Edge for Private Cloud - الإصدار 4.16.09
إنّ بروتوكول أمان طبقة النقل (TLS) (والمعروفة سابقًا بطبقة المقابس الآمنة (SSL)) هي تكنولوجيا الأمان القياسية لضمان المراسلة الآمنة والمشفّرة في بيئة واجهة برمجة التطبيقات، بدءًا من التطبيقات وApigee Edge وصولاً إلى خدمات الواجهة الخلفية.
وبغض النظر عن إعدادات البيئة لواجهة برمجة تطبيقات الإدارة، على سبيل المثال، سواء كنت تستخدم خادمًا وكيلاً أو جهاز توجيه و/أو جهاز موازنة الحمل أمام واجهة برمجة تطبيقات الإدارة (أو لا)، يتيح لك Edge تفعيل بروتوكول أمان طبقة النقل وإعداده، ما يمنحك إمكانية التحكّم في تشفير الرسائل في بيئة إدارة واجهة برمجة التطبيقات داخل المؤسسة.
بالنسبة إلى تثبيت Edge Private Cloud داخل الشركة، يمكنك ضبط بروتوكول أمان طبقة النقل (TLS) في عدة أماكن:
- بين جهاز التوجيه ومعالج الرسائل
- للوصول إلى واجهة برمجة تطبيقات إدارة Edge
- للوصول إلى واجهة مستخدم إدارة Edge
- للوصول من أحد التطبيقات إلى واجهات برمجة التطبيقات
- للوصول من Edge إلى خدمات الخلفية
فيما يلي توضيح لتكوين بروتوكول أمان طبقة النقل (TLS) للعناصر الثلاثة الأولى. تفترض جميع هذه الإجراءات أنّك أنشأت ملف JKS يحتوي على شهادة بروتوكول أمان طبقة النقل (TLS) ومفتاح خاص.
لضبط بروتوكول أمان طبقة النقل (TLS) للوصول من تطبيق إلى واجهات برمجة التطبيقات، رقم 4 أعلاه، راجِع ضبط الوصول إلى بروتوكول أمان طبقة النقل (TLS) إلى واجهة برمجة تطبيقات للسحابة الإلكترونية الخاصة. لضبط بروتوكول أمان طبقة النقل (TLS) للوصول من Edge إلى خدمات الخلفية، رقم 5 أعلاه، راجِع ضبط بروتوكول أمان طبقة النقل (TLS) من Edge إلى الخلفية (Cloud وسحابة إلكترونية خاصة).
للحصول على نظرة عامة شاملة لضبط بروتوكول أمان طبقة النقل (TLS) على Edge، يُرجى الاطّلاع على بروتوكول أمان طبقة النقل (TLS)/طبقة المقابس الآمنة.
إنشاء ملف JKS
أنت تمثّل ملف تخزين المفاتيح بتنسيق ملف JKS، حيث يحتوي ملف تخزين المفاتيح على شهادة بروتوكول أمان طبقة النقل (TLS) ومفتاح خاص. هناك عدة طرق لإنشاء ملف JKS، ولكن إحدى الطرق هي استخدام الأدوات المساعدة opensl وkeytool.
على سبيل المثال، لديك ملف PEM باسم server.pem يحتوي على شهادة بروتوكول أمان طبقة النقل (TLS) وملف PEM يحمل اسم privacy_key.pem يحتوي على مفتاحك الخاص. استخدِم الأوامر التالية لإنشاء ملف PKCS12:
> openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12
يجب إدخال عبارة المرور للمفتاح، إذا كان متوفرًا، وكلمة مرور للتصدير. يؤدي هذا الأمر إلى إنشاء ملف PKCS12 باسم keystore.pkcs12.
استخدم الأمر التالي لتحويله إلى ملف JKS باسم keystore.jks:
> keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks
سيُطلب منك إدخال كلمة المرور الجديدة لملف JKS وكلمة المرور الحالية لملف PKCS12. تأكَّد من استخدام كلمة المرور نفسها لملف JKS كما استخدمتها لملف PKCS12.
إذا كان عليك تحديد اسم بديل للمفتاح، مثلاً عند ضبط بروتوكول أمان طبقة النقل (TLS) بين جهاز توجيه ومعالج الرسائل، يمكنك تضمين الخيار "-name" في الأمر opensl:
> openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12 -name devtest
بعد ذلك، أدرِج الخيار -alias في الأمر keytool:
> keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks -alias devtest
إنشاء كلمة مرور مبهمة
تتطلب بعض أجزاء إجراء إعداد Edge TLS إدخال كلمة مرور تتضمن تشويشًا في ملف الإعداد. وتُعدّ كلمة المرور المبهمة بديلاً أكثر أمانًا لإدخال كلمة المرور في نص عادي.
يمكنك إنشاء كلمة مرور مشفّرة في Java باستخدام ملفات Jetty .jar المُثبَّتة من خلال Edge. عليك إنشاء كلمة المرور المبهمة باستخدام أمر في النموذج:
> IFS= read -rsp Password: passvar; echo; java -cp "/opt/apigee/edge-gateway/lib/thirdparty/*" org.eclipse.jetty.util.security.Password $passvar 2>&1 |tail -2; unset passvar
أدخِل كلمة المرور الجديدة في الطلب. لأسباب تتعلق بالأمان، لا يتم عرض نص كلمة المرور. يعرض هذا الأمر كلمة المرور بالشكل:
OBF:58fh40h61svy156789gk1saj MD5:902fobg9d80e6043b394cb2314e9c6
يمكنك استخدام كلمة المرور المبهمة التي حدَّدتها أداة OBF عند إعداد بروتوكول أمان طبقة النقل (TLS).
لمزيد من المعلومات، يمكنك الاطّلاع على هذه المقالة.