生成并存储在Access数据库中。

加入。然后Access to Artifactory通过文件系统自动复制key,并在每次重新启动服务时重新配置。
Access共享连接。通过将其复制到以下位置来使用Artifactory:

JFROG_HOME美元/ artifactory / var / etc /安全/ join.key

升级到Artifactory 6.8会自动启动并生成join.key机制。

管理连接。HA中的密钥

应该只有一个join.key每公顷因为Access数据库在HA集群的所有节点之间共享。

如果提供了连接键而不是由系统生成,则可以将其提供给单个集群节点,因为它将由系统传播到集群的所有节点。


  • 没有标签
版权所有©2022 JFrog Ltd.