Configurazione di TLS/SSL per Edge on-premise

Edge per Private Cloud v. 4.17.01

TLS (Transport Layer Security, il cui predecessore è SSL) è la tecnologia di sicurezza standard per garantire la messaggistica sicura e criptata in tutto l'ambiente API, dalle app ad Apigee Edge fino ai servizi di backend.

A prescindere dalla configurazione dell'ambiente per l'API di gestione, ad esempio se utilizzi un proxy, un router e/o un bilanciatore del carico davanti all'API di gestione (o meno), Edge consente di abilitare e configurare TLS, offrendoti il controllo sulla crittografia dei messaggi nell'ambiente di gestione delle API on-premise.

Per un'installazione on-premise di Edge Private Cloud, esistono diverse posizioni in cui puoi configurare TLS:

  1. Tra un router e un processore di messaggi
  2. Per l'accesso all'API Edge Management
  3. Per l'accesso all'interfaccia utente di gestione perimetrale
  4. Per l'accesso da un'app alle tue API
  5. Per l'accesso da Edge ai tuoi servizi di backend

Di seguito viene descritta la configurazione di TLS per i primi tre elementi. Tutte queste procedure presuppongono che tu abbia creato un file JKS contenente la certificazione TLS e la chiave privata.

Per configurare TLS per l'accesso da un'app alle API, vedi il punto 4 sopra Configurazione dell'accesso TLS a un'API per il cloud privato. Per configurare TLS per l'accesso da Edge ai servizi di backend, punto 5 sopra, vedi Configurazione di TLS da Edge al backend (cloud e cloud privato).

Per una panoramica completa della configurazione di TLS su Edge, vedi TLS/SSL.

Creazione di un file JKS

Rappresenti l'archivio chiavi come file JKS, dove l'archivio chiavi contiene il certificato TLS e la chiave privata. Esistono diversi modi per creare un file JKS, ma uno è utilizzare le utilità Opensl e Keytool.

Ad esempio, hai un file PEM denominato server.pem contenente il certificato TLS e un file PEM denominato private_key.pem contenente la chiave privata. Utilizza i comandi seguenti per creare il file PKCS12:

> openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12

Devi inserire la passphrase della chiave, se presente, e una password di esportazione. Questo comando crea un file PKCS12 denominato keystore.pkcs12.

Utilizza questo comando per convertirlo in un file JKS denominato keystore.jks:

> keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks

Ti viene richiesto di inserire la nuova password per il file JKS e la password esistente per il file PKCS12. Assicurati di utilizzare per il file JKS la stessa password utilizzata per il file PKCS12.

Se devi specificare un alias chiave, ad esempio durante la configurazione di TLS tra un router e un processore di messaggi, includi l'opzione "-name" nel comando Opensl:

>  openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12 -name devtest

Quindi includi l'opzione "-alias" nel comando keytool:

> keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks -alias devtest

Generazione di una password offuscata

Alcune parti della procedura di configurazione di TLS perimetrale richiedono l'inserimento di una password offuscata in un file di configurazione. Una password offuscata è un'alternativa più sicura all'inserimento della password in testo normale.

Puoi generare una password offuscata utilizzando il seguente comando su Edge Management Server:

> /opt/apigee/apigee-service/bin/apigee-service edge-management-server generate-obfuscated-password

Inserisci la nuova password e confermala quando ti viene richiesto. Per motivi di sicurezza, il testo della password non viene visualizzato. Questo comando restituisce la password nel formato:

OBF:58fh40h61svy156789gk1saj
MD5:902fobg9d80e6043b394cb2314e9c6

Usa la password offuscata specificata da OBF durante la configurazione di TLS.

Per maggiori informazioni, consulta questo articolo.