ضبط بروتوكول أمان طبقة النقل (TLS)/طبقة المقابس الآمنة (SSL) لميزة "الإدارة التلقائية" لمتصفّح Edge

Edge for Private Cloud، الإصدار 4.16.05

إنّ بروتوكول أمان طبقة النقل (TLS) الذي يسبقه طبقة المقابس الآمنة (SSL) هي تكنولوجيا الأمان القياسية. لضمان مراسلة آمنة ومشفّرة في بيئة واجهة برمجة التطبيقات، بدءًا من التطبيقات ووصولاً إلى Apigee إضافة حدود إلى خدمات الواجهة الخلفية

بغض النظر عن ضبط البيئة لواجهة برمجة تطبيقات الإدارة - على سبيل المثال، ما إذا كان كنت تستخدم خادمًا وكيلاً و/أو جهاز توجيه و/أو جهاز موازنة الحمل أمام واجهة برمجة تطبيقات الإدارة (أو لا)— تتيح لك شبكة Edge تفعيل بروتوكول أمان طبقة النقل وضبطه، ما يمنحك إمكانية التحكّم في تشفير الرسائل في بيئة إدارة واجهة برمجة التطبيقات داخل الشركة.

إذا أردت تثبيت Edge Private Cloud داخل مقر المؤسسة، يمكنك استخدام عدة أماكن تهيئة بروتوكول أمان طبقة النقل (TLS):

  1. بين جهاز التوجيه ومعالج الرسائل
  2. للوصول إلى واجهة برمجة تطبيقات إدارة Edge
  3. للوصول إلى واجهة مستخدم إدارة Edge
  4. للوصول من أحد التطبيقات إلى واجهات برمجة التطبيقات
  5. للوصول من Edge إلى خدمات الخلفية

وتم توضيح تهيئة بروتوكول أمان طبقة النقل (TLS) للعناصر الثلاثة الأولى أدناه. تفترض كل هذه الإجراءات أنشأت ملف JKS يحتوي على شهادة بروتوكول أمان طبقة النقل (TLS) ومفتاح خاص.

ولضبط بروتوكول أمان طبقة النقل (TLS) للوصول من تطبيق إلى واجهات برمجة التطبيقات، رقم 4 أعلاه، راجِع ضبط الوصول إلى بروتوكول أمان طبقة النقل (TLS) إلى واجهة برمجة تطبيقات. للسحابة الإلكترونية الخاصة لضبط بروتوكول أمان طبقة النقل (TLS) للوصول من Edge إلى خدمات الخلفية، رقم 5 أعلاه، راجع تهيئة TLS من Edge إلى الخلفية (السحابة الإلكترونية والسحابة الإلكترونية الخاصة).

للحصول على نظرة عامة كاملة حول ضبط بروتوكول أمان طبقة النقل (TLS) على Edge، يمكنك الاطّلاع على TLS/SSL.

إنشاء ملف JKS

أنت تمثل ملف تخزين المفاتيح كملف JKS، حيث يحتوي ملف تخزين المفاتيح على شهادة بروتوكول أمان طبقة النقل (TLS) الخاص. هناك عدة طرق لإنشاء ملف JKS، ولكن إحدى الطرق هي استخدام opensl Keytool.

على سبيل المثال، لديك ملف PEM يُسمى server.pem يحتوي على شهادة بروتوكول أمان طبقة النقل (TLS) وملف PEM يسمى special_key.pem يحتوي على مفتاحك الخاص. استخدِم الأوامر التالية لإجراء ما يلي: لإنشاء ملف PKCS12:

> openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12

ويجب إدخال عبارة مرور المفتاح، إن وجدت، وكلمة مرور التصدير. هذا النمط ملف PKCS12 باسم keystore.pkcs12.

استخدِم الأمر التالي لتحويله إلى ملف JKS باسم keystore.jks:

> keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks

سيُطلب منك إدخال كلمة المرور الجديدة لملف JKS وكلمة المرور الحالية PKCS12. تأكد من استخدام كلمة المرور نفسها لملف JKS كما استخدمتها في ملف PKCS12

إذا كان عليك تحديد اسم مستعار للمفتاح، مثلاً عند ضبط بروتوكول أمان طبقة النقل (TLS) بين جهاز توجيه ورسالة يجب تضمين "-name" للمعالج إلى أمر opensl:

>  openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12 -name devtest

بعد ذلك، يمكنك تضمين "-alias". إلى الأمر keytool:

> keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks -alias devtest

إنشاء كلمة مرور تم إخفاء مفاتيح فك تشفيرها

تتطلب منك بعض أجزاء إجراء إعداد بروتوكول أمان طبقة النقل (TLS) في Edge إدخال كلمة مرور مُشوَّشة. في ملف تهيئة. تُعد كلمة المرور التي تم تشويشها بديلاً أكثر أمانًا لإدخال كلمة المرور في نص عادي.

يمكنك إنشاء كلمة مرور تتضمّن تشويشًا في Java باستخدام ملفات Jetty .jar المثبَّتة مع الحافة. يمكنك إنشاء كلمة مرور تم إخفاء مفاتيح فك التشفير بها باستخدام أمر على هيئة:

> java -cp /<inst_root>/apigee/edge-gateway/lib/thirdparty/jetty-http-x.y.z.jar:/<inst_root>/apigee/edge-gateway/lib/thirdparty/jetty-util-x.y.z.jar org.eclipse.jetty.http.security.Password yourPassword

حيث يحدّد x.y.z رقم إصدار ملفات Jetty .jar، مثل 8.0.4.v20111024. يعرض هذا الأمر كلمة المرور على النحو التالي:

yourPassword
OBF:58fh40h61svy156789gk1saj
MD5:902fobg9d80e6043b394cb2314e9c6

يمكنك استخدام كلمة المرور التي تم تشويشها والتي يحدِّدها OBF عند ضبط بروتوكول أمان طبقة النقل (TLS).

لمزيد من المعلومات، يُرجى الاطّلاع على هذه الصفحة المقالة.