Edge for Private Cloud גרסה 4.17.01
TLS (אבטחת שכבת התעבורה, שקודמתה ל-SSL) היא טכנולוגיית האבטחה הסטנדרטית לשמירה על אבטחה מוצפנת של הודעות בסביבת ה-API שלכם, החל מאפליקציות ועד Apigee Edge ועד לשירותים לקצה העורפי.
בלי קשר לתצורת הסביבה של ממשק ה-API לניהול – לדוגמה, אם משתמשים בשרת proxy, בנתב או במאזן עומסים מול ממשק ה-API לניהול (וגם אם לא) – ב-Edge תהיה אפשרות להפעיל ולהגדיר TLS, וכך לשלוט בהצפנת הודעות בסביבת ניהול ה-API המקומית שלך.
בהתקנה מקומית של ענן פרטי של Edge, יש כמה מקומות שבהם אפשר להגדיר TLS:
- בין נתב למעבד הודעות
- לקבלת גישה ל-Edge Management API
- לגישה לממשק המשתמש לניהול Edge
- לגישה מאפליקציה לממשקי ה-API
- לגישה מ-Edge לשירותים לקצה העורפי
בהמשך מתוארת הגדרת TLS בשלושת הפריטים הראשונים. כל התהליכים האלה מבוססים על ההנחה שיצרתם קובץ JKS שמכיל את אישור ה-TLS (אבטחת שכבת התעבורה) והמפתח הפרטי שלכם.
כדי להגדיר TLS לגישה מאפליקציה לממשקי ה-API שלכם, ראו הגדרת גישה באמצעות TLS לממשק API בענן הפרטי. כדי להגדיר TLS לגישה מ-Edge לשירותים לקצה העורפי, ראו הגדרת TLS מ-Edge לקצה העורפי (ענן וענן פרטי).
סקירה כללית מלאה על הגדרת TLS ב-Edge זמינה במאמר TLS/SSL.
יצירת קובץ JKS
אתם מייצגים את מאגר המפתחות כקובץ JKS, שבו מאגר המפתחות מכיל את אישור ה-TLS (אבטחת שכבת התעבורה) והמפתח הפרטי שלכם. יש כמה דרכים ליצור קובץ JKS, אבל אחת הדרכים היא להשתמש ב-openssl ובכלים ל-keytool.
לדוגמה, יש לכם קובץ PEM בשם server.pem שמכיל את אישור ה-TLS (אבטחת שכבת התעבורה) וקובץ PEM בשם privacy_key.pem שמכיל את המפתח הפרטי שלכם. כדי ליצור את קובץ ה-PKCS12, משתמשים בפקודות הבאות:
> openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12
אם יש למפתח ביטוי סיסמה, אתם צריכים להזין אותם, וגם סיסמה לייצוא. הפקודה יוצרת קובץ PKCS12 בשם keystore.pkcs12.
כדי להמיר אותו לקובץ JKS בשם keystore.jks, משתמשים בפקודה הבאה:
> keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks
תוצג בקשה להזין את הסיסמה החדשה לקובץ ה-JKS ואת הסיסמה הקיימת לקובץ ה-PKCS12. חשוב לוודא שהשתמשתם באותה הסיסמה לקובץ ה-JKS שבה השתמשתם לקובץ ה-PKCS12.
אם צריך לציין כינוי למפתח, למשל כשמגדירים TLS בין נתב למעבד הודעות, כוללים את האפשרות -name" בפקודה opensl:
> openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12 -name devtest
לאחר מכן כוללים את האפשרות "-alias" לפקודה keytool:
> keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks -alias devtest
יצירת סיסמה מעורפלת
בחלקים מסוימים בהליך ההגדרה של TLS ב-Edge צריך להזין סיסמה מעורפלת בקובץ תצורה. סיסמה מעורפלת היא חלופה מאובטחת יותר להזנת הסיסמה בטקסט פשוט.
אפשר ליצור סיסמה מעורפלת באמצעות הפקודה הבאה בשרת הניהול של Edge:
> /opt/apigee/apigee-service/bin/apigee-service edge-management-server generate-obfuscated-password
מזינים את הסיסמה החדשה ומאשרים אותה בהודעה שמופיעה. מטעמי אבטחה, הטקסט של הסיסמה לא מוצג. הפקודה הזו מחזירה את הסיסמה בצורה הבאה:
OBF:58fh40h61svy156789gk1saj MD5:902fobg9d80e6043b394cb2314e9c6
משתמשים בסיסמה לערפול קוד (obfuscation) שצוינה על ידי OBF כשמגדירים TLS.
אפשר לקרוא מידע נוסף במאמר הזה.