Master Secret

Для запуска Knox Gateway необходим Master Secret, защищающий артефакты, используемые инстансом шлюза – keystore, trust stores и хранилища учетных данных.

Important

Важно настроить сохранение в файле $gateway /data/security/master и убедиться, что в данном каталоге установлены соответствующие разрешения для среды выполнения

Установка Master Secret осуществляется по команде:

cd $gateway bin/knoxcli.cmd create-master

При этом появляется предупреждение, указывающее, что сохранение секрета менее безопасно, чем предоставление его при запуске. Knox защищает пароль, шифруя его с помощью 128-битного шифрования AES, и, где это возможно, разрешения на доступ к файлам есть только у пользователя knox.

Important

Важно убедиться, что каталог безопасности $gateway/data/security и его содержимое доступно для чтения и записи только пользователю knox. Это самый важный уровень защиты для Master Secret. Нельзя предполагать, что для защиты достаточно только шифрования

В критических ситуациях Master Secret может быть изменен, тогда администратору необходимо повторить все настройки для каждого инстанса шлюза при развертывании. Обновление Master Secret требует не только пересоздания мастера, но и также удаления всех существующих хранилищ ключей и переподготовку сертификатов и учетных данных.

Изменение Master Secret осуществляется по команде:

cd $gateway bin/knoxcli.cmd create-master--force

При наличии существующего хранилища ключей следует обновить его после выполнения команды.