Edge for Private Cloud v. 4.17.01
TLS (Transport Layer Security, שקודמו הוא SSL) הוא טכנולוגיית האבטחה הסטנדרטית, שמטרתה להבטיח העברת הודעות מאובטחות ומוצפנות בכל סביבת ה-API שלכם, מאפליקציות ועד Apigee Edge לשירותים שלכם בקצה העורפי.
ללא קשר להגדרת הסביבה של ה-API לניהול – לדוגמה, אם אתם משתמשים בשרת proxy, בנתב ו/או במאזן עומסים לפני ה-API לניהול (או לא) – Edge מאפשר לכם להפעיל ולהגדיר TLS, וכך לשלוט בהצפנת ההודעות בסביבת ניהול ה-API בארגון.
בהתקנה מקומית של Edge Private Cloud, יש כמה מקומות שבהם אפשר להגדיר TLS:
- בין נתב לבין מעבד בקשות
- לגישה ל-Edge Management API
- כדי לגשת לממשק המשתמש לניהול Edge
- כדי לתת לאפליקציה גישה לממשקי ה-API שלכם
- כדי לגשת מ-Edge לשירותים לקצה העורפי
בהמשך מוסבר איך מגדירים TLS בשלושת הפריטים הראשונים. כל התהליכים האלה מבוססים על ההנחה שיצרתם קובץ JKS שמכיל את אישור ה-TLS ואת המפתח הפרטי שלכם.
כדי להגדיר TLS לגישה מאפליקציה לממשקי ה-API שלכם, נקודה 4 למעלה, אפשר לעיין במאמר הגדרת גישה ל-TLS ל-API בענן הפרטי. כדי להגדיר TLS לגישה מ-Edge לשירותים לקצה העורפי, ראו את המאמר הגדרת TLS מ-Edge לקצה העורפי (Cloud ו-Cloud פרטי).
סקירה כללית מלאה על הגדרת TLS ב-Edge זמינה במאמר TLS/SSL.
יצירת קובץ JKS
מאגר המפתחות מיוצג כקובץ JKS, שבו מאגר המפתחות מכיל את אישור ה-TLS ואת המפתח הפרטי. יש כמה דרכים ליצור קובץ JKS, אבל אחת מהן היא להשתמש בכלים openssl ו-keytool.
לדוגמה, יש לכם קובץ PEM בשם server.pem שמכיל את אישור ה-TLS, וקובץ PEM בשם private_key.pem שמכיל את המפתח הפרטי. משתמשים בפקודות הבאות כדי ליצור את קובץ ה-PKCS12:
> openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12
עליך להזין את ביטוי הסיסמה של המפתח, אם יש לו, ואת סיסמת הייצוא. הפקודה הזו יוצרת קובץ PKCS12 בשם keystore.pkcs12.
משתמשים בפקודה הבאה כדי להמיר אותו לקובץ JKS בשם keystore.jks:
> keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks
תוצג בקשה להזין את הסיסמה החדשה לקובץ ה-JKS ואת הסיסמה הקיימת לקובץ ה-PKCS12. חשוב להשתמש באותה סיסמה לקובץ ה-JKS שבה השתמשתם בקובץ ה-PKCS12.
אם צריך לציין כינוי למפתח, למשל כשמגדירים TLS בין נתב לבין מעבד הודעות, צריך לכלול את האפשרות -name בפקודה openssl:
> openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12 -name devtest
לאחר מכן משתמשים באפשרות -alias בפקודה keytool:
> keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks -alias devtest
יצירת סיסמה מעורפלת
בחלק מהשלבים בתהליך ההגדרה של TLS ב-Edge צריך להזין סיסמה מעורפלת בקובץ תצורה. סיסמה מעורפלת היא חלופה מאובטחת יותר להזנת הסיסמה בטקסט ללא הצפנה.
אפשר ליצור סיסמה מעורפלת באמצעות הפקודה הבאה בשרת ניהול הקצה:
> /opt/apigee/apigee-service/bin/apigee-service edge-management-server generate-obfuscated-password
מזינים את הסיסמה החדשה ומאשרים אותה בהודעה שמופיעה. מטעמי אבטחה, הטקסט של הסיסמה לא מוצג. הפקודה תחזיר את הסיסמה:
OBF:58fh40h61svy156789gk1saj MD5:902fobg9d80e6043b394cb2314e9c6
שימוש בסיסמה המעורפלת שצוינה על ידי OBF כשמגדירים TLS.
מידע נוסף זמין במאמר הזה.