Uç noktadaki tesisler için TLS/SSL yapılandırma

Private Cloud için Edge v. 4.16.09

TLS (SSL'nin öncülü olan Taşıma Katmanı Güvenliği), uygulamalardan Apigee Edge'e ve arka uç hizmetlerinize kadar API ortamınızda güvenli, şifrelenmiş mesajlaşmayı sağlamak için kullanılan standart güvenlik teknolojisidir.

Yönetim API'nizin ortam yapılandırmasından bağımsız olarak (ör. yönetim API'nizin önünde proxy, yönlendirici ve/veya yük dengeleyici kullanıp kullanmadığınız) Edge, TLS'yi etkinleştirmenize ve yapılandırmanıza olanak tanıyarak şirket içi API yönetim ortamınızda ileti şifrelemesi üzerinde kontrol sahibi olmanızı sağlar.

Edge Private Cloud'un şirket içi yüklemesi için TLS'yi çeşitli yerlerden yapılandırabilirsiniz:

  1. Yönlendirici ile Mesaj İşleyici Arasında
  2. Edge Management API'ye erişim için
  3. Edge yönetim kullanıcı arayüzüne erişmek için
  4. Bir uygulamadan API'lerinize erişim için
  5. Edge'den arka uç hizmetlerinize erişim için

İlk üç öğe için TLS'nin yapılandırılması aşağıda açıklanmıştır. Bu işlemlerin tümü, TLS sertifikanızı ve özel anahtarınızı içeren bir JKS dosyası oluşturduğunuzu varsayar.

TLS'yi bir uygulamadan API'lerinize erişecek şekilde yapılandırmak için yukarıdaki 4. adımda, Private Cloud için API'ye TLS erişimini yapılandırma bölümüne bakın. Edge'den arka uç hizmetlerinize erişim için TLS'yi yapılandırmak üzere yukarıdaki 5. maddeye bakın. Edge'den arka uca (Cloud ve Private Cloud) TLS yapılandırması başlıklı makaleyi inceleyin.

Edge'de TLS'yi yapılandırmayla ilgili tam bir genel bakış için TLS/SSL başlıklı makaleyi inceleyin.

JKS dosyası oluşturma

Anahtar deposunu bir JKS dosyası olarak temsil edersiniz. Burada anahtar deposu, TLS sertifikanızı ve özel anahtarınızı içerir. JKS dosyası oluşturmanın birkaç yolu vardır. Bunlardan biri openssl ve keytool yardımcı programlarını kullanmaktır.

Örneğin, TLS sertifikanızı içeren server.pem adlı bir PEM dosyanız ve gizli anahtarınızı içeren private_key.pem adlı bir PEM dosyanız olsun. PKCS12 dosyasını oluşturmak için aşağıdaki komutları kullanın:

> openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12

Anahtar için şifre varsa şifreyi ve bir dışa aktarma şifresini girmeniz gerekir. Bu komut, keystore.pkcs12 adlı bir PKCS12 dosyası oluşturur.

Dosyayı, keystore.jks adlı bir JKS dosyasına dönüştürmek için aşağıdaki komutu kullanın:

> keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks

JKS dosyası için yeni şifreyi ve PKCS12 dosyası için mevcut şifreyi girmeniz istenir. JKS dosyasında PKCS12 dosyası için kullandığınız şifreyi kullandığınızdan emin olun.

Yönlendirici ve Mesaj İşlemci arasında TLS'yi yapılandırırken olduğu gibi bir anahtar takma adı belirtmeniz gerekiyorsa opensl komutuna "-name" seçeneğini ekleyin:

>  openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12 -name devtest

Ardından keytool komutuna "-alias" seçeneğini ekleyin:

> keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks -alias devtest

Kodlanmış şifre oluşturma

Edge TLS yapılandırma prosedürünün bazı bölümleri, bir yapılandırma dosyasına karartılmış bir şifre girmenizi gerektirir. Şifrenizi açık metin olarak girmek yerine karartılmış şifre kullanmak daha güvenli bir alternatiftir.

Edge ile yüklenen Jetty .jar dosyalarını kullanarak Java'da kodu karartılmış bir şifre oluşturabilirsiniz. Şifrelenmiş şifreyi oluşturmak için aşağıdaki komutu kullanın:

> IFS= read -rsp Password: passvar; echo; java -cp "/opt/apigee/edge-gateway/lib/thirdparty/*" org.eclipse.jetty.util.security.Password $passvar 2>&1 |tail -2; unset passvar

İstemde yeni şifreyi girin. Güvenlik nedeniyle şifre metni gösterilmez. Bu komut, şifreyi şu şekilde döndürür:

OBF:58fh40h61svy156789gk1saj
MD5:902fobg9d80e6043b394cb2314e9c6

TLS'yi yapılandırırken OBF tarafından belirtilen kodu karartılmış şifreyi kullanın.

Daha fazla bilgi için bu makaleyi inceleyin.