TLS/SSL für Edge On Premises konfigurieren

Edge for Private Cloud Version 4.16.09

TLS (Transport Layer Security, dessen Vorgänger SSL) ist die standardmäßige Sicherheitstechnologie für sicheres, verschlüsseltes Messaging in Ihrer API-Umgebung – von Apps bis Apigee Edge zu Ihren Backend-Diensten.

Unabhängig von der Umgebungskonfiguration für Ihre Verwaltungs-API, z. B. Sie verwenden einen Proxy, einen Router und/oder einen Load-Balancer vor Ihrer Verwaltungs-API (oder nicht) – Mit Edge können Sie TLS aktivieren und konfigurieren und so die Nachrichtenverschlüsselung in Ihrer lokalen API-Verwaltungsumgebung.

Für eine lokale Installation von Edge Private Cloud gibt es mehrere Möglichkeiten, TLS konfigurieren:

  1. Zwischen einem Router und einem Nachrichtenprozessor
  2. Für den Zugriff auf die Edge-Verwaltungs-API
  3. Für den Zugriff auf die Edge-Management-Benutzeroberfläche
  4. Für den Zugriff von einer App auf Ihre APIs
  5. Für den Zugriff vom Edge auf Ihre Backend-Dienste

Das Konfigurieren von TLS für die ersten drei Elemente wird unten beschrieben. Alle diese Verfahren setzen voraus, Sie haben eine JKS-Datei mit Ihrer TLS-Zertifizierung und Ihrem privaten Schlüssel erstellt.

Informationen zum Konfigurieren von TLS für den Zugriff von einer App auf Ihre APIs (siehe Nr. 4 oben) finden Sie unter TLS-Zugriff auf eine API konfigurieren für die Private Cloud. So konfigurieren Sie TLS für den Zugriff von Edge auf Ihre Backend-Dienste, Nr. 5 siehe TLS konfigurieren vom Edge zum Back-End (Cloud und Private Cloud).

Eine vollständige Übersicht über das Konfigurieren von TLS in Edge finden Sie unter TLS/SSL.

JKS-Datei erstellen

Sie stellen den Schlüsselspeicher als JKS-Datei dar, wobei der Schlüsselspeicher Ihr TLS-Zertifikat und privaten Schlüssel enthält. Es gibt mehrere Möglichkeiten, eine JKS-Datei zu erstellen. Eine Möglichkeit ist die Verwendung von openssl und keytool-Dienstprogrammen.

Beispiel: Sie haben eine PEM-Datei namens server.pem, die Ihr TLS-Zertifikat enthält. und eine PEM-Datei mit dem Namen private_key.pem, die Ihren privaten Schlüssel enthält. Verwenden Sie die folgenden Befehle, um Erstellen Sie die PKCS12-Datei:

> openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12

Sie müssen die Passphrase für den Schlüssel, falls vorhanden, sowie ein Exportpasswort eingeben. Dieses wird eine PKCS12-Datei mit dem Namen keystore.pkcs12 erstellt.

Verwenden Sie den folgenden Befehl, um sie in eine JKS-Datei namens keystore.jks zu konvertieren:

> keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks

Sie werden aufgefordert, das neue Passwort für die JKS-Datei und das bestehende Passwort für die PKCS12-Datei. Verwenden Sie für die JKS-Datei dasselbe Passwort wie für in der PKCS12-Datei.

Wenn Sie einen Schlüsselalias angeben müssen, z. B. beim Konfigurieren von TLS zwischen einem Router und einer Nachricht Prozessor, einschließlich -name zum Befehl „openssl“ hinzu:

>  openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12 -name devtest

Fügen Sie dann den String "-alias" ein. keytool hinzufügen:

> keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks -alias devtest

Verschleiertes Passwort generieren

Einige Teile der Edge-TLS-Konfiguration erfordern die Eingabe eines verschleierten Passworts in einer Konfigurationsdatei. Ein verschleiertes Passwort ist eine sicherere Alternative zur Eingabe deines als Klartext.

Sie können ein verschleiertes Passwort in Java generieren, indem Sie die mit Edge Generieren Sie das verschleierte Passwort mit einem Befehl im folgenden Format:

> IFS= read -rsp Password: passvar; echo; java -cp "/opt/apigee/edge-gateway/lib/thirdparty/*" org.eclipse.jetty.util.security.Password $passvar 2>&1 |tail -2; unset passvar

Geben Sie das neue Passwort in die Eingabeaufforderung ein. Aus Sicherheitsgründen ist der Passworttext nicht angezeigt. Dieser Befehl gibt das Passwort in folgendem Format zurück:

OBF:58fh40h61svy156789gk1saj
MD5:902fobg9d80e6043b394cb2314e9c6

Verwenden Sie beim Konfigurieren von TLS das verschleierte Passwort, das in OBF angegeben ist.

Weitere Informationen finden Sie in diesem