Edge for Private Cloud w wersji 4.16.05
TLS (Transport Layer Security, którego poprzednik to protokół SSL) to standardowa technologia zabezpieczeń zapewniające bezpieczne, zaszyfrowane wiadomości w środowisku API, od aplikacji po Apigee Edge dla usług backendu.
Niezależnie od konfiguracji środowiska dla interfejsu API do zarządzania – na przykład używasz serwera proxy, routera lub systemu równoważenia obciążenia przed interfejsem API zarządzania (albo nie). – Edge umożliwia włączenie i skonfigurowanie protokołu TLS, zapewniając Ci kontrolę nad szyfrowaniem wiadomości lokalnemu środowisku zarządzania interfejsami API.
W przypadku lokalnej instalacji Edge Private Cloud istnieje kilka miejsc, w których można skonfiguruj TLS:
- Połączenie między routerem a procesorem wiadomości
- Dostęp do interfejsu Edge Management API
- Dostęp do interfejsu zarządzania brzegiem
- Dostęp z aplikacji do interfejsów API
- Aby uzyskać dostęp z Edge do usług backendu
Konfigurowanie TLS dla pierwszych 3 elementów opisano poniżej. Wszystkie te procedury przy założeniu, został utworzony plik JKS zawierający certyfikat TLS i klucz prywatny.
Aby skonfigurować protokół TLS na potrzeby dostępu z aplikacji do interfejsów API, #4 powyżej zapoznaj się z sekcją Konfigurowanie dostępu TLS do interfejsu API przy użyciu protokołu TLS dla chmury Private Cloud. Aby skonfigurować TLS na potrzeby dostępu z Edge do usług backendu, nr 5 znajdziesz powyżej w sekcji Konfigurowanie TLS z Edge do backendu (Cloud i Private Cloud).
Pełne omówienie konfigurowania TLS w Edge znajdziesz w artykule TLS/SSL.
Tworzenie pliku JKS
Magazyn kluczy jest przedstawiony jako plik JKS, w którym znajduje się certyfikat TLS oraz klucz prywatny. Plik JKS można utworzyć na kilka sposobów, ale jednym z nich jest użycie instrukcji sitessl oraz z keytool.
Załóżmy, że masz plik PEM o nazwie server.pem i certyfikat TLS. i plik PEM o nazwie private_key.pem zawierającym klucz prywatny. Użyj tych poleceń, aby utwórz plik PKCS12:
> openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12
Musisz wpisać hasło wielowyrazowe klucza (jeśli go ma) oraz hasło eksportu. Ten tworzy plik PKCS12 o nazwie keystore.pkcs12.
Użyj następującego polecenia, aby przekonwertować go na plik JKS o nazwie keystore.jks:
> keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks
Pojawi się prośba o podanie nowego hasła w pliku JKS oraz istniejącego hasła do Plik PKCS12. Upewnij się, że w pliku JKS używasz tego samego hasła co w przypadku w pliku PKCS12.
Jeśli musisz określić alias klucza, na przykład podczas konfigurowania protokołu TLS między routerem a wiadomością Procesor – dodaj parametr „-name” dla polecenia Opensl:
> openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12 -name devtest
Następnie dołącz ciąg „-alias”. polecenia keytool:
> keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks -alias devtest
Generowanie zaciemnionego hasła
Niektóre części procedury konfiguracji Edge TLS wymagają podania zaciemnionego hasła w pliku konfiguracji. Zaciemnione hasło to bezpieczniejsza alternatywa dla wpisania .
Zaciemnione hasło można wygenerować w Javie przy użyciu plików .jar Jetty zainstalowanych z Edge. zarejestruj zaciemnione hasło, używając polecenia w tym formacie:
> java -cp /<inst_root>/apigee/edge-gateway/lib/thirdparty/jetty-http-x.y.z.jar:/<inst_root>/apigee/edge-gateway/lib/thirdparty/jetty-util-x.y.z.jar org.eclipse.jetty.http.security.Password yourPassword
gdzie x.y.z określa numer wersji plików jar Jetty, na przykład 8.0.4.v20111024. To polecenie zwraca hasło w formacie:
yourPassword OBF:58fh40h61svy156789gk1saj MD5:902fobg9d80e6043b394cb2314e9c6
Podczas konfigurowania protokołu TLS użyj zaciemnionego hasła określonego przez OBF.
Więcej informacji znajdziesz w tym artykule .