Edge for Private Cloud، الإصدار 4.17.01
إنّ بروتوكول أمان طبقة النقل (TLS) (المعروف سابقًا باسم طبقة المقابس الآمنة (SSL)) هو تكنولوجيا الأمان العادية لضمان المراسلة الآمنة والمشفّرة في بيئة واجهة برمجة التطبيقات، بدءًا من التطبيقات وApigee Edge ووصولاً إلى خدمات الواجهة الخلفية.
بغض النظر عن إعدادات البيئة لواجهة برمجة التطبيقات الخاصة بالإدارة، على سبيل المثال، ما إذا كان يتم استخدام خادم وكيل و/أو جهاز توجيه و/أو أداة موازنة تحميل أمام واجهة برمجة التطبيقات الخاصة بالإدارة (أو لا)، تتيح لك Edge تفعيل بروتوكول أمان طبقة النقل وضبطه، ما يمنحك إمكانية التحكّم في تشفير الرسائل في بيئة إدارة واجهة برمجة التطبيقات داخل المؤسسة.
بالنسبة إلى تثبيت Edge Private Cloud داخل مقر المؤسسة، هناك عدة أماكن يمكنك من خلالها ضبط بروتوكول أمان طبقة النقل (TLS):
- بين جهاز التوجيه ومعالج الرسائل
- للوصول إلى واجهة برمجة تطبيقات إدارة Edge
- للوصول إلى واجهة مستخدم إدارة Edge
- للوصول من تطبيق إلى واجهات برمجة التطبيقات
- للوصول من Edge إلى خدمات الخلفية
في ما يلي وصف لإعداد بروتوكول TLS للعناصر الثلاثة الأولى. تعتمد كل هذه الإجراءات على أنّك أنشأت ملف JKS يحتوي على شهادة بروتوكول أمان طبقة النقل (TLS) والمفتاح الخاص.
لضبط بروتوكول أمان طبقة النقل (TLS) للوصول من تطبيق إلى واجهات برمجة التطبيقات، يُرجى الاطّلاع على الخطوة 4 أعلاه، وضبط إمكانية الوصول إلى واجهة برمجة التطبيقات باستخدام بروتوكول أمان طبقة النقل (TLS) في "السحابة الخاصة". لضبط بروتوكول أمان طبقة النقل (TLS) للوصول من Edge إلى خدمات الخلفية، الخطوة 5 أعلاه، يُرجى الاطّلاع على ضبط بروتوكول أمان طبقة النقل (TLS) من Edge إلى الخلفية (السحابة الإلكترونية والسحابة الإلكترونية الخاصة).
للحصول على نظرة عامة كاملة حول ضبط بروتوكول أمان طبقة النقل (TLS) على Edge، يمكنك الاطّلاع على طبقة النقل الآمنة (TLS)/طبقة المقابس الآمنة (SSL).
إنشاء ملف JKS
يمكنك تمثيل ملف تخزين المفاتيح كملف JKS، حيث يحتوي ملف تخزين المفاتيح على شهادة بروتوكول أمان طبقة النقل (TLS) ومفتاحك الخاص. هناك عدة طرق لإنشاء ملف JKS، ولكن إحدى الطرق هي استخدام الأداتَين openssl و keytool.
على سبيل المثال، لديك ملف PEM باسم server.pem يحتوي على شهادة TLS وملف PEM باسم private_key.pem يحتوي على مفتاحك الخاص. استخدِم الأوامر التالية ل إنشاء ملف PKCS12:
> openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12
عليك إدخال عبارة مرور المفتاح، إذا كان يحتوي على عبارة مرور، وكلمة مرور للتصدير. يؤدي هذا الأمر إلى إنشاء ملف PKCS12 باسم keystore.pkcs12.
استخدِم الأمر التالي لتحويله إلى ملف JKS باسم keystore.jks:
> keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks
سيُطلب منك إدخال كلمة المرور الجديدة لملف JKS وكلمة المرور الحالية لملف PKCS12. احرص على استخدام كلمة المرور نفسها لملف JKS التي استخدمتها في ملف PKCS12.
إذا كان عليك تحديد اسم مستعار للمفتاح، كما هو الحال عند ضبط بروتوكول أمان طبقة النقل (TLS) بين "جهاز التوجيه" و"معالج الرسائل"، ضمِّن الخيار "-name" في الأمر opensl:
> openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12 -name devtest
بعد ذلك، أدرِج الخيار "-alias" في الأمر keytool:
> keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks -alias devtest
إنشاء كلمة مرور مشوَّهة
تتطلب بعض أجزاء عملية ضبط بروتوكول أمان طبقة النقل (TLS) في Edge إدخال كلمة مرور مشوّهة في ملف الإعداد. تشكّل كلمة المرور المشوشة بديلاً أكثر أمانًا لإدخال كلمة المرور في نص عادي.
يمكنك إنشاء كلمة مرور مشوّشة باستخدام الأمر التالي على "خادم إدارة الحواف":
> /opt/apigee/apigee-service/bin/apigee-service edge-management-server generate-obfuscated-password
أدخِل كلمة المرور الجديدة، ثم أكِّدها عندما يُطلب منك ذلك. لأسباب تتعلّق بالأمان، لا يتم عرض نص كلمة المرور. يعرض هذا الأمر كلمة المرور على النحو التالي:
OBF:58fh40h61svy156789gk1saj MD5:902fobg9d80e6043b394cb2314e9c6
استخدِم كلمة المرور المشوشة التي حدّدها OBF عند ضبط بروتوكول أمان طبقة النقل (TLS).
لمزيد من المعلومات، يُرجى الاطّلاع على هذه المقالة.