Edge for Private Cloud 4.16.09
بروتوكول أمان طبقة النقل (TLS) هو تقنية الأمان القياسية لضمان المراسلة الآمنة المشفَّرة في بيئة واجهة برمجة التطبيقات، بدءًا من التطبيقات ووصولاً إلى Apigee Edge وخدمات الخلفية.
بغض النظر عن إعدادات البيئة لواجهة برمجة التطبيقات الخاصة بالإدارة، على سبيل المثال، ما إذا كان يتم استخدام خادم وكيل و/أو جهاز توجيه و/أو أداة موازنة تحميل أمام واجهة برمجة التطبيقات الخاصة بالإدارة (أو لا)، تتيح لك Edge تفعيل بروتوكول أمان طبقة النقل وضبطه، ما يمنحك إمكانية التحكّم في تشفير الرسائل في بيئة إدارة واجهة برمجة التطبيقات داخل المؤسسة.
بالنسبة إلى عملية التثبيت على الموقع الإلكتروني لـ Edge Private Cloud، هناك عدة مواضع يمكنك فيها ضبط بروتوكول أمان طبقة النقل (TLS):
- بين المُوجِّه ومعالج الرسائل
- للوصول إلى واجهة برمجة التطبيقات Edge management API
- للوصول إلى واجهة مستخدم إدارة Edge
- للوصول من تطبيق إلى واجهات برمجة التطبيقات
- للوصول من Edge إلى خدمات الخلفية
في ما يلي وصف لإعداد بروتوكول TLS للعناصر الثلاثة الأولى. تعتمد كل هذه الإجراءات على أنّك أنشأت ملف JKS يحتوي على شهادة بروتوكول أمان طبقة النقل (TLS) والمفتاح الخاص.
لضبط بروتوكول أمان طبقة النقل (TLS) للوصول من تطبيق إلى واجهات برمجة التطبيقات، يُرجى الاطّلاع على الخطوة 4 أعلاه، وضبط إمكانية الوصول إلى واجهة برمجة التطبيقات باستخدام بروتوكول أمان طبقة النقل (TLS) في "السحابة الخاصة". لضبط بروتوكول أمان طبقة النقل (TLS) للوصول من Edge إلى خدمات الخلفية، الخطوة 5 أعلاه، يُرجى الاطّلاع على ضبط بروتوكول أمان طبقة النقل (TLS) من Edge إلى الخلفية (السحابة الإلكترونية والسحابة الإلكترونية الخاصة).
للحصول على نظرة عامة كاملة حول ضبط بروتوكول أمان طبقة النقل (TLS) على Edge، يمكنك الاطّلاع على طبقة النقل الآمنة (TLS)/طبقة المقابس الآمنة (SSL).
إنشاء ملف JKS
يمكنك تمثيل ملف تخزين المفاتيح كملف JKS، حيث يحتوي ملف تخزين المفاتيح على شهادة بروتوكول أمان طبقة النقل (TLS) ومفتاحك الخاص. هناك عدة طرق لإنشاء ملف JKS، ولكن إحدى الطرق هي استخدام الأداتَين openssl و keytool.
على سبيل المثال، لديك ملف PEM باسم server.pem يحتوي على شهادة TLS وملف PEM باسم private_key.pem يحتوي على مفتاحك الخاص. استخدِم الأوامر التالية ل إنشاء ملف PKCS12:
> openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12
عليك إدخال عبارة مرور المفتاح، إذا كان يحتوي على عبارة مرور، وكلمة مرور للتصدير. سيؤدي هذا الأمر إلى إنشاء ملف PKCS12 باسم keystore.pkcs12.
استخدِم الأمر التالي لتحويله إلى ملف JKS باسم keystore.jks:
> keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks
سيُطلب منك إدخال كلمة المرور الجديدة لملف JKS وكلمة المرور الحالية لملف PKCS12. احرص على استخدام كلمة المرور نفسها لملف JKS التي استخدمتها في ملف PKCS12.
إذا كان عليك تحديد اسم مستعار للمفتاح، مثل عند ضبط بروتوكول أمان طبقة النقل (TLS) بين جهاز توجيه ومعالج رسائل، أدرِج الخيار -name في الأمر openssl:
> openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12 -name devtest
بعد ذلك، أدرِج الخيار "-alias" في الأمر keytool:
> keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks -alias devtest
إنشاء كلمة مرور مشوَّهة
تتطلب منك بعض أجزاء إجراء إعداد بروتوكول أمان طبقة النقل (TLS) في Edge إدخال كلمة مرور مُشوَّشة في ملف إعداد. تشكّل كلمة المرور المشوشة بديلاً أكثر أمانًا لإدخال كلمة المرور في نص عادي.
يمكنك إنشاء كلمة مرور مشوّشة في Java باستخدام ملفات Jetty .jar المثبَّتة باستخدام Edge. أنشئ كلمة المرور المشوشة باستخدام أمر على النحو التالي:
> IFS= read -rsp Password: passvar; echo; java -cp "/opt/apigee/edge-gateway/lib/thirdparty/*" org.eclipse.jetty.util.security.Password $passvar 2>&1 |tail -2; unset passvar
أدخِل كلمة المرور الجديدة عندما يُطلب منك ذلك. لأسباب تتعلّق بالأمان، لا يتم عرض نص كلمة المرور. يعرض هذا الأمر كلمة المرور على النحو التالي:
OBF:58fh40h61svy156789gk1saj MD5:902fobg9d80e6043b394cb2314e9c6
يمكنك استخدام كلمة المرور التي تم تشويشها والتي يحدِّدها OBF عند ضبط بروتوكول أمان طبقة النقل (TLS).
لمزيد من المعلومات، يُرجى الاطّلاع على هذه المقالة.