TLS(传输层安全协议,其前身为 SSL)是一种标准安全技术,用于确保在 API 环境中从应用到 Apigee Edge 再到后端服务进行安全加密的消息传递。
无论 Management API 的环境配置如何(例如,是否在您的 Management API 前使用了代理、路由器和/或负载平衡器);Edge 允许您启用和配置 TLS,从而允许您在本地 API 管理环境中控制消息加密。
对于在本地安装 Edge Private Cloud,您可以在多个位置配置 TLS:
如需全面了解在 Edge 上配置 TLS,请参阅 TLS/SSL。
创建 JKS 文件
对于许多 TLS 配置,您用 JKS 文件表示密钥库,其中密钥库包含您的 TLS 证书和私钥。您可以通过多种方式创建 JKS 文件,但一种方法是使用 openssl 和 keytool 实用程序。
例如,您有一个名为 server.pem
的 PEM 文件(其中包含您的 TLS 证书)和一个名为 private_key.pem 的 PEM 文件(其中包含您的私钥)。您可以使用以下命令创建 PKCS12 文件:
openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12
您必须输入密钥的密码(如果有)以及导出密码。此命令会创建一个名为 keystore.pkcs12
的 PKCS12 文件。
使用以下命令将其转换为名为 keystore.jks 的 JKS 文件:
keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks
系统会提示您输入 JKS 文件的新密码以及 PKCS12 文件的现有密码。确保对 JKS 文件使用与 PKCS12 文件相同的密码。
如果您必须指定密钥别名(例如在路由器和消息处理器之间配置 TLS 时),请在 openssl
命令中添加 -name
选项:
openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12 -name devtest
然后,在 keytool
命令中添加 -alias
选项:
keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks -alias devtest
生成混淆密码
在边缘 TLS 配置过程的某些部分,您需要在配置文件中输入经过混淆处理的密码。相较于以纯文本形式输入密码,经过混淆处理的密码是一种更安全的替代方案。
您可以在边缘管理服务器上使用以下命令生成经过混淆处理的密码:
/opt/apigee/apigee-service/bin/apigee-service edge-management-server generate-obfuscated-password
输入新密码,然后在出现提示时确认。出于安全考虑,系统不会显示密码文本。此命令以如下形式返回密码:
OBF:58fh40h61svy156789gk1saj MD5:902fobg9d80e6043b394cb2314e9c6
配置 TLS 时,请使用 OBF 指定的混淆密码。
如需了解详情,请参阅这篇文章。