Edge untuk Private Cloud v. 4.17.01
TLS (Transport Layer Security, yang pendahulunya adalah SSL) adalah teknologi keamanan standar untuk memastikan pesan terenkripsi yang aman di seluruh lingkungan API, mulai dari aplikasi, Apigee Edge, hingga layanan back-end Anda.
Terlepas dari konfigurasi lingkungan untuk API pengelolaan Anda—misalnya, apakah Anda menggunakan proxy, router, dan/atau load balancer di depan API pengelolaan Anda (atau tidak)— Edge memungkinkan Anda mengaktifkan dan mengonfigurasi TLS, sehingga Anda dapat mengontrol enkripsi pesan di lingkungan pengelolaan API lokal Anda.
Untuk penginstalan Edge Private Cloud secara lokal, ada beberapa tempat yang dapat Anda gunakan untuk mengonfigurasi TLS:
- Antara Router dan Pemroses Pesan
- Untuk mengakses Edge management API
- Untuk mengakses UI pengelolaan Edge
- Untuk akses dari aplikasi ke API Anda
- Untuk mengakses dari Edge ke layanan backend Anda
Mengonfigurasi TLS untuk tiga item pertama dijelaskan di bawah. Semua prosedur ini mengasumsikan bahwa Anda telah membuat file JKS yang berisi sertifikasi TLS dan kunci pribadi.
Untuk mengonfigurasi TLS untuk akses dari aplikasi ke API Anda, #4 di atas, lihat Mengonfigurasi akses TLS ke API untuk Private Cloud. Guna mengonfigurasi TLS untuk akses dari Edge ke layanan backend Anda, #5 di atas, lihat Mengonfigurasi TLS dari Edge ke backend (Cloud dan Private Cloud).
Untuk ringkasan lengkap cara mengonfigurasi TLS di Edge, lihat TLS/SSL.
Membuat file JKS
Anda merepresentasikan keystore sebagai file JKS, dengan keystore berisi sertifikat TLS dan kunci pribadi. Ada beberapa cara untuk membuat file JKS, tetapi salah satunya menggunakan utilitas openssl dan keytool.
Misalnya, Anda memiliki file PEM bernama server.pem yang berisi sertifikat TLS dan file PEM bernama private_key.pem yang berisi kunci pribadi Anda. Gunakan perintah berikut untuk membuat file PKCS12:
> openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12
Anda harus memasukkan frasa sandi untuk kunci tersebut, jika memilikinya, dan kata sandi ekspor. Perintah ini membuat file PKCS12 bernama keystore.pkcs12.
Gunakan perintah berikut untuk mengonversinya menjadi file JKS bernama keystore.jks:
> keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks
Anda akan diminta untuk memasukkan sandi baru untuk file JKS, dan sandi yang sudah ada untuk file PKCS12. Pastikan Anda menggunakan sandi yang sama untuk file JKS seperti yang digunakan untuk file PKCS12.
Jika Anda harus menentukan alias kunci, seperti saat mengonfigurasi TLS antara Router dan Pemroses Pesan, sertakan opsi "-name" ke perintah openssl:
> openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12 -name devtest
Kemudian sertakan opsi "-alias" ke perintah keytool:
> keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks -alias devtest
Membuat sandi yang di-obfuscate
Beberapa bagian dari prosedur konfigurasi Edge TLS mengharuskan Anda memasukkan sandi yang di-obfuscate dalam file konfigurasi. Sandi yang di-obfuscate adalah alternatif yang lebih aman untuk memasukkan sandi Anda dalam teks biasa.
Anda dapat membuat sandi yang di-obfuscate menggunakan perintah berikut di Server Pengelolaan Edge:
> /opt/apigee/apigee-service/bin/apigee-service edge-management-server generate-obfuscated-password
Masukkan sandi baru, lalu konfirmasi saat diminta. Untuk alasan keamanan, teks sandi tidak ditampilkan. Perintah ini akan mengembalikan sandi dalam bentuk:
OBF:58fh40h61svy156789gk1saj MD5:902fobg9d80e6043b394cb2314e9c6
Menggunakan sandi yang di-obfuscate yang ditentukan oleh OBF saat mengonfigurasi TLS.
Untuk informasi selengkapnya, lihat artikel ini.