Configura TLS/SSL para las instalaciones perimetrales locales

Edge para nube privada v. 4.16.05

TLS (seguridad de la capa de transporte, cuyo predecesor es SSL) es la tecnología de seguridad estándar para garantizar la mensajería segura y encriptada en tu entorno de API, desde las apps hasta Apigee Edge y tus servicios de backend.

Sin importar la configuración del entorno para tu API de administración, por ejemplo, si usas un proxy, un router o un balanceador de cargas frente a la API de administración (o no), Edge te permite habilitar y configurar TLS, lo que te permite controlar la encriptación de mensajes en tu entorno de administración local de la API.

Para una instalación local de la nube privada perimetral, hay varios lugares en los que puedes configurar TLS:

  1. Entre un router y un procesador de mensajes
  2. Para acceder a la API de Edge Management
  3. Para acceder a la IU de administración perimetral
  4. Para acceder desde una app a tus APIs
  5. Para acceder desde Edge a tus servicios de backend

A continuación, se describe la configuración de TLS para los primeros tres elementos. En todos estos procedimientos, se supone que creaste un archivo JKS que contiene tu certificación TLS y clave privada.

Si quieres configurar TLS para el acceso desde una app a tus APIs (número 4), consulta Configura el acceso TLS a una API para la nube privada. Si deseas configurar TLS para el acceso desde Edge a tus servicios de backend, el n.o 5 mencionado anteriormente, consulta Configura TLS desde Edge al backend (Cloud y nube privada).

Para obtener una descripción general completa de la configuración de TLS en Edge, consulta TLS/SSL.

Crea un archivo JKS

Representas el almacén de claves como un archivo JKS, en el que el almacén de claves contiene tu certificado TLS y tu clave privada. Existen varias formas de crear un archivo JKS, pero una es usar las utilidades de openssl y keytool.

Por ejemplo, tienes un archivo PEM llamado server.pem que contiene tu certificado TLS y un archivo PEM con el nombre private_key.pem que contiene tu clave privada. Usa los siguientes comandos para crear el archivo PKCS12:

> openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12

Debes ingresar la frase de contraseña para la clave, si tiene una, y una contraseña de exportación. Este comando crea un archivo PKCS12 llamado keystore.pkcs12.

Usa el siguiente comando para convertirlo en un archivo JKS llamado keystore.jks:

> keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks

Se te solicitará que ingreses la contraseña nueva del archivo JKS y la contraseña existente del archivo PKCS12. Asegúrate de usar la misma contraseña para el archivo JKS que usaste el archivo PKCS12.

Si tienes que especificar un alias de clave, como cuando configuras TLS entre un router y un procesador de mensajes, incluye la opción “-name" en el comando openssl:

>  openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12 -name devtest

Luego, incluye la opción "-alias" al comando keytool:

> keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks -alias devtest

Cómo generar una contraseña ofuscada

Algunas partes del procedimiento de configuración de Edge TLS requieren que ingreses una contraseña ofuscada en un archivo de configuración. Una contraseña ofuscada es una alternativa más segura que ingresar la contraseña en texto sin formato.

Puedes generar una contraseña ofuscada en Java si usas los archivos .jar de Jetty instalados con Edge. Para ingresar la contraseña ofuscada, usa un comando con el siguiente formato:

> java -cp /<inst_root>/apigee/edge-gateway/lib/thirdparty/jetty-http-x.y.z.jar:/<inst_root>/apigee/edge-gateway/lib/thirdparty/jetty-util-x.y.z.jar org.eclipse.jetty.http.security.Password yourPassword

donde x.y.z especifica el número de versión de los archivos .jar de Jetty, como 8.0.4.v20111024. Este comando muestra la contraseña con el siguiente formato:

yourPassword
OBF:58fh40h61svy156789gk1saj
MD5:902fobg9d80e6043b394cb2314e9c6

Usa la contraseña ofuscada especificada por OBF cuando configures TLS.

Para obtener más información, consulta este artículo.