דף זה תורגם על ידי Cloud Translation API.

הגדרת TLS/SSL

TLS (אבטחת שכבת התעבורה, שקודמתה ל-SSL) היא טכנולוגיית האבטחה הסטנדרטית לשמירה על אבטחה מוצפנת של הודעות בסביבת ה-API שלכם, החל מאפליקציות ועד Apigee Edge ועד לשירותים לקצה העורפי.

הערה: מכיוון ש-Edge תמך במקור ב-SSL, יופיעו כמה מכונות בממשק המשתמש של Edge, Edge XML ו-Edge, שמשתמשים במונח "SSL". לדוגמה, רשומת התפריט בממשק המשתמש של Edge שבה משתמשים כדי להציג אישורים נקראת אישורי SSL, תג ה-XML שבו אתם משתמשים כדי להגדיר למארח וירטואלי להשתמש ב-TLS נקרא <SSLInfo>, והמאפיין להגדרת יציאת SSL לממשק ה-API לניהול הוא conf_webserver_ssl.port.

בלי קשר לתצורת הסביבה של ממשק ה-API לניהול – לדוגמה, אם משתמשים בשרת proxy, בנתב או במאזן עומסים מול ממשק ה-API לניהול (או לא). Edge מאפשר להפעיל ולהגדיר TLS, וכך לשלוט בהצפנת הודעות בסביבת ניהול ה-API המקומית שלכם.

בהתקנה מקומית של ענן פרטי של Edge, יש כמה מקומות שבהם אפשר להגדיר TLS:

סקירה כללית מלאה על הגדרת TLS ב-Edge זמינה במאמר TLS/SSL.

יצירת קובץ JKS

בהגדרות רבות של TLS, אפשר לייצג את מאגר המפתחות כקובץ JKS, שבו מאגר המפתחות מכיל את אישור ה-TLS (אבטחת שכבת התעבורה) והמפתח הפרטי שלכם. יש כמה דרכים ליצור קובץ JKS, אבל אחת הדרכים היא להשתמש ב-openssl ובכלים ל-keytool.

לדוגמה, יש לך קובץ PEM בשם server.pem שמכיל את אישור ה-TLS (אבטחת שכבת התעבורה) וקובץ PEM בשם privacy_key.pem שמכיל את המפתח הפרטי. כדי ליצור את קובץ ה-PKCS12, משתמשים בפקודות הבאות:

openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12

אם יש למפתח ביטוי סיסמה, אתם צריכים להזין אותם, וגם סיסמה לייצוא. הפקודה יוצרת קובץ PKCS12 בשם keystore.pkcs12.

כדי להמיר אותו לקובץ JKS בשם keystore.jks, משתמשים בפקודה הבאה:

keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks

תוצג בקשה להזין את הסיסמה החדשה לקובץ ה-JKS ואת הסיסמה הקיימת לקובץ ה-PKCS12. חשוב לוודא שהשתמשתם באותה הסיסמה לקובץ ה-JKS שבה השתמשתם לקובץ ה-PKCS12.

אם צריך לציין כינוי למפתח, למשל כשמגדירים TLS בין נתב למעבד הודעות, צריך לכלול את האפשרות -name לפקודה openssl:

openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12 -name devtest

לאחר מכן כוללים את האפשרות -alias לפקודה keytool:

keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks -alias devtest

יצירת סיסמה מעורפלת

בחלקים מסוימים בהליך ההגדרה של TLS ב-Edge צריך להזין סיסמה מעורפלת בקובץ תצורה. סיסמה מעורפלת היא חלופה מאובטחת יותר להזנת הסיסמה בטקסט פשוט.

אפשר ליצור סיסמה מעורפלת באמצעות הפקודה הבאה בשרת הניהול של Edge:

/opt/apigee/apigee-service/bin/apigee-service edge-management-server generate-obfuscated-password

מזינים את הסיסמה החדשה ומאשרים אותה בהודעה שמופיעה. מטעמי אבטחה, הטקסט של הסיסמה לא מוצג. הפקודה הזו מחזירה את הסיסמה בצורה הבאה:

OBF:58fh40h61svy156789gk1saj
MD5:902fobg9d80e6043b394cb2314e9c6

משתמשים בסיסמה לערפול קוד (obfuscation) שצוינה על ידי OBF כשמגדירים TLS.

אפשר לקרוא מידע נוסף במאמר הזה.