Rundeck 5.11版本中密钥存储API变更分析与解决方案

问题背景

在Rundeck 5.11.0及后续版本中，用户发现通过API获取公钥内容的行为发生了重大变化。原本通过/api/14/storage/keys/path/to/public.key接口（配合Accept: application/pgp-keys请求头）可以直接获取公钥文本内容的功能，现在却返回了包含元数据的JSON响应，而不再返回实际的公钥内容。

技术细节分析

行为变更表现

1. API响应变化：

   • 旧版本(5.10.1及之前)：直接返回公钥文本内容（如ssh-rsa开头的密钥字符串）
   • 新版本(5.11.0+)：返回包含元数据的JSON结构，其中虽然包含内容类型和大小等信息，但不再包含实际密钥内容

2. Web界面变化：

   • 旧版本：在密钥存储浏览器中有"查看公钥内容"按钮
   • 新版本：该按钮默认消失

根本原因

这一变更源于Rundeck 5.11版本对安全性的增强，默认禁用了公钥下载功能。这是一个有意为之的设计变更，而非API故障。

解决方案

启用公钥下载功能

可以通过修改Rundeck配置来恢复原有功能：

1. 配置文件修改： 在rundeck-config.properties中添加：

   rundeck.feature.publicKeyDownload.enabled=true
   

2. Docker环境配置： 对于使用官方Docker镜像的用户，可以通过Remco模板引擎进行配置：

   • 修改/etc/remco/templates/rundeck-config.properties模板文件
   • 添加上述配置项

3. 功能标志设置： 在rundeck-config-features.properties中确保相关功能标志已启用

注意事项

1. 这一变更同时影响API和Web界面功能
2. 启用公钥下载功能可能会带来一定的安全风险，请根据实际需求评估
3. 建议在测试环境验证后再应用到生产环境

版本兼容性建议

如果短期内无法修改配置，可以考虑以下方案：

1. 降级到5.10.1版本（最后一个保持原有行为的版本）
2. 开发适配新API响应的客户端代码（需要额外请求元数据中的URL获取内容）

总结

Rundeck 5.11版本对密钥存储API的安全增强导致了这一行为变更。虽然文档有待完善，但通过合理的配置调整可以恢复原有功能。建议管理员在升级前充分测试API兼容性，并根据组织安全策略决定是否启用公钥下载功能。