Edge for Private Cloud Version 4.17.01
TLS (Transport Layer Security, dessen Vorgänger SSL ist) ist die Standardsicherheitstechnologie für sichere, verschlüsselte Nachrichten in Ihrer API-Umgebung, von Apps über Apigee Edge bis hin zu Ihren Backend-Diensten.
Unabhängig von der Umgebungskonfiguration Ihrer Verwaltungs-API, z. B. ob Sie einen Proxy, einen Router und/oder einen Load Balancer vor Ihrer Verwaltungs-API verwenden, können Sie mit Edge TLS aktivieren und konfigurieren. So haben Sie die Kontrolle über die Nachrichtenverschlüsselung in Ihrer On-Premise-API-Verwaltungsumgebung.
Bei einer On-Premises-Installation von Edge Private Cloud können Sie TLS an mehreren Stellen konfigurieren:
- Zwischen einem Router und einem Nachrichtenprozessor
- Für den Zugriff auf die Edge Management API
- Für den Zugriff auf die Edge-Management-Benutzeroberfläche
- Für den Zugriff von einer App auf Ihre APIs
- Für den Zugriff von Edge auf Ihre Back-End-Dienste
Das Konfigurieren von TLS für die ersten drei Elemente wird unten beschrieben. Bei allen diesen Verfahren wird davon ausgegangen, dass Sie eine JKS-Datei erstellt haben, die Ihre TLS-Zertifizierung und Ihren privaten Schlüssel enthält.
Wie Sie TLS für den Zugriff von einer App auf Ihre APIs konfigurieren (Nummer 4 oben), erfahren Sie unter TLS-Zugriff auf eine API für die Private Cloud konfigurieren. Wie Sie TLS für den Zugriff von Edge auf Ihre Backend-Dienste konfigurieren, erfahren Sie unter TLS von Edge zum Back-End konfigurieren (Cloud und Private Cloud).
Eine vollständige Übersicht zur Konfiguration von TLS auf Edge finden Sie unter TLS/SSL.
JKS-Datei erstellen
Sie stellen den Schlüsselspeicher als JKS-Datei dar, wobei der Schlüsselspeicher Ihr TLS-Zertifikat und Ihren privaten Schlüssel enthält. Es gibt mehrere Möglichkeiten, eine JKS-Datei zu erstellen. Eine davon ist die Verwendung der Dienstprogramme „openssl“ und „keytool“.
Beispiel: Sie haben eine PEM-Datei namens server.pem, die Ihr TLS-Zertifikat enthält, und eine PEM-Datei namens private_key.pem, die Ihren privaten Schlüssel enthält. Verwenden Sie die folgenden Befehle, um die PKCS12-Datei zu erstellen:
> openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12
Sie müssen die Passphrase für den Schlüssel, falls vorhanden, sowie ein Exportpasswort eingeben. Mit diesem Befehl wird eine PKCS12-Datei mit dem Namen keystore.pkcs12 erstellt.
Verwenden Sie den folgenden Befehl, um sie in eine JKS-Datei mit dem Namen „keystore.jks“ zu konvertieren:
> keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks
Sie werden aufgefordert, das neue Passwort für die JKS-Datei und das vorhandene Passwort für die PKCS12-Datei einzugeben. Verwenden Sie für die JKS-Datei dasselbe Passwort wie für die PKCS12-Datei.
Wenn Sie einen Schlüsselalias angeben müssen, z. B. beim Konfigurieren von TLS zwischen einem Router und einem Message Processor, fügen Sie dem OpenSSL-Befehl die Option -name hinzu:
> openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12 -name devtest
Fügen Sie dann die Option -alias in den Befehl keytool ein:
> keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks -alias devtest
Verschleiertes Passwort generieren
Einige Teile des Edge-TLS-Konfigurationsverfahrens erfordern die Eingabe eines verschleierten Passworts in einer Konfigurationsdatei. Ein verschleiertes Passwort ist eine sicherere Alternative zur Eingabe des Passworts im Nur-Text-Format.
Sie können ein verschleiertes Passwort mit dem folgenden Befehl auf dem Edge Management Server generieren:
> /opt/apigee/apigee-service/bin/apigee-service edge-management-server generate-obfuscated-password
Geben Sie das neue Passwort ein und bestätigen Sie es auf Aufforderung. Aus Sicherheitsgründen wird der Text des Passworts nicht angezeigt. Dieser Befehl gibt das Passwort in folgendem Format zurück:
OBF:58fh40h61svy156789gk1saj MD5:902fobg9d80e6043b394cb2314e9c6
Verwenden Sie beim Konfigurieren von TLS das von OBF angegebene verschleierte Passwort.
Weitere Informationen findest du in diesem Artikel.