Định cấu hình TLS/SSL cho các mặt bằng

Edge for Private Cloud phiên bản 4.17.01

TLS (Bảo mật tầng truyền tải, tiền thân là SSL) là một công nghệ bảo mật tiêu chuẩn, giúp đảm bảo việc truyền tải thông điệp được mã hoá và bảo mật trên môi trường API của bạn, từ các ứng dụng cho đến Apigee Edge cho đến các dịch vụ phụ trợ.

Bất kể cấu hình môi trường cho API quản lý của bạn – ví dụ: cho dù bạn có đang sử dụng proxy, bộ định tuyến và/hoặc trình cân bằng tải trước API quản lý hay không – Edge cho phép bạn bật và định cấu hình TLS, cho phép bạn kiểm soát việc mã hoá thông báo trong môi trường quản lý API tại cơ sở.

Đối với việc cài đặt Edge Private Cloud tại chỗ, bạn có thể định cấu hình TLS tại một số nơi:

  1. Giữa Bộ định tuyến và Bộ xử lý thư
  2. Để truy cập vào Edge Management API
  3. Để truy cập vào giao diện người dùng quản lý Edge
  4. Để truy cập từ một ứng dụng vào API của bạn
  5. Để truy cập từ Edge vào các dịch vụ phụ trợ

Định cấu hình TLS cho ba mục đầu tiên được mô tả dưới đây. Tất cả các quy trình này đều giả định rằng bạn đã tạo một tệp JKS chứa chứng chỉ TLS và khoá riêng tư của mình.

Để định cấu hình TLS cho quyền truy cập từ một ứng dụng vào API của bạn, #4 ở trên, hãy xem bài viết Định cấu hình quyền truy cập TLS vào API cho Đám mây riêng tư. Để định cấu hình TLS cho quyền truy cập từ Edge vào các dịch vụ phụ trợ, #5 ở trên, hãy xem bài viết Định cấu hình TLS từ Edge đến phần phụ trợ (Đám mây và Đám mây riêng tư).

Để biết toàn bộ thông tin tổng quan về cách định cấu hình TLS trên Edge, hãy xem TLS/SSL.

Tạo tệp JKS

Bạn biểu thị kho khoá dưới dạng một tệp JKS, trong đó kho khoá chứa chứng chỉ TLS và khoá riêng tư. Có một số cách để tạo tệp JKS, nhưng có một cách là sử dụng các tiện ích OpenGL và keytool.

Ví dụ: bạn có một tệp PEM có tên là server.pem chứa chứng chỉ TLS và một tệp PEM có tên private_key.pem chứa khóa riêng tư của bạn. Dùng các lệnh sau để tạo tệp PKCS12:

> openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12

Bạn phải nhập cụm mật khẩu cho khoá (nếu có) và mật khẩu xuất. Lệnh này tạo một tệp PKCS12 có tên là keystore.pkcs12.

Dùng lệnh sau để chuyển đổi tệp đó thành tệp JKS có tên làstore.jks:

> keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks

Bạn được nhắc nhập mật khẩu mới cho tệp JKS và mật khẩu hiện tại cho tệp PKCS12. Đảm bảo bạn sử dụng cùng một mật khẩu cho tệp JKS với mật khẩu bạn đã sử dụng cho tệp PKCS12.

Nếu bạn phải chỉ định bí danh khoá, chẳng hạn như khi định cấu hình TLS giữa Bộ định tuyến và Bộ xử lý thông báo, hãy đưa tuỳ chọn "-name" vào lệnh openSSL:

>  openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12 -name devtest

Sau đó, hãy thêm tuỳ chọn "-alias" vào lệnh keytool:

> keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks -alias devtest

Tạo mật khẩu bị làm rối mã nguồn

Một số phần trong quy trình cấu hình TLS (Bảo mật tầng truyền tải) của Edge yêu cầu bạn nhập mật khẩu bị làm rối mã nguồn vào tệp cấu hình. Mật khẩu bị làm rối mã nguồn là một giải pháp thay thế an toàn hơn để nhập mật khẩu dưới dạng văn bản thuần tuý.

Bạn có thể tạo mật khẩu bị làm rối mã nguồn bằng cách sử dụng lệnh sau trên Máy chủ quản lý biên:

> /opt/apigee/apigee-service/bin/apigee-service edge-management-server generate-obfuscated-password

Nhập mật khẩu mới rồi xác nhận mật khẩu khi có lời nhắc. Vì lý do bảo mật, văn bản của mật khẩu sẽ không được hiển thị. Lệnh này trả về mật khẩu có dạng:

OBF:58fh40h61svy156789gk1saj
MD5:902fobg9d80e6043b394cb2314e9c6

Sử dụng mật khẩu bị làm rối mã nguồn do OBF chỉ định khi định cấu hình TLS.

Để biết thêm thông tin, hãy xem bài viết này.