پیکربندی TLS/SSL برای Edge On Premises

Edge for Private Cloud نسخه 4.16.05

TLS (Transport Layer Security، که سلف آن SSL است) فناوری امنیتی استاندارد برای اطمینان از پیام‌های رمزگذاری شده و ایمن در محیط API شما، از برنامه‌ها گرفته تا Apigee Edge تا سرویس‌های پشتیبان شما است.

صرف نظر از پیکربندی محیط برای API مدیریت خود - برای مثال، اینکه آیا از یک پروکسی، یک روتر و/یا یک متعادل کننده بار در مقابل API مدیریت خود استفاده می کنید (یا نه) - Edge به شما امکان می دهد TLS را فعال و پیکربندی کنید. شما روی رمزگذاری پیام در محیط مدیریت API داخلی خود کنترل دارید.

برای نصب Edge Private Cloud در محل، مکان‌های مختلفی وجود دارد که می‌توانید TLS را پیکربندی کنید:

  1. بین روتر و پردازشگر پیام
  2. برای دسترسی به API مدیریت Edge
  3. برای دسترسی به رابط کاربری Edge management
  4. برای دسترسی از یک برنامه به API های شما
  5. برای دسترسی از Edge به خدمات باطن شما

پیکربندی TLS برای سه مورد اول در زیر توضیح داده شده است. همه این رویه ها فرض می کنند که شما یک فایل JKS حاوی گواهینامه TLS و کلید خصوصی خود ایجاد کرده اید.

برای پیکربندی TLS برای دسترسی از یک برنامه به APIهای خود، شماره 4 در بالا، به پیکربندی دسترسی TLS به یک API برای Private Cloud مراجعه کنید. برای پیکربندی TLS برای دسترسی از Edge به خدمات باطن خود، شماره 5 در بالا، به پیکربندی TLS از Edge به باطن (Cloud و Private Cloud) مراجعه کنید.

برای یک نمای کلی از پیکربندی TLS در Edge، به TLS/SSL مراجعه کنید.

ساخت فایل JKS

شما فروشگاه کلید را به عنوان یک فایل JKS نشان می دهید، جایی که فروشگاه کلید حاوی گواهی TLS و کلید خصوصی شما است. راه های مختلفی برای ایجاد فایل JKS وجود دارد، اما یکی از راه ها استفاده از ابزارهای openssl و keytool است.

به عنوان مثال، شما یک فایل PEM به نام server.pem دارید که حاوی گواهی TLS شما است و یک فایل PEM به نام private_key.pem حاوی کلید خصوصی شما است. برای ایجاد فایل PKCS12 از دستورات زیر استفاده کنید:

> openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12

شما باید رمز عبور کلید را، در صورتی که دارای یکی باشد، و رمز عبور صادراتی وارد کنید. این دستور یک فایل PKCS12 با نام keystore.pkcs12 ایجاد می کند.

برای تبدیل آن به فایل JKS با نام keystore.jks از دستور زیر استفاده کنید:

> keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks

از شما خواسته می شود که رمز عبور جدید را برای فایل JKS و رمز عبور موجود را برای فایل PKCS12 وارد کنید. مطمئن شوید که از همان رمز عبوری که برای فایل PKCS12 استفاده کرده اید، برای فایل JKS استفاده می کنید.

اگر باید نام مستعار کلیدی را مشخص کنید، مانند هنگام پیکربندی TLS بین روتر و پردازشگر پیام، گزینه " -name" را در دستور openssl قرار دهید:

>  openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12 -name devtest

سپس گزینه " -alias " را در دستور keytool قرار دهید:

> keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks -alias devtest

ایجاد یک رمز عبور مبهم

برخی از بخش‌های رویه پیکربندی Edge TLS از شما می‌خواهد که یک رمز عبور مبهم در یک فایل پیکربندی وارد کنید. رمز عبور مبهم جایگزین امن تری برای وارد کردن رمز عبور به صورت متن ساده است.

می‌توانید با استفاده از فایل‌های Jetty.jar که با Edge نصب شده‌اند، یک رمز عبور مبهم در جاوا ایجاد کنید. رمز عبور مبهم را با استفاده از دستوری به شکل زیر ایجاد کنید:

> java -cp /<inst_root>/apigee/edge-gateway/lib/thirdparty/jetty-http-x.y.z.jar:/<inst_root>/apigee/edge-gateway/lib/thirdparty/jetty-util-x.y.z.jar org.eclipse.jetty.http.security.Password yourPassword

جایی که xyz شماره نسخه فایل‌های Jetty.jar را مشخص می‌کند، مانند 8.0.4.v20111024. این دستور رمز عبور را به شکل زیر برمی گرداند:

yourPassword
OBF:58fh40h61svy156789gk1saj
MD5:902fobg9d80e6043b394cb2314e9c6

هنگام پیکربندی TLS از رمز عبور مبهم مشخص شده توسط OBF استفاده کنید.

برای اطلاعات بیشتر، این مقاله را ببینید.