에지용 온프레미스 TLS/SSL 구성

Private Cloud용 Edge v. 4.17.01

표준 보안 기술인 TLS (전송 계층 보안, 이전 버전 SSL) 앱에서 Apigee에 이르기까지 API 환경 전반에서 안전하고 암호화된 메시지 보장 에지에서 백엔드 서비스까지

관리 API의 환경 구성에 관계없이(예: 관리 API 앞에 프록시, 라우터 및/또는 부하 분산기를 사용하거나 아닙니다. Edge를 사용하면 TLS를 사용 설정하고 구성하여 API 관리 환경을 제공합니다

Edge Private Cloud의 온프레미스 설치의 경우 여러 위치에서 TLS를 구성합니다.

  1. 라우터와 메시지 프로세서 간
  2. Edge Management API 액세스용
  3. 에지 관리 UI 액세스 권한
  4. 앱에서 API로 액세스
  5. Edge에서 백엔드 서비스로의 액세스용

처음 세 항목에 대한 TLS 구성은 아래에 설명되어 있습니다. 이러한 모든 절차는 TLS 인증서와 비공개 키가 포함된 JKS 파일을 만듭니다.

앱에서 API로의 액세스를 위해 TLS를 구성하려면 위의 4번을 참조하세요. API에 대한 TLS 액세스 구성 (Private Cloud용) Edge에서 백엔드 서비스로의 액세스를 위해 TLS를 구성하려면 #5입니다. 자세한 내용은 TLS 구성 백엔드로 (클라우드 및 프라이빗 클라우드)

Edge에서 TLS를 구성하는 방법에 관한 전체 개요는 TLS/SSL을 참고하세요.

JKS 파일 만들기

키 저장소는 JKS 파일로 표시되며, 이 파일의 키 저장소에는 TLS 인증서가 포함되어 있고 비공개 키를 생성합니다. JKS 파일을 만드는 방법에는 여러 가지가 있지만 한 가지 방법은 openssl 및 keytool 유틸리티입니다.

예를 들어 TLS 인증서가 포함된 server.pem이라는 PEM 파일이 있습니다. 그리고 비공개 키를 포함하는 private_key.pem이라는 이름의 PEM 파일을 생성합니다. 다음 명령어를 사용하여 PKCS12 파일을 만듭니다.

> openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12

키의 암호(있는 경우)와 내보내기 비밀번호를 입력해야 합니다. 이 명령어는 keystore.pkcs12라는 PKCS12 파일을 생성합니다.

다음 명령어를 사용하여 keystore.jks라는 JKS 파일로 변환합니다.

> keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks

JKS 파일의 새 비밀번호와 PKCS12 파일로 변환할 수 있습니다. JKS 파일에 대해 사용한 것과 동일한 비밀번호를 사용해야 합니다. PKCS12 파일을 생성합니다

키 별칭을 지정해야 하는 경우(예: 라우터와 메시지 간에 TLS를 구성하는 경우) 프로세서에 '-name'을 포함합니다. 옵션을 추가합니다.

>  openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12 -name devtest

그런 다음 '-alias'를 포함합니다. 옵션을 keytool 명령어에 추가하세요.

> keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks -alias devtest

난독화된 비밀번호 생성

Edge TLS 구성 절차의 일부에서는 난독화된 비밀번호를 입력해야 합니다. 구성 파일에 포함되어야 합니다 난독화된 비밀번호는 비밀번호를 입력하는 것보다 더 안전한 대안입니다. 일반 텍스트로 된 비밀번호입니다.

에지 관리에서 다음 명령어를 사용하여 난독화된 비밀번호를 생성할 수 있습니다. 서버:

> /opt/apigee/apigee-service/bin/apigee-service edge-management-server generate-obfuscated-password

새 비밀번호를 입력한 후 메시지가 표시되면 확인합니다. 보안상의 이유로 비밀번호가 표시되지 않습니다. 이 명령어는 다음 형식으로 비밀번호를 반환합니다.

OBF:58fh40h61svy156789gk1saj
MD5:902fobg9d80e6043b394cb2314e9c6

TLS를 구성할 때 OBF에서 지정한 난독화된 비밀번호를 사용합니다.

자세한 내용은 이 도움말을 참조하세요.