Edge for Private Cloud v. 4.16.09
TLS (Bảo mật tầng truyền tải, tiền thân là SSL) là công nghệ bảo mật tiêu chuẩn để đảm bảo việc nhắn tin được mã hoá và an toàn trên môi trường API, từ ứng dụng đến Apigee Edge đến các dịch vụ phụ trợ.
Bất kể cấu hình môi trường cho API quản lý của bạn là gì – ví dụ: cho dù bạn đang sử dụng proxy, bộ định tuyến và/hoặc trình cân bằng tải trước API quản lý (hay không) – Edge đều cho phép bạn bật và định cấu hình TLS, cho phép bạn kiểm soát việc mã hoá thông báo trong môi trường quản lý API tại chỗ.
Đối với việc cài đặt Edge Private Cloud tại chỗ, bạn có thể định cấu hình TLS ở một số vị trí:
- Giữa Bộ định tuyến và Bộ xử lý thư
- Để truy cập vào API quản lý Edge
- Để có quyền truy cập vào giao diện người dùng quản lý Edge
- Để truy cập từ một ứng dụng vào các API của bạn
- Để truy cập từ Edge vào các dịch vụ phụ trợ của bạn
Phần dưới đây mô tả cách định cấu hình TLS cho ba mục đầu tiên. Tất cả các quy trình này đều giả định rằng bạn đã tạo một tệp JKS có chứa chứng chỉ TLS và khoá riêng tư.
Để định cấu hình TLS cho quyền truy cập từ một ứng dụng vào các API của bạn, hãy xem phần 4 ở trên, Định cấu hình quyền truy cập TLS vào một API cho đám mây riêng. Để định cấu hình TLS khi truy cập từ Edge vào các dịch vụ phụ trợ của bạn, mục 5 ở trên, hãy xem phần Định cấu hình TLS từ Edge sang phần phụ trợ (Đám mây và Đám mây riêng tư).
Để biết thông tin tổng quan đầy đủ về cách định cấu hình TLS trên Edge, hãy xem phần TLS/SSL.
Tạo tệp JKS
Bạn đại diện cho kho khoá dưới dạng một tệp JKS, trong đó kho khoá chứa chứng chỉ TLS và khoá riêng tư của bạn. Có một số cách để tạo tệp JKS, nhưng một cách là sử dụng các tiện ích openssl và keytool.
Ví dụ: bạn có một tệp PEM có tên server.pem chứa chứng chỉ TLS và một tệp PEM có tên private_key.pem chứa khoá riêng tư. Hãy dùng các lệnh sau để tạo tệp PKCS12:
> openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12
Bạn phải nhập cụm mật khẩu cho khoá (nếu có) và mật khẩu xuất. Lệnh này sẽ tạo một tệp PKCS12 có tên keystore.pkcs12.
Sử dụng lệnh sau để chuyển đổi tệp này thành tệp JKS có tên keystore.jks:
> keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks
Bạn được nhắc nhập mật khẩu mới cho tệp JKS và mật khẩu hiện tại cho tệp PKCS12. Hãy đảm bảo rằng bạn sử dụng cùng một mật khẩu cho tệp JKS như bạn sử dụng cho tệp PKCS12.
Nếu bạn phải chỉ định bí danh khoá, chẳng hạn như khi định cấu hình TLS giữa Bộ định tuyến và Bộ xử lý thư, hãy thêm tuỳ chọn "-name" vào lệnh openssl:
> openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12 -name devtest
Sau đó, hãy thêm tuỳ chọn "-alias" vào lệnh keytool:
> keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks -alias devtest
Tạo mật khẩu bị làm rối mã nguồn
Một số phần của quy trình định cấu hình TLS Edge yêu cầu bạn nhập mật khẩu đã làm rối trong tệp cấu hình. Mật khẩu được làm rối mã nguồn là một phương án thay thế an toàn hơn so với việc nhập mật khẩu ở dạng văn bản thuần tuý.
Bạn có thể tạo mật khẩu bị làm rối mã nguồn trong Java bằng cách sử dụng các tệp Jetty .jar được cài đặt bằng Edge. Tạo mật khẩu bị làm rối mã nguồn bằng cách sử dụng một lệnh có dạng:
> IFS= read -rsp Password: passvar; echo; java -cp "/opt/apigee/edge-gateway/lib/thirdparty/*" org.eclipse.jetty.util.security.Password $passvar 2>&1 |tail -2; unset passvar
Nhập mật khẩu mới khi được nhắc. Vì lý do bảo mật, văn bản của mật khẩu sẽ không hiển thị. Lệnh này trả về mật khẩu có dạng:
OBF:58fh40h61svy156789gk1saj MD5:902fobg9d80e6043b394cb2314e9c6
Sử dụng mật khẩu được làm rối mã nguồn do OBF chỉ định khi định cấu hình TLS.
Để biết thêm thông tin, hãy xem bài viết này.