Edge for Private Cloud เวอร์ชัน 4.16.05
TLS (Transport Layer Security) ซึ่งมีรุ่นก่อนหน้าเป็น SSL) เป็นเทคโนโลยีความปลอดภัยมาตรฐาน สำหรับการดูแลการรับส่งข้อความที่เข้ารหัสในสภาพแวดล้อม API อย่างปลอดภัย ตั้งแต่แอปต่างๆ ไปจนถึง Apigee ใช้บริการแบ็กเอนด์ของคุณ
ไม่ว่าจะกำหนดค่าสภาพแวดล้อมสำหรับ API การจัดการไว้อย่างไร ตัวอย่างเช่น คุณกำลังใช้พร็อกซี เราเตอร์ และ/หรือตัวจัดสรรภาระงานที่อยู่ด้านหน้า API การจัดการ (หรือ ไม่ใช่) - Edge ให้คุณเปิดใช้และกำหนดค่า TLS ซึ่งทำให้คุณสามารถควบคุมการเข้ารหัสข้อความ สภาพแวดล้อมการจัดการ API ภายในองค์กรของคุณ
สำหรับการติดตั้ง Edge Private Cloud ภายในองค์กร คุณสามารถดำเนินการได้จากหลายที่ กำหนดค่า TLS:
- ระหว่างเราเตอร์และโปรแกรมประมวลผลข้อความ
- สําหรับการเข้าถึง Edge Management API
- สําหรับการเข้าถึง UI การจัดการ Edge
- สำหรับการเข้าถึงจากแอปไปยัง API ของคุณ
- สำหรับการเข้าถึงจาก Edge ไปยังบริการแบ็กเอนด์
การกำหนดค่า TLS สำหรับ 3 รายการแรกจะอธิบายไว้ด้านล่าง ขั้นตอนเหล่านี้ทั้งหมดจะถือว่า คุณได้สร้างไฟล์ JKS ที่มีการรับรอง TLS และคีย์ส่วนตัว
ในการกำหนดค่า TLS สำหรับการเข้าถึงจากแอปไปยัง API ของคุณ #4 ด้านบน โปรดดูที่การกำหนดค่าการเข้าถึง TLS สำหรับ API สำหรับ Private Cloud วิธีกำหนดค่า TLS สำหรับการเข้าถึงจาก Edge ไปยังบริการแบ็กเอนด์ #5 ด้านบน โปรดดูการกำหนดค่า TLS จาก Edge ไปยังแบ็กเอนด์ (ระบบคลาวด์และ Private Cloud)
โปรดดูภาพรวมทั้งหมดของการกำหนดค่า TLS ใน Edge ได้ที่ TLS/SSL
การสร้างไฟล์ JKS
คุณแสดงคีย์สโตร์เป็นไฟล์ JKS ซึ่งคีย์สโตร์จะมีใบรับรอง TLS และ คีย์ส่วนตัว การสร้างไฟล์ JKS นั้นทำได้หลายวิธี แต่วิธีหนึ่งก็คือการใช้ openssl และ เครื่องมือคีย์ยูทิลิตี
ตัวอย่างเช่น คุณมีไฟล์ PEM ชื่อ server.pem ที่มีใบรับรอง TLS และไฟล์ PEM ชื่อ private_key.pem ที่มีคีย์ส่วนตัว ใช้คำสั่งต่อไปนี้เพื่อ สร้างไฟล์ PKCS12
> openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12
คุณต้องป้อนรหัสผ่านสำหรับคีย์ (หากมี) และรหัสผ่านสำหรับส่งออก ช่วงเวลานี้ สร้างไฟล์ PKCS12 ชื่อ keystore.pkcs12
ใช้คำสั่งต่อไปนี้เพื่อแปลงเป็นไฟล์ JKS ชื่อ keystore.jks
> keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks
ระบบจะแจ้งให้คุณป้อนรหัสผ่านใหม่สำหรับไฟล์ JKS และรหัสผ่านที่มีอยู่สำหรับ PKCS12 ตรวจสอบว่าคุณใช้รหัสผ่านสำหรับไฟล์ JKS เดียวกันกับที่ใช้ ไฟล์ PKCS12
หากต้องระบุชื่อแทนคีย์ เช่น เมื่อกำหนดค่า TLS ระหว่างเราเตอร์และข้อความ โปรเซสเซอร์ ให้ใส่ "-name" ของคำสั่ง openssl ดังนี้
> openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12 -name devtest
จากนั้นรวม "-alias" ลงในคำสั่ง keytool ดังนี้
> keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks -alias devtest
การสร้างรหัสผ่านที่ปรับให้ยากต่อการอ่าน (Obfuscate)
บางส่วนของขั้นตอนการกำหนดค่า Edge TLS ต้องป้อนรหัสผ่านที่ปรับให้ยากต่อการอ่าน (Obfuscate) ในไฟล์การกำหนดค่า รหัสผ่านที่ปรับให้ยากต่อการอ่าน (Obfuscate) เป็นทางเลือกที่ปลอดภัยกว่าในการป้อนรหัสผ่าน เป็นข้อความธรรมดา
คุณสามารถสร้างรหัสผ่านที่ปรับให้ยากต่อการอ่าน (Obfuscate) ใน Java โดยใช้ไฟล์ Jetty .jar ที่ติดตั้งด้วย Edge เข้ารหัสรหัสผ่านที่ปรับให้ยากต่อการอ่าน (Obfuscate) โดยใช้คำสั่งในรูปแบบต่อไปนี้
> java -cp /<inst_root>/apigee/edge-gateway/lib/thirdparty/jetty-http-x.y.z.jar:/<inst_root>/apigee/edge-gateway/lib/thirdparty/jetty-util-x.y.z.jar org.eclipse.jetty.http.security.Password yourPassword
โดยที่ x.y.z ระบุหมายเลขเวอร์ชันของไฟล์ .jar ของ Jetty เช่น 8.0.4.v20111024. คำสั่งนี้จะแสดงรหัสผ่านในรูปแบบดังนี้
yourPassword OBF:58fh40h61svy156789gk1saj MD5:902fobg9d80e6043b394cb2314e9c6
ใช้รหัสผ่านที่ปรับให้ยากต่อการอ่าน (Obfuscate) ที่ระบุโดย OBF เมื่อกำหนดค่า TLS
สำหรับข้อมูลเพิ่มเติม โปรดดู บทความ