Version 26.1.9526

• 定义自定义主密钥
• 更改主密钥
• 使用安全模式

知行之桥使用主加密密钥来保护存储在端口配置中的敏感数据，如密码、API 密钥和连接凭据。默认情况下，知行之桥提供内置加密密钥，但具有严格安全要求的组织可以定义自定义主密钥，以保持对其加密基础设施的完全控制。

主密钥可以有两种格式：AES 密钥文件中的随机字符串，或带有可选密码保护的 PFX (PKCS#12) 证书文件。自定义主密钥使企业能够将知行之桥的加密实践与其内部安全策略对齐，符合监管要求，并与现有的密钥管理系统集成。

重要提示：失去对自定义主密钥的访问权限将导致知行之桥无法解密存储的凭据和配置数据。在配置自定义主密钥之前，应实施安全的密钥备份和恢复程序。

定义自定义主密钥

定义主密钥的方式因知行之桥版本类型而异。

• 跨平台版：在 arc.properties 配置文件中使用 cdata.encryption.key 属性定义密钥。如果要定义 PFX 密钥且需要密码，请在 cdata.encryption.key.password 属性中进行设置。或者，如果使用 AES 密钥，可以使用 APP_KEY 环境变量来提供密钥文件的文件路径。

• .NET 版：在 Web.Config 文件的 AppKey 设置元素中设置文件路径。如果要定义 PFX 密钥且需要密码，请在 AppKeyPassword 设置中进行设置。以下是需要修改的 Web.Config 中的 XML 片段：

  <appSettings> 
    <!-- The path to the master key file used for encryption. To replace the current master key, use: CData.exe appChangeMasterKey - NewKey <new-master-key-path>. --> 
    <add key="AppKey" value="C:\Keys\mykey.pfx" /> 
    <add key="AppKeyPassword" value="Password123" /> 
  </appSettings>
  

更改主密钥

如有必要，可以更换主密钥文件。知行之桥始终使用提供的密钥进行加密。密钥文件由系统安全地管理和备份，该过程旨在为用户降低风险和复杂度。要更改主密钥，请确保已停止服务器，然后使用以下选项之一：

• 跨平台版：管理员可以使用 arc.jar -ChangeMasterKey <new-master-key-file-path> 命令轮换加密密钥，而不会中断操作。如果要将主密钥更改为 PFX 文件且需要密码，请使用 arc.jar -ChangeMasterKey <new-master-key-file-path> <new-master-key-password> 命令。
• .NET 版：管理员可以使用 CData.exe appChangeMasterKey -NewKey <new-master-key-file-path> -@libdir "www\bin" 命令。如果要将主密钥更改为 PFX 文件且需要密码，请使用 CData.exe appChangeMasterKey -NewKey <new-master-key-file-path> -NewKeyPassword <new-PFX-password> -@libdir "www\bin" 命令。

注意：知行之桥在 PFX 证书文件中仅支持 RSA 算法。其他 DSA 或 ECC 证书将被拒绝。

使用安全模式

如果丢失了自定义主密钥，并且需要重新保存配置的敏感值（从拥有的另一个记录源中），可以在安全模式下启动知行之桥。这将禁用所有后端自动化服务并启用非常有限的功能，以便尝试恢复设置和其他任务。要启用安全模式：

• 跨平台版：运行 java -jar arc.jar -safemode
• .NET 版：在 Web.Config 文件的 appSettings 元素中添加 <add key="SafeMode" value="true" />。