Định cấu hình TLS/SSL cho các mặt bằng

Edge for Private Cloud phiên bản 4.16.05

TLS (Bảo mật tầng truyền tải, tiền thân là SSL) là công nghệ bảo mật tiêu chuẩn để đảm bảo việc nhắn tin an toàn và được mã hoá trên môi trường API của bạn, từ các ứng dụng cho đến Apigee Khai thác các dịch vụ phụ trợ.

Bất kể cấu hình môi trường cho API quản lý của bạn là gì, ví dụ: liệu bạn đang sử dụng proxy, bộ định tuyến và/hoặc trình cân bằng tải trước API quản lý của mình (hoặc không)— Edge cho phép bạn bật và định cấu hình TLS, nhờ đó, bạn có thể kiểm soát tính năng mã hoá thư môi trường quản lý API tại chỗ của bạn.

Bạn có thể cài đặt Edge Private Cloud tại một số nơi định cấu hình TLS:

  1. Giữa Bộ định tuyến và Bộ xử lý thư
  2. Để có quyền truy cập vào API quản lý Edge
  3. Để có quyền truy cập vào giao diện người dùng quản lý Edge
  4. Để truy cập từ một ứng dụng vào các API của bạn
  5. Để truy cập từ Edge vào các dịch vụ phụ trợ của bạn

Việc định cấu hình TLS cho ba mục đầu tiên được mô tả ở bên dưới. Tất cả các quy trình này giả định rằng bạn đã tạo một tệp JKS chứa chứng chỉ TLS và khoá riêng tư của bạn.

Để định cấu hình TLS nhằm truy cập từ một ứng dụng vào các API của bạn, mục 4 ở trên, hãy xem phần Định cấu hình quyền truy cập TLS vào API dành cho Cloud riêng tư. Cách định cấu hình TLS để truy cập từ Edge vào các dịch vụ phụ trợ, #5 ở trên, hãy xem Định cấu hình TLS từ Edge đến phần phụ trợ (Đám mây và Đám mây riêng tư).

Để biết toàn bộ thông tin tổng quan về cách định cấu hình TLS trên Edge, hãy xem TLS/SSL.

Tạo tệp JKS

Bạn đại diện cho kho khoá dưới dạng một tệp JKS, trong đó kho khoá chứa chứng chỉ TLS và khoá riêng tư. Có nhiều cách để tạo tệp JKS, nhưng có một cách là sử dụng openssl và các tiện ích keytool.

Ví dụ: bạn có một tệp PEM có tên server.pem chứa chứng chỉ TLS và một tệp PEM có tên private_key.pem chứa khoá riêng tư của bạn. Hãy dùng các lệnh sau để tạo tệp PKCS12:

> openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12

Bạn phải nhập cụm mật khẩu cho khoá (nếu có) và mật khẩu xuất. Chiến dịch này sẽ tạo một tệp PKCS12 có tên là keystore.pkcs12.

Sử dụng lệnh sau để chuyển đổi tệp này thành tệp JKS có tên là kho khoá.jks:

> keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks

Bạn được nhắc nhập mật khẩu mới cho tệp JKS và mật khẩu hiện tại cho PKCS12. Đảm bảo rằng bạn sử dụng cùng một mật khẩu cho tệp JKS như đã dùng cho tệp PKCS12.

Nếu bạn phải chỉ định bí danh khoá, chẳng hạn như khi định cấu hình TLS giữa một Bộ định tuyến và Thư Bộ xử lý, thêm "-name" vào lệnh openssl:

>  openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12 -name devtest

Sau đó, hãy thêm "-alias" cho lệnh keytool:

> keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks -alias devtest

Tạo mật khẩu bị làm rối mã nguồn

Một số phần của quy trình định cấu hình TLS (Bảo mật tầng truyền tải) ở cạnh yêu cầu bạn nhập mật khẩu bị làm rối mã nguồn trong tệp cấu hình. Mật khẩu bị làm rối mã nguồn là một biện pháp thay thế an toàn hơn để nhập thông tin mật khẩu bằng văn bản thuần tuý.

Bạn có thể tạo mật khẩu làm rối mã nguồn trong Java bằng cách sử dụng tệp Jetty .jar được cài đặt với Cạnh. đánh cắp mật khẩu đã làm rối mã nguồn bằng cách sử dụng một lệnh có dạng:

> java -cp /<inst_root>/apigee/edge-gateway/lib/thirdparty/jetty-http-x.y.z.jar:/<inst_root>/apigee/edge-gateway/lib/thirdparty/jetty-util-x.y.z.jar org.eclipse.jetty.http.security.Password yourPassword

trong đó x.y.z chỉ định số phiên bản của các tệp Jetty .jar, chẳng hạn như 8.0.4.v20111024. Lệnh này trả về mật khẩu có dạng:

yourPassword
OBF:58fh40h61svy156789gk1saj
MD5:902fobg9d80e6043b394cb2314e9c6

Sử dụng mật khẩu đã làm rối mã nguồn do OBF chỉ định khi định cấu hình TLS.

Để biết thêm thông tin, hãy xem bài viết này bài viết.